[논문]금융회사 내 최적의 정보보호조직 형태에 대한 연구 - 경영진(CISO, CIO, CPO) 관계를 중심으로 -

김상호; 김인석

doi:10.13089/jkiisc.2018.28.4.941

금융회사 내 최적의 정보보호조직 형태에 대한 연구 - 경영진(CISO, CIO, CPO) 관계를 중심으로 -
A Study on Optimal Information Security Organizational Form in Financial Companies - Based on the Relationship between Management - 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.28 no.4, 2018년, pp.941 - 950

김상호 (고려대학교 정보보호대학원) , 김인석 (고려대학교 정보보호대학원)

초록
AI-Helper

금융회사의 정보보호조직 형태는 정보기술최고책임자(CIO)와 정보보호최고책임자(CISO), 개인정보보호책임자(CPO)의 책임과 역할 부여에 따라 다양한 조직 구성의 형태를 갖는다. 하지만 이러한 다양한 형태의 정보보호조직이 최적의 조직 형태인지는 살펴볼 필요가 있다. 본 연구에서는 CISO, CIO, CPO관계 측면에서 다양한 정보보호조직 형태 가운데 일반적으로 금융회사가 갖는 정보보호조직 형태 중 대표적인 6개 조직형태를 후보군으로 선정하고 금융회사만이 갖는 몇 가지 고유한 특성과 공인된 외부의 정보보호 거버넌스 요소를 평가척도로 활용하여 최적의 금융회사 정보보호조직 구성 형태가 어떤 모습인지 연구 및 도출해보고자 한다.

Abstract ▼ AI-Helper

The form of information security organization of a financial company has various organizational forms in accordance with the responsibilities and roles of the Chief Information Officer (CIO), the Chief Information Security Officer (CISO) and the Chief Privacy Officer (CPO). However, it is necessary to examine whether these various types of information protection organizations are the optimal organizational forms. In this study, six types of information security organizations among the various types of information security organizations in terms of CISO, CIO, and CPO relationship were selected as candidates. This paper aims to study and elucidate the optimal organizational form of information security for financial companies.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

IT부문 경영실태평가는 ①IT감사, ②IT경영, ③시스템 개발․도입 및 유지보수, ④IT서비스 제공 및 지원, ⑤IT보안 및 정보보호, 이렇게 5개 분야로 분류되어 운영되고 있으며[8] 본 연구에서 다루고자하는 정보보호조직과 관련한 평가항목은 IT보안 및 정보보호분야에 있는 CISO와 CIO의 분리운영 여부를 참고하고자 한다.
본 연구는 정보보호업무를 여전히 IT보안의 영역으로만 바라보는 대다수의 금융회사들과 개인정보보호조직과 정보보호조직의 역할은 다르다고 생각하는 금융회사들에게 의미있는 결론을 제시한다고 생각한다. 아무쪼록 본 연구를 통해 금융회사의 정보보호조직 구성을 고민하는 이와 기업에게 조금이나마 나은 방향을 제시할 수 있기를, 그래서 해당 기업의 정보보호수준을 향상시키는데 도움이 되기를 기대해본다.
본 연구에서는 금융회사 내 최적의 정보보호조직형태 도출의 평가기준으로서 정보보호관리체계에서 요구하는 조직 관련 요구수준을 활용하고자 하며, 위에서 언급한 정보보호관리체계 중 국내 정보보호관리체계(ISMS) 인증과 개인정보보호관리체계(PIMS) 인증을 기준으로 해서 활용해보고자 한다.
본 연구에서는 금융회사가 준수해야할 수많은 법규들 가운데 정보보호와 관련하여 대표적인 전자금융거래법과 정보통신망법 그리고 개인정보보호법을 살펴보고 금융회사가 준수해야할 정보보호관련 법규 준수사항은 무엇인지 이를 위해 금융회사의 역할과 조직은 어떻게 구성되어야 하는지를 살펴보고자 한다.
본 연구에서는 금융회사의 다양한 정보보호조직 형태 가운데 최적의 정보보호조직 형태 도출을 위해 3가지 평가기준(①공인된 정보보호관리체계, ②금융권 컴플라이언스, ③감독기관의 매뉴얼 및 가이드라인)을 세우고 이 기준에 가장 부합하는 최적의 금융회사 정보보호조직 형태를 모색해 보고자 한다.
본 연구에서는 정보보호관리체계 인증 기준[3] 중조직과 관련된 부분으로서 한 기업이 조직의 규모, 업무 중요도 등의 특성을 고려하여 정보보호 관리 활동을 지속적으로 수행할 수 있는 정보보호 조직이 구성되어 있는지(관리과정 2), 정보보호최고책임자(CISO)는 지정이 되어있고, 정보보호활동을 체계적으로 이행하기 위한 실무조직을 갖추고 있는지(보호 대책 2) 등을 평가기준 항목으로 활용하고자 한다.
본 연구에서는 정보보호조직 구조 도출을 위한 평가기준으로서 보안수준 진단항목 중 ‘보안조직 구성 및 운영’ 부분과 ‘보안전담 조직 구성’, 그리고 ‘전략적 연계’ 부분을 평가기준으로 활용하고자 한다.

