금융사 IT 활용 증가 및 ESG 경영으로 금융보안 중요성 확대
금융당국 '디지털금융보안법' 제정 예고···정보보안 거버넌스 중요성 증가
NH투자·KB·토스증권 금융보안 성과 검토
[녹색경제신문 = 나아영 기자] MTS를 통해 투자자의 주문을 처리하는 트레이딩 업무에서부터 인수와 M&A 등 IB 업무, 고객의 자산을 관리하는 WM 업무에 이르기까지 오늘날 증권사는 프론트·미들·백 오피스 전 과정에 AI와 클라우드, 블록체인 등의 IT 기술 활용이 필수적이다.
이 때문에 증권사 업무 전반에서 금융보안의 중요성이 날로 증가하고 있는 가운데 최근 ESG 경영과 관련해서도 평가 기준으로서 정보보안의 중요성이 확대되고 있다.
아울러 금융당국이 금융회사의 금융보안체계 개선을 골자로 하는 '디지털금융보안법' 제정을 예고하며 증권사 금융보안 역량이 더욱 중요해지고 있다.
그런 가운데 최근 KB증권과 NH투자증권, 토스증권 등 주요 증권사가 각 사의 정보보호 관리 역량을 통해 디지털 전환과 신사업 지원, 리스크 관리, 사회적 책임과 신뢰 구축 등의 성과를 이룬 사례를 살펴봤다.
4일 금융투자업계에 따르면 금융위원회는 지난 8월 '금융 분야 망 분리 개선 로드맵'을 발표하고 가칭 '디지털금융보안법' 제정을 예고했다.
금융위가 밝힌 디지털금융보안법의 핵심은 기존 규칙(Rule) 중심의 금융보안 규제를 목표와 원칙(Principle) 중심의 규제로 전환하는 것으로, 관련 법 제정을 통해 향후 금융회사는 자체 리스크 평가를 수행하고 이를 바탕으로 세부 보안 통제를 자율적으로 구성해야 한다.
또한, 디지털금융보안법은 중요 보안사항의 최고경영자와 이사회 보고 의무, 정보보호최고책임자(CISO) 역할 확대 등을 포함한 내부 보안 거버넌스 강화와 전산사고 발생 시 배상책임 확대 등의 법적 근거를 마련함으로써 금융회사가 정보보안 리스크 관리 활동을 강화하도록 근거를 마련했다.
금융보안은 최근 ESG 경영 측면에서도 그 중요성이 커지고 있다. 최근 카카오페이는 2대 주주인 알리페이에 고객 개인정보를 무단 제공한 것이 알려지며 지난달 발표된 한국ESG기준원 ESG 평가에서 전년 대비 한 단계 떨어진 통합 등급을 받았다.
아울러 지난해 유안타증권의 고객정보 대량 유출 사건과 같이 대형 금융보안 사고가 증권업계에서도 끊임없이 발생하면서, 금융보안에 대한 업계와 시장의 불안과 관심은 지속되고 있다.
NH투자증권, KB증권, 토스증권 등은 최근 정보보안 역량 강화를 통해 단순히 금융보안 규제에 대응할 뿐만 아니라 사회적 책임과 신뢰 구축, 리스크 관리, 디지털 전환괴 신사업 지원 등의 ESG 및 사업 성과를 이뤄내고 있다.
NH투자증권은 정보보호를 통한 고객 신뢰와 사회적 책임 강화에 중점을 두고 다양한 노력을 하고 있다.
NH투자증권은 2021년 '정보보호 및 개인정보보호 관리체계 인증(ISMS-P)' 취득을 시작으로 2022년 '국제 정보보호 관리체계 인증(ISO27001)', 2023년 '국제 개인정보보호 관리체계 인증(ISO27701)' 및 2024년 '아시아 태평양 경제협력체 국경간 프라이버시 규칙(APEC CBPR)' 등 국내외 인증 취득을 통해 고객이 신뢰할 수 있는 서비스 제공 환경에 대한 검증을 매년 받고 있다.
