[이강태의 IT경영 한수]<27>금융IT콘퍼런스 발표를 마치고

지난주 한국은행 금융IT 콘퍼런스에서 ‘금융권의 IT 리스크 거버넌스 전략’에 관해 주제 발표를 했다. 자랑 같지만 발표준비에 애를 많이 썼다. 우선 현업에 있을 때는 주변에 도와주는 직원들이 많았는데 지금은 모든 것을 혼자서 해야 한다. 자료 찾고, 정리하고, 표 만들고, 차트 그리는 거의 막노동에 가까운 힘든 과정이었다.

우선 자료 수집 차원에서 9회째인 이번 콘퍼런스 이전 발표자들의 자료를 모아 접근법과 수준을 가늠해봤다. 그동안 교수나 경영컨설턴트 중심의 발표 내용은 매우 학문적이었다. 논문 뒤에 참고 자료만 50여개씩 나열돼 있고 그것도 대부분 영문 자료여서 기가 많이 눌렸다. 시간이 가면서 슬슬 걱정이 되기 시작했다. 그래서 9년째 이 콘퍼런스 사회를 보고 있는 김성근 중앙대 교수에게 도움을 청하자 컨설팅 회사인 언스트&영에서 나온 IT리스크 거버넌스 자료를 구해 줬다.

그동안 CIO·CEO를 지내면서 나름대로 IT에 관해 많이 안다고 생각했었지만 사실 대학에서 IT를 전공한 것도 아니고, 그냥 실무에서 배우고 경험하다 보니 학문적 체계는 없었다. 언스트&영 자료에는 IT 리스크 거버넌스에 대해 15개 분야에 걸쳐 상세하게 설명하면서 유럽 금융기관의 조사 결과까지 나왔다. 다른 자료들도 찾았는데 시만텍의 IT 리스크 체크리스트가 있었다. 이 체크리스트는 주로 IT 리스크를 성능(Performance) 확보, 가동성(Availability) 유지, 규제(Compliance) 준수, 정보보안(Security) 4개 분야에서 총 20개 IT 리스크로 분류하고 있었다. 그래서 두 리스크 분류표를 종합해 우리나라 금융기관에 대한 설문조사를 준비했다. 130여개의 금융회사에 설문서를 보냈는데 그 중 총 28개 회사에서 회신이 왔고, 특히 11개 은행이 회신을 줬다. 아마도 한국은행이 주관하다 보니 다른 증권, 카드, 금융투자 쪽에서는 크게 관심을 기울이지 않았던 것 같다. 그래서 본래는 우리나라 금융권 전체의 IT 리스크에 관한 조사를 하려다가 방향을 바꿔 은행에 대한 분석에 집중하게 됐다.

자료를 분석하다 보니 금융기관들이 직면하고 있는 IT 리스크에 대해 공개적으로 논의하고 싶어 하지 않는다는 느낌을 받았다. 대답이 엇비슷해 정확한 IT 리스크를 짚어내기가 어려웠다. 그래서 할 수 없이 각 은행의 담당 CIO나 기획팀장을 직접 찾아 갔다. 예전에 CEO할 때는 은행을 방문하면 그래도 팀장이라도 입구에서 기다리고 있다가 안내도 해주더니 이번엔 개인 자격으로 가니까 신분증 내고, 방문증 받아 휴대폰 카메라에 스티커도 붙이고 두리번거리며 찾아들어가야 했다. 그래도 어떻게 하나? 일단 만나 주는 것만 해도 고마운 거지. 속으로 ‘아~ 옛날이여’를 부르며 팀장 책상 옆에 앉아 인터뷰를 했다.

개별적으로 만나 얘기를 나누다 보니 설문조사엔 잡히지 않았던 IT 리스크가 좀 더 분명해지고 그 배경을 이해할 수 있게 됐다. 7개 은행의 책임자들을 인터뷰했다. 이후에 리스크들의 인과관계를 좀 더 심도 있게 검토하기 위해 5개 은행의 실무자들과 간담회를 가졌다. 그랬더니 IT 리스크에 대해 훨씬 더 명쾌해졌다.

그러한 노력을 통해 우리나라 금융기관의 IT 리스크를 총 7개 분야로 종합했다. △IT 운영 △IT 인력 고령화 △IT 운영 예산 감소 △IT 아웃소싱 심화 △정보 유출 △외산 소프트웨어 종속 △규제 준수 리스크로 정리했다. 이 리스크 하나하나가 매우 큰 주제여서 앞으로 하나하나 문제점과 대책을 설명하겠다. 우리 주변의 대형 사고가 다 그렇지만 겉보기에 멀쩡해 보인다고 방심하고 있으면 안 된다. 모든 시설물이 안전을 위해 정기적인 점검과 보수가 필요한 것처럼 금융기관의 IT도 주의 깊게 관리하지 않으면 큰 사고가 날 가능성이 있다. 다시 한 번 꼼꼼하게 IT 리스크를 점검해 보는 계기가 되었으면 좋겠다.

IT 리스크를 분석하는 데 한국은행 금융결제국의 ‘2013년 금융정보화 추진 현황’이 큰 도움이 됐다. 아마도 이 자료가 없었으면 책상에서 연필만 굴리다 만세 불렀을 가능성이 크다.

한동안 직접 서류 작업을 안 하다가 처음부터 끝까지 혼자서 자료를 만드는 작업이 쉽지 않았다.

이번 작업을 통해 IT 리스크 거버넌스에 대해 많은 공부를 했다. 76쪽의 논문도 한 편 썼고 한 시간 분량의 발표 자료도 만들었다. 회사 관두고 추구해야 할 목표를 잃어 버려서 방황했었는데 이번 작업으로 모처럼 집중과 몰입할 수 있어서 행복했다. 고마운 일이다.

한글, 워드, 엑셀, 파워포인트 작업을 하는 것을 집사람이 어깨 너머로 보더니 당신 이런 거 다 언제 배웠냐고 물어 본다. 환갑 넘어 이렇게 쓸 수 있는 사람 몇 안 될 걸 했더니, 바로 비수가 되날아온다. 나이 들어서 그런 것 안 하고 사는 것이 잘사는 것 아녜요? 답을 할 수가 없었다. ‘쩝’ 밖에는.

CIO포럼 회장 ktlee777@gmail.com