A study on the Business Process Redesign for Information Security Governance and Control of Kenya Banking System

Abstract

빠른 기술 변화에 따라 케냐의 공공산업에서 정보 보안 문제가 주요 이슈가 되었다. 많은 컨퍼런스에서 보여주고 있는 기술 허브의 성장은 증가되고 있는 기술에 대한 관심을 보여주고 있다. 2009년 도입된 4개의 해저 케이블(TEAM, EASSy , SEACOM, LION-2)은 국가의 4천만 사람들간의 연결을 증가시켰고 인터넷을 통해 정보에 접근하는 비용도 감소시켰다. 한편으로 케냐에서는 모바일 네트워크 운영사 사파리콤(Safaricom)에 의해 M-PESA라 불리는 모바일 머니(Money)를 지불하는 혁신적인 솔루션이 도입되었고, 이는 뱅킹 산업을 중심으로 관련된 많은 혁신을 주도하고 있다. M-PESA는 모바일 폰에서 다른 모바일 폰으로 돈을 전송할 수 있도록 하며, 또한 은행 계좌로의 입출금과 클라우드 기반의 많은 다른 플랫폼으로 전송도 가능하도록 하고 있다. 위의 사실에서 보면, 비즈니스 세계가 종이 파일, 물리적 머니, 파일 캐비닛으로부터 보안이 정교한 컴퓨터에 저장될 수 있는 전자 파일로 이동하고 있는 것을 보여주고 있다. 이런 패러다임 변화는 또한 전 세계에 문제점을 제기한다는 것을 인식하게 되었다. 최근에는 증가하는 정보 위험들로 이어지는 경쟁 이면에는 알지 못했던 문제점들 – 빅 데이터(Big Data)를 어디에 보관해야 하는지 그리고 어떻게 적절하게 관리해야 하는지 - 에 직면하였다. 케냐에서의 정보 위험들은 비공개 또는 기밀 전자 정보가 권한이 없는 자에 의해서 접근되거나 악용될 수 있다는 것이다. 많은 은행 조직들이 그들의 민감한 데이터에 대한 무단 접근과 변경을 당하는 보안침해와 데이터 손실을 경험하고 있다. 이는 케냐 정보 기술 사회에서의 커다란 손실이며 정보 위험의 핵심 키이다. 네트워크를 침해하기 위한 해커들이 사용하는 방법은 진화되고 있고 기능적으로 정교해지고 있다. 따라서 오늘날 사이버 공격에 대한 부정적인 영향은 이런 프로세스에서 잃을 수 있는 수익과 신뢰의 손실 때문에 가볍게 다룰 수 없다. 비즈니스 연속성이 항상 은행과 모든 조직에서 우선순위였지만 갈수록 정보 보안이 우선순위가 되고 있다. 본 논문에서는 케냐 뱅킹 시스템의 문제를 해결하기 위한 프레임워크를 제안하였다. 이를 위해 사이버 보안과 관련된 케냐의 주요 기관 2군데의 보고서를 분석하였다. 첫 번째는 기업 위험에 대한 보안관리와 컨설팅을 위한 국제 기관인 Deloitte Touche Tohmatsu 에 의해 작성된 보고서로서 2011년 동아프리카 조직 전체의 사이버 보안 위협에 대해 작성되었다. 이 보고서는 동 아프리카 시장에 대한 일반적인 관점의 정보 보안 문제에 대해 이해할 수 있도록 작성되었으며, 본 논문에서는 금융 부문에 초점을 맞추어 분석하였다. 두 번째는 2012년 케냐의 정보 보안 컨설팅 회사인 Serianu에 의해 작성된 보고서로서 동기와 방법론의 관점에서 케냐의 정보 보안 위협에 대해 작성되었다. 이 보고서는 케냐 사이버 공간에 초점을 맞추어 상세히 설명되어 있다. 2개의 보고서 분석은 케냐 뱅킹 시스템의 사기와 사이버 공격으로 인한 손실의 원인을 찾아내고 격차를 없앨 수 있는 프레임워크를 도출하는 기초자료로서, 본 논문에서는 해커나 사이버 범죄에서 사용되는 새로운 방법들을 이해하고 문제를 해결하는데 필요한 프레임워크를 제안하였다.