자율보안체계, 핵심으로 바로 들어가시죠

2024년 8월, 금융위원회는 『금융분야 망분리 개선 로드맵』을 발표하며, IT 혁신을 위한 망분리 규제 개선 방안을 제시했습니다. 또한 금융당국은 금융회사들이 자율적으로 보안을 관리하고 결과에 책임지는 ‘자율보안체계’를 도입할 계획을 밝혔습니다.

금융당국은 2024년 2월, 2022년 12월의 발표에서도 자율보안체계에 대한 계획을 언급한 바 있으며, 이는 4년 전부터 지속적으로 강조된 바입니다. 자율보안체계는 회사가 스스로 보안 리스크를 분석하고 평가하는 체계입니다.

기존 문제점

현재 금융회사의 보안 체계는 전통적 규제에 의존해 규정 준수에 집중하고 있으며, 보안 리스크 해결에는 미흡합니다. 또, 임기응변적인 사고 대응과 미흡한 리스크 평가가 문제로 지적되고 있습니다.

자율보안체계 도입 필요성

자율보안체계는 기업이 외부 규제에 의존하지 않고 내부에서 보안 정책을 수립하며, 사고 발생 시 책임을 지는 자율적인 방식을 의미합니다. 이러한 변화는 회사의 장기적인 보안 전략과 마주하기 위한 핵심입니다.

준비 방법

자율보안체계를 위해 정보보호 위험관리 체계를 갖추는 것이 중요합니다. 이는 정보 보호와 관련된 위험을 체계적으로 관리하기 위한 절차와 프로세스를 포함합니다.

정보보호 프레임워크 및 인증

정보보호 프레임워크의 한 예로 NIST의 CSF가 있으며, 다양한 정보보호 인증도 회사 상황에 맞춰 도입할 수 있습니다.

결론

자율보안체계는 금융당국이 추진하는 새로운 접근 방식으로, 금융회사는 이를 통해 보안 문제를 개선하며 정보 보호 체계를 구축해야 합니다. 각 기업은 자신의 상황에 맞춰 하나씩 개선하는 노력이 필요합니다.