내부통제가 화두로 등장한 금융권에서 DB보안 솔루션에 대한 관심이 높아지고 있다. 증권, 저축은행 등 2금융권을 중심으로 도입 논의가 진행되고 있다. 증권사의 경우 대우증권과 증권유관기관인 한국증권금융이, 저축은행의 경우 상호저축은행중앙회 등의 솔루션 도입을 시작으로 확대 조짐이 나타나고 있다. 은행권에서도 산업은행이 지난해 도입을 완료했으며 신한·조흥은행도 금융지주사 차원에서 도입 계획을 세우고 있다.
금융권 내부통제는 금융감독원이 금융사고 예방에 집중하겠다고 발표하는 등 감독당국의 대책에 따라 이슈가 되고 있다. 금감원은 지난달 감독 강화 대책으로 내부통제 실태 특별점검에 대한 대책을 내놓았다. 금감원은 “분석 결과 최근 내부 직원에 의한 금융 사고가 증가하고 있어 이에 대한 감독 강화 당위성이 제기됐다”고 설명하고 있다. 이에 따라 굿모닝신한증권, 진흥저축은행 등이 시스템 도입을 검토 중이다. 이들은 연내 도입을 완료할 방침을 밝혔다.
금감원의 내부통제 감독 강화와 함께 국산솔루션의 시장 진출이 늘어나면서 가격에 대한 부담이 줄어든 것도 솔루션 도입 확산의 주요 요소로 작용하고 있다.
금융권 관계자는 “외산 솔루션 중심으로 고가 제품이 주류였던 이 시장에서 지난해부터 국산 솔루션이 저렴한 가격과 커스터마이징에 대한 장점으로 공략하고 있다”며 “이 시점에서 솔루션 도입을 검토하게 된 것”이라고 설명했다.
DB보안 솔루션은 사내 DB에 대한 권한, 접근 정보를 제공한다. 누가 어떤 DB에 접근해 어떤 작업을 했는가를 모두 기록으로 남긴다. DB의 중요 정보에 접근할 때는 실시간으로 모니터링하도록 돼 있으며 내부 DB에 대한 작업 기록이 모두 남기 때문에 내부통제에 대한 관심이 높은 금융권에서 도입 검토가 이뤄지고 있다.

DB접근 권한 관리 기능 제공
지난해 솔루션을 도입한 산업은행, 한국증권금융 등은 아웃소싱을 실시하면서 DB보안 솔루션을 도입한 사례다. 외부 인력이 DB에 접근하게 되면서 접근 통제를 강화하는 목적으로 바넷정보기술 ‘미들만’을 구축했다.
산업은행은 전산운영자에게 시스템 접근을 위한 ID, 비밀번호를 부여하지 않고 통제서버에서 정한 가상 계정을 이용해 시스템의 접근을 허용하도록 했다. 통제서버가 사용자가 입력하는 가상계정과 시스템 계정이 일치하는 경우만 접근을 허락하는 방식이다.
한국증권금융도 IT 업무 통제시스템을 구축하면서 금융사고 예방, IT 프로세스 개선에 주력했다. 데이터, 프로그램의 전·후 비교, 사전통제 기능을 포함해 부정 변경이 방지되도록 했으며 데이터·프로그램 변경 현황, 데이터 조회 현황 등 실시간 상시 감사 기능을 개발했다.
대우증권은 내·외부 IT 인력이 시스템에 접근하면서 발생할 수 있는 보안 사고를 미연에 방지하기 위해 솔루션을 도입했다. 대우증권은 이를 위해 웨어밸리의 샤크라, 피앤피시큐어의 DB세이퍼를 구축했다. 이를 통해 DB에서 작업을 해야 하는 인력이 인증을 받고도 실제 데이터는 보지 못하는 상태에서 수행한 작업이 맞는지 여부만을 검토하도록 했다. 서버, DB에 대한 접근 권한도 나눠 시스템 계정을 관리한다.
이렇듯 내부통제 기능에 대한 구현이 확산되면서 굿모닝신한증권도 연내 도입을 목표로 솔루션을 검토하고 있다. 굿모닝신한은 신한금융지주가 지주사 차원에서 솔루션을 구축키로 하고 은행에서도 함께 사용될 수 있도록 검토를 확대하면서 도입이 늦어졌다.
최근 지주사 차원의 검토 작업이 막바지에 이르러 하반기에는 솔루션 구축이 가능할 것으로 예상되고 있다. 진흥저축은행도 솔루션에 대한 검토 작업을 완료해 하반기에는 구축할 수 있을 것으로 보고 있다. 진흥저축은행 관계자는 “하반기 안에 업체 선정작업을 실시할 예정”이라고 설명했다. 이밖에 제일, 현대스위스 등 저축은행업계 전반에서 솔루션 도입 검토 작업이 이뤄지고 있다. 특히 저축은행은 한중저축은행이 전산조작을 통해 분식회계를 한 뒤 금감원이 상시 감사 체계를 강화하면서 더욱 큰 관심을 나타내고 있다.
<이강욱 기자>
저작권자 © 아이티데일리 무단전재 및 재배포 금지