안녕하세요,
본 기고글 주제는 “외국계 금융회사의 IT 직무분리” 입니다.
직무라는 단어의 사전적 의미는 “과업 및 작업의 종류와 수준이 비슷한 업무들의 집합(Job)” 입니다. 회사 내 사업 부서, IT 부서, 경영 부서 등 각 조직에 따른 역할이 존재하는 부분 또한 직무라고 표현할 수 있을 것 같습니다. 직무 및 직무 분리라는 개념이 굉장이 광범위 할 수 있으므로 정보보호 관리체계 내 IT 직무 분리에 대해 다루겠습니다.
한 회사 내 직무 분리 체계를 갖추고 운영하는 것은 중요하지만 어려운 것이 사실입니다. 이렇다 할 정답도 없습니다. 예를 들어, 직무 분리를 구체적으로 어느 영역에 어느 수준까지 적용해야 하는지에 대한 구체적인 가이드는 찾기 어려운 것 같습니다. 또한 소규모 조직의 경우, 직원 한 사람이 다수의 정보처리시스템을 운영하면서, 동시에 보안 감사 업무를 맡아 처리하기도 합니다. 까다롭기만한 직무 분리를 해야하는 이유는 무엇일까요? 필자는 정보보호 관리체계 인증기준에서 답을 찾을 수 있다고 생각합니다.
“2.2.2 직무분리 - 권한 오/남용 등으로 인한 잠재적인 피해 예방을 위하여 직무 분리 기준을 수립하고 적용하여야 한다. 다만 불가피하게 직무 분리가 어려운 경우 별도의 보완대책을 마련하여 이행하여야 한다.”
즉, 직원 한 사람이 여러 권한을 보유한 경우, 권한이 분리된 경우보다 IT 사고 발생 가능성이 높기 때문 입니다. 합당한 예시는 아닐 수 있겠지만 AWS (CSP, Cloud Service Provider)에서는 클라우드 환경 내 root(관리자) 권한 사용을 자제하고, IAM (Identity and access management) 기반에 따라 적절히 권한을 분리해 사용하도록 권고하고 있습니다. 다만, 클라우드 환경을 통해 빠르게 시스템을 개발/배포하고 서비스를 운용하는 회사의 경우, 특성상 개발자들에게 많은 시스템 계정 권한을 부여하기도 합니다. 위에도 말씀 드렸다시피 정답은 없습니다. 직무 분리가 어렵다면, 모니터링 및 그에 따른 책임 추적성을 확보할 수 있는 통제 방안을 마련하면 될 것 입니다.
필자가 실제 외국계 금융회사에서 겪은 직무 분리 관련 주요 에피소드는 다음과 같습니다.
●본사 IT 정책/지침서에 따른 직무 운영
상위 정책서에는 “4-eyes principle” 라는 개념이 존재했고, 이를 각종 통제 절차 등 수립할 때 항상 고려했습니다. 즉, 모든 업무를 진행할 때 단독으로 처리하는 것이 아닌, 최소 1명 이상의 승인/검토자를 두어야 한다는 의미입니다.
본사 IT 정책서 내 각 IT 직무에 따른 담당자의 역할 및 책임이 명확히 부여되어 있었습니다. 예를 들어, 보안 담당자의 경우 역할 및 그에 따른 미션이 비교적 명확히 부여되었습니다. 대표적으로 아래와 같은 미션이 주어졌습니다.
-지역(자회사가 따라야 하는 각 국가 내 법령) 보안 규제 준수
-본사 정책서 현지화
-연간 보안 계획 수립
-정기적인 보안 교육 수립/시행/지원
개발자의 경우, 배포 담당자, 소스코드 개발 담당자, 테스트 담당자 등 역할에 따른 해야할 일이 다양한데 이를 지침서 내 업무 역할 별 Matrix 화 하여 명확히 구분했습니다.
기능 | 미들웨어 담당 | 소스코드 개발 담당 | QA 담당 | … |
개발 |
| ● |
|
|
테스트 |
|
| ● |
|
백업 |
|
|
|
|
배포 | ● |
|
|
|
Figure 1. 개발자 직무 별 권한 표 (예시)
※ 금융회사의 경우, 전자금융감독규정 제26조(직무의 분리)에 따른 직무 분리를 권고하고 있습니다. 다만, 필자 외국계 회사 특성상 본사의 정책/지침/가이드라인이 세부적으로 명시되어 있으며 로컬 규정의 권고사항도 충족하므로, 본사 에피소드를 중점적으로 기술하였습니다.
●예외 정책 수립/운영
본사 정책에 따라 운영되지 못하는 경우, 내부 승인 및 대체 방안을 적용 했습니다. 개발자의 경우, 역할에 따른 담당 인원이 별도 존재하는 것이 바람직하지만 예산 등 을 고려하면 적용이 불가능했습니다. 따라서 일부 인원이 여러 직무를 수행하고, 그에 따른 자회사 별도 통제 프로세스를 수립했습니다.
대표적으로 특수 권한 계정 사용 프로세스를 말씀 드리고 싶습니다.
-Step1. 평소 특수 권한 계정 사용을 위한 관련 로그인 정보를 소스코드 개발 담당자와 인프라 담당자가 반반씩 정보를 나눠 안전한 장소에 보관
-Step2. 필요 시(긴급 배포, 장애 처리 등) 내부 상위 직책자의 승인
-Step3. 관련 로그인 정보를 합한 뒤, 소스코드 개발자가 사용
-Step4. 로그인 정보 (패스워드) 변경 후, 다시 각 담당자가 반씩 나누어 보관
또한 본사 정책서에는 IT Risk Manager 를 별도로 두어야 한다는 조항이 있었습니다. 이 부분 또한 현실적으로 적용이 어려워, “정보보호위원회” 를 최대한 활용하는 방향으로 가닥을 잡았습니다. 대략적으로 아래와 같은 프로세스를 적용했습니다.
-정보 보안 담당자는 월 1회 위험 현황 식별
-식별된 위험을 바탕으로 위 "위험 관리 방법론"을 고려한 보안 대책 등 수립
※ 필요시, 관련 실무진과 협의
-정보보호 위원회 심의/의결
-경영진 보고
-본사 Chief Information Security Officer (이하 'CISO') 현황 공유
Figure 2. 경영진 보고 결과(예시)
직무 분리 관련 다소 안타까운 기억도 있습니다. 당시 회사 내 여러 IT 담당자가 퇴사하면서, 한 명의 매니저가 정보보안 직무, IT인프라 직무를 총괄해야 했습니다. 매니저의 업무 과중은 물론, 주어진 업무에 대해 의사결정을 할 때, IT 인프라 측면에서 고려해야 하는지, 정보보안 측면에서 통제를 더 두어야 하는지 스스로 판단에 대한 어려움이 있다는 이야기를 들었습니다.
회사가 예산, 조직 특성 등을 고려해 여유가 있다면 각 직무 특성을 고려해 전문가를 두는 것이 바람직할 것 같습니다. 다만, 현실적으로 어렵다면, 실무 협의체 또는 프로세스 수립 등 기존 인력을 고려해 직무 분리에 준하는 보완 통제를 마련해야 할 것 입니다.
이상 글을 마치겠습니다.
현업에 도움 되셨으면 좋겠습니다. 감사합니다.
2개의 댓글이 있습니다.
simple하고 명확한 설명 감사 합니다.
Reply댓글 남기기
댓글을 남기기 위해서는 로그인이 필요합니다.
로그인 회원가입자료 감사합니다.
Reply댓글 남기기
댓글을 남기기 위해서는 로그인이 필요합니다.
로그인 회원가입