제안 방법

계층화 분석법(AHP)에서는 평가기준별로 중요도에 따라 가중치를 두어 결과에 반영할 수 있으며 본 연구에서는 두 번째 기준인 ‘컴플라이언스 준수’에 대하여 법률로써 갖는 강제성과 구속력을 감안하여 나머지 두 가지 기준보다 약간의 중요도를 높이는 방향으로 연구를 진행하였고, 그에 따라 부여한 각 기준별 중요도는 Table 8.과 같다.
둘째로 법률 제27조에서 정하는 바와 같이 이용자의 개인정보를 보호하고 개인정보와 관련한 이용자의 고충을 처리하기 위하여 개인정보 보호책임자를 지정하도록 하였다. 동 법률 시행령 제15조에서는 개인정보의 안전한 처리를 위하여 개인정보 보호책임자의 지정 등 개인정보보호 조직의 구성·운영에 관한 사항을 다시 한 번 강조하고 있다.
본 고시의 주요내용은 개인정보에 대한 불법적인 접근을 차단, 접속기록의 위조·변조 방지, 비밀번호의 일방향 암호화 저장과 주민등록번호, 계좌정보 및 바이오정보 등 암호화 의무 저장, 개인정보처리시스템 및 개인정보취급자가 개인정보 처리에 이용하는 정보기기에 컴퓨터바이러스, 스파이웨어 등 악성프로그램의 침투 여부를 항시 점검·치료할 수 있도록 백신소프트웨어를 설치·주기적 갱신·점검 등에 관한 사항이다.
본 연구에서 활용하고자 하는 부분은 조직과 관련한 개인정보 관리체계(PIMS) 인증 기준으로서 개인정보보호책임자(CPO)를 지정하여 운영하고 있는지(관리과정 1.3), 해당 조직에서는 개인정보와 관련한 자산을 식별하고 중요도를 부여하여 관리할 수 있는지(관리과정 2.1), 또한 개인정보보호 영역에 대한 위험을 평가하고 위험수준을 설정하여 관리할 수 있는지(관리과정 2.2)를 활용하고자 한다.
이제 이원비교를 통해 산출된 평가기준별 선호도와 평가기준별 상대적 중요도를 사용하여 각 후보군별 최종 적합도를 산출해보기로 한다. 가중합계를 구하는 방법을 1-1(안)의 예를 들어 살펴보면 아래와 같은 산식으로 표현할 수 있다.
일반적으로 정보보호조직의 형태는 수많은 유형과 형태를 보일 것으로 예상되나, 실제 보험업권에 속해있는 생명보험 및 손해보험사 중 18개사를 대상으로 정보보호조직 형태를 조사해 본 결과 크게 5가지 유형으로 구분할 수 있었으며 이를 특징별로 구분하여 본 연구에서는 총 6개의 조직 후보군을 대상으로 비교 연구를 진행하고자 한다.(Table 4.
정보보호 담당자에게 사전 검증용으로 배포된 본 가이드라인을 살펴보면 우선, 금융회사 스스로 고유위험을 측정하여 위험점수와 금융회사의 고유위험 수준을 5단계(높음, 약간높음, 보통, 약간낮음, 낮음)로 산출할 수 있도록 하였고, 고유위험에 따라 목표보안수준(등급)을 설정하고 현재 보안수준을 진단할 수 있도록 마련하였다.

데이터처리

산출된 결과값을 토대로 계층화 분석(AHP) 진행을 위해 각 후보간 이원비교를 실시하였다. 이원비교는 6개 후보군이 존재하므로 각 평가기준별 총 15번(₆C₂) 비교를 하게 되며 이원비교 시 사용할 척도값은 앞서 구한 각 후보군의 평가기준별 소계값을 사용하였다.

