출처 : cio ciso 매거진 289호
http://www.ciociso.com/news/articleView.html?idxno=10274
정보보호 인식 스며들도록 ‘감성’
발휘한다
O&T본부, 융합과 통섭으로 핵심부서 자리매김
우리투자증권의 ‘Operation&Technology본부’는 해외에서는 운영되고 있는 사례가 있지만 국내
금융업계에서는 지난 2009년 처음 시도된 조직이다. Operation&Technology본부는 우리투자증권의 각 사업본부들을 지원하는
Middle&Back Office 통합 역할을 한다. 이는 IT개발과 운영 외에도 각종 프로세스를 수립해주고 시행하는 일에 대해 스탭
바이 스탭(Step by Step)업무지원을 해주는 것을 의미한다.
Operation&Technology본부는 특히 급변하는
금융환경과 변화에 적극적으로 대응하면서도, 현업이 요구하는 다양한 비즈니스, 상품, 서비스를 적시에 효과적으로 출시하는 데 가장 큰 중점을 두고
있다. 이외에도 고객군의 행동패턴 변화에 적극적으로 대응하기 위한 본부지원의 역량, 인프라, 보안체계를 공고히 하면서 신규 법/제도로 인한
새로운 사업기회를 적시에 포착해야 한다. 금융 패러다임의 변화에 능동적으로 대응하는 체계를 지속적으로 보유함으로써 우리투자증권의 경쟁력을
제고하는 것이 Operation&Technology본부의 역할인 셈이다.
이 때문에 Business Enabler를 넘어
Business Partner, 그리고 Business Innovation을 가져오는 본부가 되야한다는 임무를 지니고 있다. 향후 민영화와
글로벌화를 앞두고 있는 우리투자증권은 Operation&Technology본부 역할의 중요성을 더욱 인정하면서, 향후 1~2년 동안은
본부 역할이 더욱 강화될 것으로 전망하고 있다.
이 외에도 최근 대고객 모바일 서비스 제공에 주력하고 있는 우리투자증권은 지난 5월,
Mug Smart의 프레임워크를 기반으로 구축된 WMP(Woori Mobile Partner)를 출시해 업계에 긍정적인 호응을 이끌어내고
있다.
WMP는 과거 고객이 지점 창구를 방문해야 가능했던 계좌개설, 금융상품 판매 등을 고객이 원하는 장소 어디에서나 제공하는 서비스다.
또한 우리투자증권은 장애인차별금지법에 대응하기 위한 시스템개발과 거래소 포스트 차세대 시스템 도입에 대한 대응 및 해외사업을 위한 글로벌
트레이딩 센터 내 시스템 구축 등 자본 통합법 개정으로 인한 투자은행 활성화 프로젝트들을 진행 중이다. 한편 본부 내 정보보안 팀을 신설해 기존
내부 전문가를 비롯해 네트워크, 침입탐지, 보안 아키텍처 등 보안 영역 전문가를 외부 영입해 ISO27001 인증을 획득 하는 등 정보보호
위험을 계량화해 연속성 있는 관리체계를 수립하기 위한 작업이 한창이다. 오세임 우리투자증권 Operation&Technology본부
상무는 이러한 활동의 중심에 있는 인물로 CIO, CISO, CPO의 역할을 책임지며 바쁜 나날을 보내고 있다. 20여 년이 넘는 시간동안 IT
업계에 몸담고 있는 그를 만나 우리투자증권의 최근 정보화 이슈와 더불어 계획에 대해 들어봤다.
이지혜 팀장 jh_lee@ciociso.com
WMP로 대고객 지원 서비스 향상
 |
||
우리투자증권 Operation&Technology(이하
O&T)본부 역할은 장기적인 관점에서 볼 때 기술 발전 및 시장상황, 고객행동이 가져올 변화에 능동적으로 대응하는 것이다.
