조직의 기능․자 산 등에 큰 위협

실제 과학기술정보통신부가 실시한 2017년 기업부문 정보보호실태조사에서는 금융 및 보 험업종과 비교한

정보서비스업의 보안역량․ 인식 수준은 정보보호정책 수립 비율(82.8% : 41.6%), 정보보호와 개인정보보호

조직 공동운 영 비율(33.1% : 14.5%), IT예산 중 정보보호예 산 편성 비율(92.2% : 61.3%), 경영진의 정보보

호 중요성 인식 비율(75.9% : 54.6%, 5단계 평가 중 가장 높은 ‘매우 중요하다’ 선택 비율 기준) 등에서 차이

를 보여주고 있다[28]. 서두에 제시한 것과 같이 국내에서 IT에 기반 한 서비스와 새로운 유형의 신종전자지

급서비 스의 규모는 지속적으로 확대되고 있으며, PSD2 와 같은 제도가 본격적으로 도입된다면, 기존 금융

기관과는 규모․특성․보안인식․투자수 준 등이 상이한 다양한 조직의 금융시장 참여를 보다 촉진할 것이다.

금융시장은 본질적으로 금 융기관에 대한 이용자의 신뢰가 시장을 유지하 고 발전시키는 기반이 되며, 따라

서 이러한 신뢰 와 안정을 해칠 수 있는 보안위험에 대한 대응․ 관리와 이용자 보호는 시장의 혁신이라는 제

도 도입의 목적 달성을 위해서도 중요한 요소이다. 앞서 분석한 것과 같이 유럽연합은 이런 관 점에서 금융

시장 참여 기관이 자체적으로 보안 위험을 관리할 수 있도록 PSD2에서 시장진입 을 위한 허가 또는 등록 단

계의 규제를 통해 위험평가에 기반한 보안수단과 통제절차 등을 보유하도록 하고 있으며, 서비스 제공 단계

에 서도 위험평가에 근거한 보안위험관리체계를 지속적으로 유지․개선하도록 요구하고 있다. 유럽연합의

이러한 규제 방향은 서비스 제공 단계의 요건에서 위험평가를 위험관리프레임 워크의 독립항목으로 규정하

고 있는 점에서도 명확하게 확인할 수 있었으며, 보안위험 대응에 관한 다른 항목에서도 시스템과 업무 등

의 중요 도 분석, 핵심 역할을 수행하는 임직원의 식별, 업무 연속성 확보를 위한 기능과 절차의 확인 등을

위험평가에 근거하도록 명시하여 규제 대 상 기관이 보안위험관리를 일관성 있게 위험평 가에 근거토록 하

고 있는 것에서도 또한 확인할 수 있었다. 이와 같이 PSD2에서 보안위험에 대 한 제도적 대응을 위험평가에

근거하도록 규정 한 내용을 분석하여

로 제시하였다. 또한 유럽연합은 2016년에 유럽연합의 전반 적인 정보보호 수준향상을 위하여 범 유럽 차

원의 사이버보안 관련 규제 지침인 네트워크와 정보시스템의 보안에 대한 지침(The Directive on security

of network and information systems, NIS Directive)을 제정하고 2018년까지 소속 국가에 대해서 동 지

침에 대응하는 자국 법규를 수립하도록 규정하였다[8]. 그리고 이에 대해 유럽연합 사이버보안청

(European Union Agency for Cybersecurity)이 각국 금융당국과 규제 대상 기관이 PSD2와 동 보안규제

기준과 의 일관성을 유지할 수 있도록 제공한 맵핑 가 이드[9]에서 과 같이 두 지침이 공 통적으로 위험평가

와 위험관리 관련 항목을 포 함하는 것을 확인할 수 있으며, 이는 유럽연합 이 보안위험에 대한 제도적 대응

에 있어서 각 기관이 위험평가에 기반하여 적정 위험관리체 계를 확보하도록 일관되게 대응하고 있음을 보

여준다. 위험평가에 기반한 보안위험관리로 보안위 험에 제도적으로 대응하는 것은 미국에서도 확 인할 수

있는데, 미국표준기술연구소(National Institute of Standards and Technology, NIST) 는 연방정부의 보

안위험 관리를 위한 지침[32] 에서 공공은 물론 민간 조직도 업무 수행을 정 보시스템에 의존하고 있으며,

이에 대한 보안 위험은 인지 여부와 관계없이 조직의 기능․자 산 등에 큰 위협이라고 정의하였다. 그러므로

정보보호를 조직 차원의 위험관리와 무관한 기 술적인 문제로 한정하는 고위 경영진의 경향은 부적절한 보

안위험 대응으로 이어지며, 따라서 고위 경영진이 보안위험 관리를 조직의 핵심 기능으로 인식하고 책임지

는 것과, 충분한 자 원을 투입하여 조직에 적합한 보안위험관리체계를 구축하는 것이 중요함을 강조하였다

출처 : 메이저토토사이트 ( https://ptgem.io/ )

댓글 남기기