외국계 금융회사의 IT 직무분리

안녕하세요,

본 기고글 주제는 외국계 금융회사의 IT 직무분리 입니다.

 

직무라는 단어의 사전적 의미는 과업 및 작업의 종류와 수준이 비슷한 업무들의 집합(Job)” 입니다회사  사업 부서, IT 부서경영 부서   조직에 따른 역할이 존재하는 부분 또한 직무라고 표현할 수 있을 것 같습니다직무 및 직무 분리라는 개념이 굉장이 광범위 할 수 있으므로 정보보호 관리체계 내 IT 직무 분리에 대해 다루겠습니다.

 

한 회사 내 직무 분리 체계를 갖추고 운영하는 것은 중요하지만 어려운 것이 사실입니다이렇다 할 정답도 없습니다예를 들어직무 분리를 구체적으로 어느 영역에 어느 수준까지 적용해야 하는지에 대한 구체적인 가이드는 찾기 어려운 것 같습니다또한 소규모 조직의 경우직원 한 사람이 다수의 정보처리시스템을 운영하면서동시에 보안 감사 업무를 맡아 처리하기도 합니다까다롭기만한 직무 분리를 해야하는 이유는 무엇일까요필자는 정보보호 관리체계 인증기준에서 답을 찾을 수 있다고 생각합니다.

 

“2.2.2 직무분리 권한 /남용 등으로 인한 잠재적인 피해 예방을 위하여 직무 분리 기준을 수립하고 적용하여야 한다다만 불가피하게 직무 분리가 어려운 경우 별도의 보완대책을 마련하여 이행하여야 한다.”

 

직원 한 사람이 여러 권한을 보유한 경우권한이 분리된 경우보다 IT 사고 발생 가능성이 높기 때문 입니다합당한 예시는 아닐 수 있겠지만 AWS (CSP, Cloud Service Provider)에서는 클라우드 환경 내 root(관리자권한 사용을 자제하고, IAM (Identity and access management) 기반에 따라 적절히 권한을 분리해 사용하도록 권고하고 있습니다다만, 클라우드 환경을 통해 빠르게 시스템을 개발/배포하고 서비스를 운용하는 회사의 경우특성상 개발자들에게 많은 시스템 계정 권한을 부여하기도 합니다위에도 말씀 드렸다시피 정답은 없습니다직무 분리가 어렵다면모니터링 및 그에 따른 책임 추적성을 확보할 수 있는 통제 방안을 마련하면 될 것 입니다.

 

필자가 실제 외국계 금융회사에서 겪은 직무 분리 관련 주요 에피소드는 다음과 같습니다.

 

 

  • 본사 IT 정책/지침서에 따른 직무 운영

 

상위 정책서에는 “4-eyes principle” 라는 개념이 존재했고이를 각종 통제 절차  수립할 때 항상 고려했습니다모든 업무를 진행할 때 단독으로 처리하는 것이 아닌최소 1명 이상의 승인/검토자를 두어야 한다는 의미입니다.

 

본사 IT 정책서   IT 직무에 따른 담당자의 역할  책임이 명확히 부여되어 있었습니다예를 들어보안 담당자의 경우 역할 및 그에 따른 미션이 비교적 명확히 부여되었습니다대표적으로 아래와 같은 미션이 주어졌습니다.

 

  • -지역(자회사가 따라야 하는  국가 내 법령) 보안 규제 준수

  • -본사 정책서 현지화

  • -연간 보안 계획 수립

  • -정기적인 보안 교육 수립/시행/지원


개발자의 경우배포 담당자소스코드 개발 담당자테스트 담당자 등 역할에 따른 해야할 일이 다양한데 이를 지침서 내 업무 역할 별 Matrix 화 하여 명확히 구분했습니다.

 

기능

미들웨어 담당

소스코드 개발 담당

QA 담당

개발

 

 

 

테스트

 

 

 

백업

 

 

 

 

배포

 

 

 

Figure 1. 개발자 직무  권한  (예시)

 

※ 금융회사의 경우전자금융감독규정 제26(직무의 분리)에 따른 직무 분리를 권고하고 있습니다다만필자 외국계 회사 특성상 본사의 정책/지침/가이드라인이 세부적으로 명시되어 있으며 로컬 규정의 권고사항도 충족하므로본사 에피소드를 중점적으로 기술하였습니다.

 

  • 예외 정책 수립/운영

 

본사 정책에 따라 운영되지 못하는 경우내부 승인 및 대체 방안을 적용 했습니다개발자의 경우역할에 따른 담당 인원이 별도 존재하는 것이 바람직하지만 예산 등 을 고려하면 적용이 불가능했습니다따라서 일부 인원이 여러 직무를 수행하고그에 따른 자회사 별도 통제 프로세스를 수립했습니다.

대표적으로 특수 권한 계정 사용 프로세스를 말씀 드리고 싶습니다.

 

  • -Step1. 평소 특수 권한 계정 사용을 위한 관련 로그인 정보를 소스코드 개발 담당자와 인프라 담당자가 반반씩 정보를 나눠 안전한 장소에 보관

 

  • -Step2. 필요 (긴급 배포, 장애 처리 ) 내부 상위 직책자의 승인

  • -Step3. 관련 로그인 정보를 합한 , 소스코드 개발자가 사용

  • -Step4. 로그인 정보 (패스워드) 변경 , 다시  담당자가 반씩 나누어 보관

 

또한 본사 정책서에는 IT Risk Manager  별도로 두어야 한다는 조항이 있었습니다이 부분 또한 현실적으로 적용이 어려워, “정보보호위원회” 를 최대한 활용하는 방향으로 가닥을 잡았습니다대략적으로 아래와 같은 프로세스를 적용했습니다.

 

  • -정보 보안 담당자는  1 위험 현황 식별

  • -식별된 위험을 바탕으로  "위험 관리 방법론" 고려한 보안 대책 등 수립

 필요시, 관련 실무진과 협의

  • -정보보호 위원회 심의/의결

  • -경영진 보고

  • -본사 Chief Information Security Officer (이하 'CISO') 현황 공유






 


 

 

Figure 2. 경영진 보고 결과(예시)

 

 

직무 분리 관련 다소 안타까운 기억도 있습니다. 당시 회사 내 여러 IT 담당자가 퇴사하면서한 명의 매니저가 정보보안 직무, IT인프라 직무를 총괄해야 했습니다매니저의 업무 과중은 물론주어진 업무에 대해 의사결정을  , IT 인프라 측면에서 고려해야 하는지정보보안 측면에서 통제를 더 두어야 하는지 스스로 판단에 대한 어려움이 있다는 이야기를 들었습니다.

 

회사가 예산조직 특성 등을 고려해 여유가 있다면 각 직무 특성을 고려해 전문가를 두는 것이 바람직할 것 같습니다다만현실적으로 어렵다면실무 협의체 또는 프로세스 수립 등 기존 인력을 고려해 직무 분리에 준하는 보완 통제를 마련해야 할 것 입니다.

 

 

이상 글을 마치겠습니다.

현업에 도움 되셨으면 좋겠습니다감사합니다.

2개의 댓글이 있습니다.

12달 전

simple하고 명확한 설명 감사 합니다.

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

약 일 년 전

자료 감사합니다.

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입