이를
위해O&T전략을 수립하고, O&T의 매트릭스적인 기능을 작동시켜 기업 개인정보보호 및 보안의식이 기업 문화에 스며들도록 해
글로벌한 금융회사로 성장시켜 나가는데 있다. 오세임 상무는 “상품과 서비스 출시, 업무프로세스 개선 등 전반적인 현업 요구사항에 대응하면서도
전사 업무 프로세스의 지속적인 효율화를 위한 방안을 찾는데 주력할 것”이라며 “또한 정보보안 및 개인정보보호를 위한 절차 현행화와 관련 시스템의
개선 작업 또한 이뤄지고 있다”고 말했다.
이러한 다양한 신규제도와 법에 대해 효과적으로 대응하기 위해서는 직원역량 고도화와 결제 및
후선업무 처리의 완결성이 뒷받침 돼야 한다는 게 오 상무의 생각이다. 우리투자증권O&T부서는 국내 금융업계에서는 처음 시도된 부서다.
실제 조직 변화관리를 수행할 수 있는 내부조직으로 우리투자증권 최고경영진의 강력한 지원을 힘입고 출범됐다. 최근 우리투자증권은 Mug
Smart, Mug Smart Tab이라는 Mobile Trading System(MTS)을 통해 개인 고객들에게 당사의 금융상품 서비스를 제공
중이다.
MTS는 국내 대부분 모바일 운영시스템을 지원하며 PC기반의 HTS(Home Trading System)와 클라우드로 연계된
서비스로 업계 관련 분야에서 다수 수상된 바있다. 이처럼 IT 기술이 가져오게 될 영업환경 및 고객 행동패턴에 보다 빠르고 정확하게 대응하기
위해 우리투자증권은 지난 2012년부터 모바일 환경 구축위원회를 운영하고 있으며, O&T 본부장인 오세임 상무가 위원장을 맡고
있다.
오 상무는 “이 위원회에서는 금융소비자 행동패턴이 모바일을 이용한 금융거래로 움직일 것을 염두해 Out Door Sales와
Paperless를 위한 전략을 수립한 후 관련 인프라와 시스템을 구축하게 된다”고 설명했다. 지난 5월, 우리투자증권은 Mug Smart의
프레임워크를 기반으로 구축된 WMP(Woori Mobile Partner)를 출시해, 고객이 지점창구를 방문해야 가능했던 계좌개설과 금융상품
판매를 고객이 원하는 장소 어디에서나 제공할 수 있도록 서비스 하고 있다.
오 상무는 “다만 관련 법 규정이 허용하는 범위 내에서 영업 및
상품제공이 순차적으로 이뤄질 것이며, 콘텐츠 또한 지속적으로 확장 개선해 변화하는 영업환경을 지원하게 될 것”이라고 말했다.
보안, 기업 자율성 존중해야 발전
오세임 상무는 현재 우리투자증권의 CIO, CISO, CPO역할을 담당하고 있다. 그만큼 IT 업무의 운영 및 개발 뿐만 아니라 보안에 대한 사명감 역시 막중하다.
CPO, CISO 는 겸임해서 보안 측면에서 내부통제 겸하는 것이 시너지가 있어 보이지만
정보의 사용을 주 목적으로 하는 CIO 와 정보의 통제를 주 목적으로 하는 CISO/CPO 겸임은 너무 한쪽으로 치우치는건 아닌지 생각해본다.
우리투자증권의 정보보안팀과 개인정보보호팀은 O&T본부 내 O&T기획관리부 소속이며, 정보보안팀은
기존의 내부전문가와 네트워크, 침입탐지, 보안 아키텍처 등 보안 영역 전문가들을 외부 영입했다.
통상 개인정보는 컴플라이언스팀이 맡고 있다.
사규상 컴플라이언스 팀은 관리적인 측면으로 사규 제정, 정책의 시행 여부 및 관리, 결과의 조치 등에 주안점을 두고 있는데 기술적인 부분은 IT내 보안팀이나 그에 준하는 팀에 맡겨 결과만 받는 경우가 많다.
