[아이티데일리] ▲IT·보안 인력 및 예산 확보를 위한 기본 원칙 ▲최소한의 IT·보안 인력 및 예산에 대한 기준 등을 골자로 한 ‘금융보안 거버넌스 가이드’ 개정안이 2일부터 본격 시행된다.

2일 금융보안원(원장 김영기)은 금융권의 IT･보안 인력 및 예산에 관한 권고 기준을 제시하기 위해 ‘금융보안 거버넌스 가이드’를 개정했다고 밝혔다.

금융권은 2011년 금융사 등이 일정 수준 이상 IT·보안 인력 및 예산을 확보하도록 권고하는 하한선 기준(일명 5·5·7기준)을 마련하고, 이를 준수하고 있었다. 5·5·7기준은 IT 인력은 전체 인력의 5% 이상, 보안인력은 전체 IT 인력의 5% 이상, 보안 예산의 경우 전체 IT 예산의 7% 이상 확보하도록 권고하고 있다.

현재 5·5·7기준이 권고 기준임에도 불구하고 대부분의 금융사 등이 이를 상회하는 IT·보안 인력 및 예산을 확보하고 있는 상황이다. 현재 금융사의 보안인력 은 IT 인력 대비 10.2% 수준이며, 보안 예산 역시 IT 예산대비 10.6%를 확보하고 있는 것으로 조사됐다.

금융보안원은 5·5·7기준이 2020년 1월 1일까지만 효력을 가짐에 따라 금융권이 적정 IT·보안 인력 및 예산을 확보하기 위한 ‘민간 중심의 자율 기준’이 필요해, ‘금융보안 거버넌스 가이드’를 개정했다.

‘금융보안 거버넌스 가이드’는 정보보호에 대한 최고경영층(CEO)의 의사결정 권한과 책임, 정보보호와 비즈니스 간 전략적 연계 등을 위해 지켜야 할 7개 금융보안 거버넌스 기본 원칙을 정의하고 있으며, 2015년 4월 제정됐다.

이번 ‘금융보안 거버넌스 가이드’ 개정안의 주요 내용은 ▲IT·보안 인력 및 예산 확보를 위한 기본 원칙 ▲최소한의 IT·보안 인력 및 예산에 대한 기준 등으로 구성돼 있다.

먼저 금융사 등은 안정적인 정보보호 활동을 위해 적정한 보안인력 및 예산을 확보할 필요가 있으며, 적정한 보안인력 및 예산은 금융사 등이 대내외 환경 및 자체 위험분석 결과 등을 종합적으로 고려해 산정하도록 권고하고 있다. 더불어 금융사 등은 산정한 보안인력 및 예산 비율이 자사의 위험 등을 적절히 반영했는지 주기적으로 검토해야 한다.

전자금융거래에 대한 최소한의 안정성 확보를 위해 일정 비율이상의 IT·보안 인력 및 예산을 확보할 필요가 있다. 이에 따라 이번 개정안에서는 국내 금융권 현황 및 해외 사례 등을 종합적으로 고려해 5·5·7 기준의 비율을 최소한 준수할 것을 권고하고 있다.

금융보안원 측은 “이번에 개정한 ‘금융보안 거버넌스 가이드’를 2일부터 시행하며, 금융사 스스로가 안전하고 신뢰할 수 있는 서비스 제공에 필요한 보안수준을 확보해나갈 수 있도록 금융당국 및 금융사를 지속적으로 지원할 계획”이라고 밝혔다.