금융기관의 대부분의 업무가 IT시스템에 의해 처리되고 있고, 고객요구수준의 증대와 금융기관간 경쟁심화 등으로 즉각적인 서비스를 제공하는 비대면 채널(인터넷 뱅킹, 펌뱅킹, 사이버 트레이딩, 스마트 뱅킹 등)이 증가하고 있으며, IT부문의 투자규모가 점점 확대되고 있다. 이에 따라 금융산업에 대한 IT가 고도화가 되고 있으며 서비스에 대한 효율성을 최고 기치로 하여 고객들의 요구수준 만족을 극대화시키고 산업발전을 이루어 왔으나 비대면, 자동화 시스템으로 진행되는 금융 IT환경은 안전성이라는 문제를 여전히 안고 있다. 시스템의 자체 결함이나 악의적 의도를 가진 제3자의 공격, 개인 및 금융정보의 무단 침해 및 조작으로 금전전인 피해는 물론이며 개인정보유출에 따른 2차적인 피해로 금융산업전체의 대외신인도 하락에 큰 영향을 주고 있는 등 고객들의 불만이 제기되고 사회적으로 이슈가 되고 있는 상황에서 보다 근본적인 보안대책이 시급하다.
국내에서는 이러한 사고예방을 할 수 있는 제도적인 장치로서 정보시스템 감리와 영업연속성계획(Business Continuity Plan)가 있다. 정보시스템감리는 2005년 12월에 ‘정보시스템의 효율적 도입 및 운용 등에 관한 법률’이 제정되어 감리가 의무화 되었으며, 감리대상으로부터 독립된 제 3자가 정보시스템의 효과성, 효율성 및 안전성 향상을 위하여 정보시스템의 구축 • 운영에 대한 종합적인 점검 및 평가, 개선이 필요한 사항을 권고할 수 있도록 법제화되어 정보시스템의 효과성, 효율성 및 안전성을 확보하는데 중점을 두고 있다. 영업연속성계획(BCP)은 기업이 재해 발생시에도 핵심 업무 기능을 계획된 수준 또는 중대한 변경없이 지속할 수 있도록 전사적인 정책 및 절차를 수립하여 이행하는 것을 의미하는 것으로 기업의 재난 관리제도로서 이용되고 있다.
현재 금융감독원에서는 금융기관의 IT 시스템 개발, 도입, 유지보수를 위한 조직 및 요원관리, 지침 및 절차의 수립•준수상황, 실제 이행 현황, 시스템문서화, 내부통제용 시스템의 구축, 시스템 통합시의 안전대책 등에 대해 중점 점검하여 효과적이고 효율적인 시스템을 구축하고 시스템 및 프로그램의 변경과정에 대한 적절한 통제제도를 수립하도록 하기 위하여 ‘IT검사 매뉴얼’을 제작•배포하고 있고 금융기관들이 이 기준에 맞추어 통제제도나 시스템을 구현해 놓고 있다. 하지만 금융 IT관련 사고와 관련해서 공격 종류 및 사고유형이 다양화되고 점점 증가추세를 보이고 있으며, 최근 금융당국이 ‘금융회사 IT 보안강화 종합대책 마련’을 마련하는 등 금융 IT환경 전반에 대해 안정성이 더욱 부각되고 있는 상황에서 다양한 사고 등에 사전에 예방할 수 있는 추가적인 고려사항이 대두가 되고 있으며, 현행 IT검사 매뉴얼의 분석을 통해 정보시스템감리와 BCP 등을 결합한 통합적인 검사 모델에 대해 고려할 필요가 있다. 이를 통해 IT관련 사고를 줄이고 IT시스템의 안정성을 보장해 줄 수 있는 추가적인 방안이 IT검사 매뉴얼에 적용되어야 한다.
이에 따라 한국정보화진흥원의 정보시스템 감리지침과 BCP의 점검사항들을 토대로 추가 보완적인 항목을 도출하고 도출된 항목을 IT검사에 적용했을 경우 안정성, 가용성, 신뢰성의 점검능력을 확보하여 효과성을 향상시킬 수 있는지를
연구해보고자 한다.