이럴 경우 Role 의 정리가 쉽지 않고 기술적인 분야를 하는 팀이 관리적인 면도 같이 고려해서 하는 경우가 많아 결국 기술적인 업무를 하는 부서가 본의 아니게 많은 비중의 업무를 하는거 같다. 그래서 관행처럼 컴플라이언스팀이 개인정보를 하기 보다는 개인정보보호팀을 통해 하는 것이 더 시너지를 낼수 있을거 같다.
정보보안팀과 개인정보보호팀도 분리하는 것도 좋은거 같다.
보통 정보라는 큰 틀 안에 개인정보가 포함되어 있다고 생각한다.
하지만 정보보안 이라는 것은 나가지 말아야 할 정보를 막는 것에 주안점을 둔 반면
개인정보는 개인정보의 수집, 동의, 저장, 유통 등 고객, 회사, 관련기관 등 3자 고리가 있어서 정보보안처럼 나가지 말아야 할 정보가 아니라 유통을 하되 관련규정에 어긋남이 없어야 하므로 서로 성격이 다르므로 정보보안팀, 개인정보보호팀으로 나누는 것이 맞다고 본다.
또한 보다 체계적이고 실효성 있는
정보보안을 위해 지난해 전면 컨설팅을 진행했으며 도출 개선결과를 이행하기 위해 ISO27001인증 획득을 위해 준비 중이다.
오 상무는
“문서보안 시스템, 망분리, 내부망 암호화 프로젝트 등이 완료됨과 동시에 내년 통합관제시스템 구축이 이뤄질 예정”이라며 “망분리의 경우, 전사
논리적 방식인 SBC(Server Based Computing)방식으로 가지만, IT 부서는 물리적 방식을 사용하는 하이브리드 체제를 유지하게
된다”고 밝혔다.
 |
||
보안에 대한 여러 이슈가 발생하며 기업 최고보안책임자가 느끼는 애로사항들은 당연히 있기 마련이다. 오 상무 역시 이에 대해 여러 의견을 피력했다. 그는 “국내보안 규제는 Negative system이 아니라 Positive system이며 행위자뿐만 아니라 관리자와 기업 책임부분이 상당히 강해 보안인식과 수준 증진에 긍정적인 역할을 하기도 하지만, 목표지향점에 도달하는 방법론들이 매우 구체적으로 규정화돼 있어서 과도하거나 실효성이 의심되는 부분에 대해서도 규정준수를 위해 투자를 해야 하는 경우가 간혹 있다”며 안타까워했다.
규정준수를 위한 투자라는 것은 보안 담당자가 업무적으로, 관계적으로 어떤 점이 취약한지 보는 것이 아니라 외부 컨설팅, 매년 정기적인 취약점 점검 등의 형식적인 절차를 통해 도출된 규정 미준수 사항에 대해 체크해서 만족하는 걸로 되기 싶다.
이에 대한 대응 방안으로 보안에 대한 조치는 기업 자율에 맡기고 법은 문제 발생에 대한 책임을 확실히
묻는 체제로 가는 것이 보안업계의 기술수준 향상과 더불어, 기업 역시 규정을 지켰다는 데만 안주하지 않고 실질적으로 보안에 집중하게 될 것이라는
의견을 보였다.
또한 오 상무는 “법률 및 규정의 제·개정에 따라 신규 보안 사업 투자가 필요할 경우, 시행기간이 촉박한 상황이 있으며,
기업이 내부적으로 정책 및 기술요소를 검토하고 안정적인 보안체계를 구축하는 데 쫓기는 경우가 있다”며 “충분한 검토를 거치지 못한 보안 사업
투자는 또 다른 보안 취약점을 발생시킬 수 있고, 향후 재투자로 중복투자의 문제점이 제기될 수 있다”고 꼬집었다.