또한, 회사는 금융위가 매년 국내 전 금융사를 대상으로 개인신용정보 관리 보호 실태에 대해 실시하는 '정보보호 상시평가'에서 2년 연속 최고 등급을 획득했으며, 고객이 안정적으로 서비스를 이용할 수 있도록 최근 주목받는 AI, 빅데이터 등 신기술 기반의 서비스가 안정적으로 도입될 수 있도록 보안체계를 구성 중이다.
김규진 NH투자증권 정보보호 본부 대표(정보보호최고책임자)는 "단순 보안강화를 넘어 앞으로도 다양한 정보보호 활동을 통해 ESG 경영의 가치를 높임과 더불어 고객에게 투자가 고객의 미래자산으로 자리 잡을 수 있는 환경을 조성하기 위하여 노력하겠다"고 밝혔다.
KB증권도 고객정보 보호를 위해 정보보호 조직 및 정책, 보안 솔루션 등을 체계적으로 운영하고 있다.
또한, '정보보호 및 개인정보보호 관리체계 인증(ISMS-P, 마이데이터 서비스, 전자금융서비스)', '국제 정보보호 관리체계 인증(ISO27001)' 취득 등을 통해 대고객 신뢰도 향상에 최선을 다하고 있다.
특히, 기존 단일 클라우드가 아닌 멀티 클라우드 랜딩존을 구축해 현재 ISMS-P 인증 심사 과정을 거쳐 금융권 컴플라이언스를 준수하는 멀티 클라우드를 구축하고 있으며, 멀티 클라우드로의 완벽한 전환을 위해 인프라 구축, 컴플라이언스, 관제 등을 준비 중이다.
KB증권은 이 과정이 완료되면 각 CSP의 장점(가격, AI, 신규서비스 등)을 활용한 다양한 서비스를 멀티 클라우드 환경에 적용할 예정이다.
KB증권 관계자는 "당사는 보안관리, 보안점검, 보안시스템 운영, 개인정보보호 업무 등을 정보보호 포털로 통합 구현해 정보보호 통제 및 관리 업무를 효율적으로 운영하고 있다"고 했다.
이어 "또한, 전자금융감독규정'에서 요구하는 전자금융기반시설에 대한 정기적인 취약점 분석 및 평가 업무를 매년 수행하고 있다"며, "신규 전자금융 서비스에 대한 안정성 검증을 위해 '보안성 심의' 프로세스를 운영하는 등 고객정보 보호를 위해 최선을 다하고 있다"고 덧붙였다.
토스증권은 이달 25일 금융회사 보안 담당자를 대상으로 정보보호 우수 사례를 소개하는 금융 보안 컨퍼런스 '가디언즈(Guardians)'를 개최한다.
올해로 2회차를 맞는 이번 행사는 토스증권이 그동안 축적해 온 정보보호 및 보안관련 성과를 금융회사 보안 종사자들과 공유하는 자리로, 해당 컨퍼런스에서 토스증권은 의무사항을 넘어 최고 정보보호 관리체계를 이루어 내기까지 회사의 우수사례를 공유하고 정보보호 관리체계를 시작으로 보안 취약점 점검 방법, 보안위협에 대한 예방 및 대응 체계까지 토스증권 보안 강점을 두루 소개한다.
토스증권은 지난해 과기부 주최 '2023 정보보호 대상'을 수상했다. 정보보호 대상은 한 해 동안 가장 정보보호 대응을 잘한 개인과 단체에 주어지는 최고 권위의 상으로 매년 비즈니스 경쟁력을 비롯해 정보보호 기술 우수성, 정보보호 활동 사항, 침해사고 대응력 등의 기준을 토대로 평가위원회의 심사를 거쳐 선정한다.
나아영 기자 financial@greened.kr
▶ 기사제보 : pol@greened.kr(기사화될 경우 소정의 원고료를 드립니다)
▶ 녹색경제신문 '홈페이지' / '페이스북 친구추가'
!["AI 활용, 분석하기 좋게 데이터 정제하는게 핵심" [서경 금융전략포럼]](https://newsimg.sedaily.com/2024/11/06/2DGQOQ4IXX_2.jpg)
![[블록체인 칼럼]STO 재발의](https://img.etnews.com/news/article/2023/07/11/news-p.v1.20230711.816c9e510dfc4e878c7fb2705a9866d3_P1.jpg)
