금융환경이 변화한다. 특히 국내 금융환경은 핀테크 등으로 최대 전환기를 맞았다. 거래가 대면에서 비대면으로, 인터넷에서 모바일로, 안정적 고수익에서 불안한 저수익으로, 규제 중심에서 규제 완화로 모든 환경은 변화한다. 금융환경 변화로 내부 정보기술(IT)환경도 급변한다. 이 과정에서 예상치 못한 IT리스크가 발생한다.
이강태 CIO포럼 명예회장은 최근 ‘디지털 금융 혁신 전략과 CIO·CISO 아젠다’라는 주제로 개최된 세미나에서 금융사 주요 IT리스크 원인과 해법을 제시했다. EY와 시만텍이 발표한 자료 기반으로 금융사가 직면한 IT리스크 7가지를 선정했다.
첫째는 IT운영리스크다. 금융사는 끊임없이 디지털화, 24×365 운영, 사이버 공격, 융·복합화를 요구받는다. 정보시스템은 매우 복잡해진다. 반면 대응할 거버넌스는 없다. 과도한 하드웨어(HW) 투자와 아웃소싱, 최고경영자(CEO) 지원 부족 등이 IT사고를 발생시킨다.
해법으로 인력관리, 교육훈련, 갑작스러운 대형사고 대비, 데이터센터 등 시설관리 등이 제시된다. 이 회장은 “금융에서 IT 중요성이 커지면 커질수록 사고시 복구 요구도 커진다”며 “지속적 분석과 치밀한 계획, 철저한 교육훈련으로 안정적 IT운영이 가능하도록 해야 한다”고 충고했다.
금융IT 인력의 고령화도 골칫거리다. 금융감독원이 은행 직원 연령을 분석한 결과, 40대 이상이 48.6%다. 20년 이상 근무한 직원 비율도 35.6%다. 상대적으로 이동이 적은 IT인력은 고령화가 더 심각하다. 경력관리, 교육훈련, 성과주의 확립, IT직업관 확립이 절실하다. 오래 근무한 직원이 회사 부담이 아닌 자산이 될 수 있도록 체계를 마련해야 한다. 퇴직 후 계약직으로 전환, 노하우를 활용할 수 있도록 하는 것이나 금융 공동 IT교육제도 마련도 대안이다.
잇따라 발생하는 정보유출 사고도 금융사에게 큰 IT리스크다. 지난 2008년 1월부터 2014년 3월까지 유출된 개인정보는 2억3000만건에 이른다. 외부 불법 침입, 내부 사용자 고의나 실수, 원격지에서 내부시스템 접속관리 소홀, 이동저장장치(USB) 등 저장매체 관리 소홀 등 원인도 다양하다. 정보 유출을 최소화하기 위해 어떤 정보가 어디에 있는지, 어떤 경로로 유통되는지 디렉터리를 파악하고 그에 맞는 정책을 만들어야 한다. 명확한 정책 집행 프로세스와 직원 대상 정보보호교육도 필수다.
증가하는 아웃소싱 의존도도 IT리스크를 발생시키는 원인이다. 금융권 업종별 아웃소싱 비율은 보험·카드사는 60%를 넘는다. 은행도 자체 수행 비율이 58.1% 정도다. 금융사 아웃소싱 비율은 현 상태로 유지된다. 금융사가 아웃소싱을 유지하는 배경은 IT비용 절감, IT인력 감소, 차세대 후 프로그램 유지보수, 금융그룹 계열 IT서비스기업 보유, 인터넷과 모바일 앱 증가 등이다. 아웃소싱에 따른 IT리스크를 줄이기 위해 거버넌스와 서비스수준협약(SLA) 체계를 강화해야 한다.
외산 소프트웨어(SW) 사용 확대도 IT리스크 요인이다. 한국오라클의 금융부문 매출액은 2000억원, 시장점유율은 65%다. 라이선스보다 기술 지원료가 더 부담이다. 특정 SW 종속으로 시스템 유연성이 떨어진다. 고객지원 프로그램과 오픈소스 활용이 대안이다.
IT운영비용 감소와 컴플라이언스 강화도 최고정보책임자(CIO)를 힘들게 하는 요인이다. 정보시스템 규모는 매년 큰 폭으로 늘어나지만 운영예산은 10% 수준에서 머무른다. 최근 10% 미만으로 낮아지는 추세다. 이 회장은 “저수익성 확대로 운영예산을 늘리기는 어렵다”며 “비용 효율을 원점에서 분석하고 기여도에 입각한 비용 집행에 주력해야 한다”고 제안했다. 늘어나는 컴플라이언스는 정확한 이해와 적극적 구현 등이 필요하다. 전담팀을 구성하는 것도 방법이다.
<표. 금융권 IT리스 경감 대책 우선순위/자료:한국CIO포럼>
신혜권기자 hkshin@etnews.com