우리투자증권의 정보보호는
기존 영업 관행과 보안이 충돌할 개연성이 있을 때 현업의 이해를 제고시키고 개인정보보호 관련 절차가 영업행위 내 내재화되도록 적극성을 띌
예정이다. 각종 교육 및 매달 CPO의‘Privacy Letter’등을 통한 전 직원들과의 소통으로 세부절차 수립 및 교육이 충분히 이뤄진
만큼, 이제는 각 사업부 특히 개인영업본부에 대해 보다 면밀하고 적극적으로 관여한다는 입장이다.
| 오세임 우리투자증권 Operation&Technology본부 상무가 생각하는 보안정책 방향성 | |
|
오 상무는
“CPO의 역할은 개인정보보호를 잘 수행하면서도 이로 인해 비즈니스가 입을 수 있는 부정적인 영향을 최소화 하도록 내부제도 입안,
물리/관리/윤리적 보안 체계의 구축에 집중하는 것”이라며 “다양한 교육을 통해 영업환경에서 고객정보를 보호하려는 필요성을 임직원 모두가 공유하고
개인정보보호 인식이 조직문화에 스며들도록 더욱 노력 할 것”라고 전했다.
 |
||
업무개발부, IT와 현업 간 간극 좁혀
IT가 보다 체계적으로 현업을 지원하고 조직 곳곳에 숨어있는 비합리적 요소를 찾기 위한 노력은 공통적이다.
우리투자증권 역시 현업이
요구하는 IT수요와 공급간에 효율적인 접목이 필요하다고 강조한다.
이처럼 수요와 공급의 계량화와 시스템적 개발 프로세스 및 체계적인
IT거버넌스를 위해 우리투자증권은 ITSM(IT Service Management)과CMMI(Capability Maturity Model
Integration)프로세스를 도입한 바 있다.
오 상무는 “이뿐 아니라 효과적인 IT투자를 위해 IT정책 실무 협의회, IT투자
심의회, IT 정책위원회 등을 운영해 최고경영진이 기업 IT 투자 및 비용에 대한 이해를 높이고 투자비용 지출의 필요성을 인지하도록 하고
있다”고 말했다. 우리투자증권은 또 보다 효과적인 IT 업무개발을 위해 현업 요구사항을 분석하고 이를 IT적인 관점으로 해석하고 조율하는
업무개발부를 둬 현업과 IT 간극을 좁히는 체제를 유지하고 있다.
차지백(charge back) 제도 또한 시행 중이다. 개발 이후 현업과
한 달에 한 차례씩 미팅을 갖고 그들이 기대했던 요구사항과 O&T본부의 자료를 비교해 서로 간 의견을 조율해 비용을
차지(Charge)하고 있으며, 올 하반기에는 좀 더 깊이 있는 업그레이드를 계획 중이다.
오 상무는 “차지를 한 사람과 받은 사람이 서로
그 상황을 컨트롤 할 수 있는지 가능성을 체크하고 그에 대한 결과를 반영하는 방안이 추가돼 원활한 제도가 되도록 할 계획”이라고
전했다.
이외에도 우리투자증권은 자본통합법 개정으로 가능해진 투자은행 활성화 부분과 관련된 프로젝트들을 진행 및 계획하고 있다.
대체거래시스템(Alternative Trading System), CCP(Central Counterparty), KONEX(Korea New
Exchange), 전담중개업무시스템(Prime Brokerage System) 등이 그것이다. 또한 장애인차별금지법에 대응하기 위한 시스템,
거래소 포스트차세대시스템 도입에 대한 대응 및 해외사업 중 특히 홍콩에 있는 글로벌 트레이딩 센터 내 시스템구축, 채권운영시스템 등이
진행된다.
기업 IT본부=축구 미드필더
오 상무는 우리투자증권의 IT 인재가 보다 ‘통섭적인 인재’가 되어야 한다고 강조한다. 이를 위해 우리투자증권 내에서는 업무관련 내용을
학습하는 IT 교육을 장려하고, 다양한 교육 기회를 부여하는 것은 물론, 독서토론회 및 스터티 활동 등이 활발히 이뤄지고 있다.
