2022-08-14 10:40 (일)
[박나룡 보안칼럼] 내부통제의 허점
상태바
[박나룡 보안칼럼] 내부통제의 허점
  • 길민권 기자
  • 승인 2022.06.03 11:09
이 기사를 공유합니다

예방통제 관점 프로세스 수립 중요...위협 적발통제 지속적으로 높여야

최근 내부통제의 교과서로 불릴만한 은행권과 상장회사 등에서 큼지막한 내부통제 사고가 발생하고 있다.

이런 사고가 어제 오늘의 일이 아니지만, 최근에 그 수법이 갈수록 대담해지고 규모도 더욱 커지면서 액수와 빈도가 늘어나는 상황으로, 내부통제 시스템이 적절하게 작동하고 있는지 의문을 갖지 않을 수 없는 상황이다.

이는 금융기관의 내부통제와 감시체계가 허점을 드러내면서 소비자들의 불안도가 커질뿐만 아니라, 정보보호 관점에서 중요 정보의 유출이나 내부자 관리 관점에서도 시사하는 바가 크다.

권한의 집중

이러한 횡령사고의 주요 원인 중의 하나가 계약자 정보의 무단 도용 및 변경과 이를 가능하게 하는 권한의 집중이다. 

한 두 사람에게 리스크가 있는 업무를 최종 단계까지 처리할 수 있도록 하는 것은, 의도치 않은 유혹에 빠질 수 있는 가능성을 높일 수 있고, 실제 사고가 발생했을 때 확인이 늦어지거나 어렵게 만드는 이유일 수 있다.

이는 근본적으로 내부통제 프로세스의 이슈로 생각할 수 있지만, 상당 부분 조직 문화와도 깊은 관련을 가지고 있다.

수 년간 함께 일한 동료에 대한 신뢰를 바탕으로 업무를 수행하는 조직에서 강력한 내부통제 프로세스를 구축하기란 쉽지 않기에, 조직 문화 측면에서 통제 적용에 대한 공감대를 만들어 나가는 노력이 중요하다.

또한, 조직에서 최상위 권한을 가진 조직원이나 임원에 대한 통제를 부담스럽게 접근하면 내부통제의 큰 구멍이 될 수 있다.

많은 권한을 가진 사람이 더 큰 사고를 야기할 수 있기 때문이다.

정보보호 관점에서도 권한의 집중으로 인한 문제를 예방하기 위해 여러 개의 통제항목을 두고 있다.

ISMS-P 인증기준 2.5.3 사용자 인증에는, "정보시스템과 개인정보 및 중요정보에 대한 사용자의 접근은 안전한 인증절차와 필요에 따라 강화된 인증방식을 적용하여야 한다. 또한 로그인 횟수 제한, 불법 로그인 시도 경고 등 비인가자 접근 통제방안을 수립·이행"하도록 하고 있고, 

2.5.5 특수 계정 및 권한 관리에도, 특수 목적을 위하여 부여한 계정 및 권한을 식별하고 특수권한자 목록 작성·관리, 특수권한자에 대해서는 예외조치 최소화, 모니터링 강화 등의 통제절차 수립·이행하고, 외부자에게 부여하는 특수권한은 필요시에만 생성, 업무 종료 후에는 즉시 삭제 또는 정지하는 절차를 적용, 특수권한자 현황을 정기적으로 검토하여 목록을 최신으로 유지하는 등의 통제를 적용하도록 하고 있다.

리스크 식별

통제의 필요성에 대한 조직 구성원의 이해가 갖춰져 있고, 내부통제 프로세스가 수립된 조직에서는 식별되지 않은 리스크를 찾아내는 일이 중요하다.

일상적인 업무와 비일상적인 업무 속에서 발생할 수 있는 리스크를 식별하지 못하고, 그에 따른 통제 절차를 마련하지 않으면, 예상치 못한 곳에서 사고가 발생할 수 있기 때문이다.

큰 조직일수록 비일상적인 업무 속에서 사고가 종종 발생할 수 있음을 인식하고, 리스크 식별을 위한 리소스를 충분하게 투입할 필요가 있다. 

크로스 체크 : 서로 다른 복수의 관점, 방법, 자료 따위를 대조하여 정보나 보고 따위를 검사하는 일. 또는, 그러한 검사 방법

리스크 식별을 통해 확인된 일정 기준 이상의 리스크 또는 업무에 대해 크로스 체크를 할 수 있는 방법을 마련해야 한다.

일반적으로, 진행하는 시점에 체크를 하는 것이 기본이고, 중요도에 따라 사전, 진행되는 시점, 종료 후, 3단계로 구분하여 진행하는 것도 고려해야 한다.

체크 시점도 즉시 체크를 해야 하는 업무가 있고, 정기적인 모니터링을 통해 확인하는 방법도 있다.

이는 조직의 리스크 특성에 따라 고민하고 적용해야 할 부분으로, 중요한 것은 구성원들이 크로스 체크가 일상적으로 있을 수 있는 일임을 인정하고 수용할 수 있어야 한다.

조직의 내부통제 시스템은 구성원의 인식이 가장 중요하지만, 의도 자체를 미연에 방지할 수 있는 예방통제 관점의 프로세스를 수립하고, 사고가 완성되지 못하도록 적절한 시점에 찾아낼 수 있는 능력(적발통제)을 지속적으로 높여가는 것도 함께 병행해 나가야 한다.

박나룡 보안전략연구소장
박나룡 보안전략연구소장

관련 기관에서도 사후 대응에만 치중하기 보다, 모범 사례 중심의 충분한 가이드를 제공해주고 예방통제와 적발통제가 효과적으로 수행될 수 있도록 도와주는 역할에 더 관심을 쏟아야 할 것이다.

[글. 박나룡 보안전략연구소 소장 / isssi@daum.net]

★정보보안 대표 미디어 데일리시큐!★