이론/모형

본 연구에서는 정보보호조직 구성 모델 간 최적의 모델을 도출하기 위해 계층화 분석법(AHP - Analytic Hierarchy Process)을 사용해서 분석하고자 한다. AHP분석은 다양한 정보보호조직 구성형태 간 상대적인 비교를 통해 상대적인 적합도를 체계적으로 점수화할 수 있는 다기준 의사결정(Multi Creteria decision making)기법이기 때문이다[12].

성능/효과

1 미만인 경우 일관성이 있다고 판단하며, 일관성비율이 0인 경우, 완벽한 일관성을 갖는다고 본다. 본 연구의 이원비교행렬에 대한 일관성 비율은 모든 평가기준에 대하여 CR=0의 값을 갖는 것으로 계산되었으며 이는 후보군별 사실관계에 기반한 일관성 있는 조사 결과값을 사용하였기 때문인 것으로 충분히 예상할 수 있었다.
최적의 정보보호조직 구성을 찾기 위한 세 가지 평가 기준들 첫째, 공인된 정보보호 관리체계 기준과 둘째, 금융권 컴플라이언스 준수 기준, 그리고 셋째 감독기관의 매뉴얼 및 가이드라인 기준을 토대로 도출한 최적의 정보보호조직 구성형태는 정보기술최고책임자(CIO)과 정보보호최고책임자(CISO)가 대등하게 상호 독립적으로 위치하며 정보보호최고책임자(CISO)는 전사 개인정보보호까지 총괄하여 개인정보보호책임자(CPO)역할을 겸하는 조직이었다.
최종 적합도 결과를 통해 알 수 있는 점은 여러 평가기준(공인된 정보보호관리체계 기준, 금융권 컴플라이언스 평가기준, 감독기관의 매뉴얼 및 가이드라인 기준)을 고려할 때 금융권 정보보호조직으로서 가장 바람직한 역할수행을 기대할 수 있는 조직구성은 1-2(안)으로서 정보기술최고책임자(CIO)과 정보보호최고책임자(CISO)가 대등하게 상호 독립적으로 위치하며 정보보호최고책임자(CISO)는 전사 개인정보보호까지 총괄하여 개인정보보호책임자(CPO)역할을 겸하는 조직임을 알 수 있었다.

후속연구

본 연구는 정보보호업무를 여전히 IT보안의 영역으로만 바라보는 대다수의 금융회사들과 개인정보보호조직과 정보보호조직의 역할은 다르다고 생각하는 금융회사들에게 의미있는 결론을 제시한다고 생각한다. 아무쪼록 본 연구를 통해 금융회사의 정보보호조직 구성을 고민하는 이와 기업에게 조금이나마 나은 방향을 제시할 수 있기를, 그래서 해당 기업의 정보보호수준을 향상시키는데 도움이 되기를 기대해본다.

참고문헌 (12)

Financial Services Commission "Comprehensive measures to strengthen financial computer security", pp,13, Jul. 2013
Ministry of Science and Technology, No. 2015-0324 "Designation of Information Security Management System Certification Body", Jul. 2015
Korea Internet & Security Agency (KISA), "Information Security Management System (ISMS) Certification Guidebook", pp. 38, April 2017
Korea Internet & Security Agency (KISA), "PIMS Certification Guidebook (Volume 1) - Operating System", pp.18-19, April 2017
Financial Services Commission, Financial Regulatory Complaints Portal, http://better.fsc.go.kr/fsc/subIndex/72.do, 2017-12-18
Financial Services Commission, "Shadow Regulation Improvement by Administrative Guidance", Sep, 2015
Financial Services Commission, "Strengthening Information Technology (IT) Sector Inspection of Financial Institutions", December 1999
Financial Supervisory Service, "IT Inspection Service Guide (January, 17)", Feb, 2017
Financial Supervisory Service, "Holding a Briefing Session on Supervision and Inspection of the IT & FinTech Division in 2018", Mar, 2018
Korea Information Security Agency "Standardization Study on Information Protection Governance for Information and Communication Companies", pp. 80-83, Dec. 2008
Kim, Jeong-Deok, "A Study on the Key Success Factors for Effective Implementation of Personal Information Protection Governance" Jonornal of The Korea Institute of information Security & Cryptology, 21(5), pp. 199-201, Oct. 2011
Thomas L. Saaty, "Analytic Hierarchy Process. In: Gass S.I., Fu M.C. (eds) Encyclopedia of Operations Research and Management Science", Springer, Boston, MA, 2013

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증