오 상무는
“우리투자증권 IT 조직은 인 하우스 개발조직으로 보다 체계적인 개발절차를 위해 CMMI Level3 인증을 획득한 바 있으며, 최근에는
Agile 방법론과 일하는 방식을 개선하기 위한 노력을 기울이고 있다”고 밝혔다. 이는 금융 산업이 IT 장치산업이라 해도 무방할 정도로 IT와
금융업이 서로 심혈관계에 있다는 데에 착안한다. 따라서 IT 인재들이 업무 중요성을 인식하고 창조적인 아이디어를 내는 것이 IT가 기업의
비즈니스 파트너로서, 더 나아가 아시아에서 독보적인 기업이 되는 것을 가능케 한다.
그는 또 O&T본부의 포지션을 축구 미드필더에
자주 비유하곤 한다. 강인한 체력, 팀에 대한 헌신, 넓은 시야, 공격과 수비에 적극적인 참여, 창조적 플랜, 동료와의 유기적인 협조 등으로
승리를 안겨주는 핵심적인 역할을 담당하는 것과 같은 맥락에서다.
오 상무는 “안주하지 않고 항상 깨어있는 조직, 회사의 다양한 문제들이
모두 우리의 일이라는 주인의식을 통해 O&T본부가 핵심본부로 인정받을 수 있도록 끊임없이 노력해 갈 것”이라고 강조했다.
<오세임 우리투자증권Operation&Technology본부 상무>
학력
서울대학교 세계경제최고 전략과정 (2010수료)
서강대학교 경영대학원(1992
졸업)
연세대학교 수학과(1984 졸업)
덕성여자 고등학교(1980 졸업)
주요경력
우리투자증권 Operation&Technology본부 상무(2009년
7월-현재)
증권거래소 청산결제위원회 위원
금융발전심의회 위원(2010년 4월-2011년 3월)
골드만삭스 은행, 업무총괄
상무(2006년 5월-2009년1월)
한국씨티은행, 프라이빗뱅크 사업부문 경영관리부장(2002년 8월-2006년 4월)
바클레이즈
은행 파이낸스부 상무(2002년 4월-2002년 8월)
드레스드너 클라인워트 와셔스틴 증권, 업무총괄 이사(1996년 12월-2002년
3월)
씨티증권, 업무 및 재무 담당 지배인(1992년 4월-1996년 12월)
씨티은행, 기획부 부장(1984년 8월-1992년
3월)
동양나이론(주), 컴퓨터신사업본부 사원(1983년 12월-1984년 8월)
< 저작권자 © CIOCISO 무단전재 및 재배포금지 >
'My Security Study > Review' 카테고리의 다른 글
| 2014.11.14 전자금융감독규정 일부개정안 변경예고 (0) | 2014.11.22 |
|---|---|
| CISO, CEO, 상위기관 보고, 승인, 제출관련 전자금융 보안업무 (0) | 2014.11.02 |
| 전자금융거래법 - 매년/정기 보고, 제출, 공시 (0) | 2014.11.02 |
| 2014.10.15 전자금융거래법 일부개정 (0) | 2014.10.26 |
| (주)시소아이티의 이상 금융거래 아키텍처 (0) | 2014.09.07 |
| (2013.04) Q&A로 알아보는 CCTV & 개인영상정보 이슈 (0) | 2013.05.07 |
| 금융결제원 '금융 앱 스토어' 설명회 후기 (0) | 2013.04.25 |
| 보안사고 역사 새로 쓸 초대형 보안 사고 (0) | 2013.04.22 |
| 방송통신위원회과 금융위원회의 금융회사에 대한 정보통신망법 견해 (0) | 2013.03.09 |
| 개인정보보호법, 정보통신망법, 신용정보법에서의 개인의 차이 (2) | 2013.03.06 |
