올 초 발생한 은행·카드사 대규모 고객정보 유출 사고로 금융서비스를 이용하는 국민들의 불안감이 크게 높아졌다. 사고 이후 고객들이 믿고 맡긴 소중한 개인정보를 보호하지 못한 가장 큰 원인으로는 금융사들의 내부통제가 미비했다는 진단이 나왔다.

이를 반영하듯 지난 3월 금융당국은 ‘2014년 금융IT 및 정보보호 감독’ 방향을 발표하며 금융권의 내부통제를 강화하기 위한 다수의 정책을 내놨다. 또 이달 중으로는 개인정보유출 방지와 내부통제 관련 가이드라인도 발표할 계획이다.

금융사들과 IT업계도 효율적인 내부통제를 구현하고 전산사고 등을 예방하거나 빠르게 대처할 수 있는 IT기술 및 통제 방법 찾기에 골몰하고 있다.

<디지털데일리>는 금융회사들이 이 같은 다양한 내부통제 현안과 리스크 관리에 효과적으로 대응할 수 있는 방안과 IT업계의 대응 등을 4회에 걸쳐 알아본다.<편집자>

[디지털데일리 이상일기자] 금융권의 내부통제는 준법감시인과 감사조직을 위주로 진행돼왔다. 여기에 재무부서와 IT부서가 프로세스 및 시스템 기반을 마련하는 것이 일반적인 형태였다.

하지만 내부통제 실패에 따른 금융사고가 연이어 발생하면서 금융사 전 조직이 유기적으로 융합해 내부통제 프로세스를 구성해야 한다는 주장이 설득력을 얻고 있다. 내부통제가 특정 조직만의 업무가 아니라 구성원 전원의 의식 개선을 바탕으로 유기적인 움직임을 확보해야 한다는 것이다.

하지만 이는 반대로 각 부서마다 내부통제를 위한 새로운 방법을 모색해야 한다는 말과 같다. 기존의 내부통제가 수동적인 형태의 ‘체크리스트’에 국한됐다면 이제는 능동적인 형태로 변화하기 위한 기반 인프라를 보강해야 한다는 뜻이다.

전통적으로 IT부서는 금융사 내부통제를 위해 상시감사시스템 구축, 리스크 한도 산출을 위한 모형 구축, 데이터 유출 방지를 위한 보안 시스템 강화 등을 IT로 지원하는게 일반적이다.

그러나 이제 이러한 시스템도 유연성 확보를 위한 고도화가 필요하게 됐다는 지적이다. 상시감사시스템의 범위 확장과 평판 리스크(소셜네트워크)를 포함한 리스크 한도 분석. 그리고 능동적·자동화된 보안 시스템 구축이 우선돼야 한다는 것이다.

예를 들어 관제시스템의 경우 사용자 및 애플리케이션의 사용 상태 정보를 실시간으로 확인하므로써 정책 정의에 유연성을 제공하는 것이 중요한 기능으로 각광받고 있다.

그동안 등한시돼왔던 ‘내부자 통제’에 대한 방법 모색도 고려되고 있다. 금융사 대형 사고의 대부분이 내부 조력자(협력 업체 등)에 의한 외부 정보 유출로 결론나고 있는 만큼 업무 프로세스에서 내부 정보 유출 방지를 위한 개선방안이 모색돼야 한다는 것이다.

이를 위해 최근 대두되고 있는 빅데이터를 활용하는 방식도 각광받고 있다. 빅데이터 방식은 내부 정보와 업무 프로세스에 익숙한 내부자가 정보를 유출하는 경우 이를 사전에 방지하기 어려운 기존 내부보안시스템과 달리 정형화된 패턴은 물론 비정상적인 패턴까지 인지해 이를 탐지하는 기능을 가지고 있다.

한편 이러한 내부통제를 위한 IT 기준도 강화되고 있다. 금융당국은 금융사 전산센터에 대한 물리적 망분리 의무화와 영업점 및 본점에 대한 단계적 망분리를 지시한바 있으며 이에 금융사들의 관련 사업도 이어지고 있다.

또 최고정보보안책임자(CISO)의 의무 및 권한강화, 최고경영자(CEO)의 책임과 처벌이 강화되면서 IT 자체의 역할 뿐만 아니라 조직 전체의 책임과 의무가 강화되고 있는 추세다.

다만 IT기술의 발달과 금융당국의 정책이 강화되면서 내부통제를 위한 토대는 갖춰지고 있지만 이보다 내부 조직의 유기적 융합을 위한 정책 방향이 모색돼야 한다는 지적도 나오고 있다.

지난 21일 한국금융연구원 김우진 선임연구위원은 ‘국내은행의 내부통제시스템 개선방안’ 보고서를 통해 “내부통제 부서는 시스템 개선에 중점을 둔 업무를 수행해야 하며 감독당국은 개인에 대한 문책보다는 기관에 대한 과징금 중심으로 처벌방식의 변경을 고려할 필요가 있다”고 지적했다.

<이상일 기자>2401@ddaily.co.kr