"이제는 금융회사 스스로 정보보안을 강화해 자율적 보안체계를 갖추도록 패러다임이 바뀌었습니다. 과거의 관리 통제 방식이 아닌 자발적 서비스 차원으로 정보보호, 보안에 접근해야 합니다."
김종현 국민은행 정보보호본부장(상무)는 <뉴스토마토>와의 인터뷰에서 "'자율보안'을 시대의 흐름으로 보고 있다"며 이 같이 밝혔다.
올해 초 금융당국이 사전규제에서 사후감사를 강화하는 방식으로 규제 패러다임을 전환하면서, 그동안 각종 규제준수에 집중해왔던 은행들은 이제 스스로 보안문제를 해결해야하는 상황에 놓였다. 공인인증서 의무사용규정이 폐지되고 보안성 사전심의 등이 사라지면서 환경이 달라졌다.
하지만 최근 몇 년을 돌아보면 대형 보안 사고는 금융권의 연례행사처럼 발생해 취약성을 드러냈다. 2011년 농협은행 해킹, 2012년 주요 방송사 및 금융사에 대한 3.20 사이버테러, 지난해 대형 카드사의 개인정보 유출 사고 등으로 전 국민이 혼란에 빠지고도 했다.
그만큼 금융권에 변화의 바람이 불었다. 가장 먼저 은행들이 기존에 유명무실했던 최고정보보호책임자(CISO)를 최고정보책임자(CIO)에서 따로 분리하고 관련 부서를 본부로 격상시켰다.
국민은행은 지난 2013년 보안컨설팅 전문가였던 김종현 상무를 영입했다. 앞서 김 상무는 삼성SDS 금융파트장, IBM 상무, 언스트앤영(Ernst & Young) 금융컨설팅 총괄파트너 등으로 일하며 다수 금융사의 보안 컨설팅을 담당했었다.
김 상무가 국민은행 CISO로 합류한지 3년. 그동안 정보보호 조직이 IT본부의 한 부서에서 독립본부로 격상되고, 보안점검팀을 신설하고, 금융권 최초 화이트해커 채용을 시도하는 등 패러다임을 변화시키며 강화했다는 평가를 받고 있다.
.jpg "◇김종현 국민은행 정보보호 본부장. 사진/뉴스토마토")
◇김종현 국민은행 정보보호 본부장. 사진/뉴스토마토
-국민은행 CISO로 온지 햇수로 3년이다. 그 동안에 큰 변화가 있다면 무엇인지.
▲ 보안은 보안담당자뿐만 아니라 현업담당자도 동시에 준수를 해야 하기 때문에 교육과 점검을 통한 전행적인 보안 문화 확산을 추구했다. 고객정보가 포함된 문서 강제암호화 등 직원 PC 관련 정책을 강화했으며, 고객정보 포함자료 외부 반출시 관리자뿐만 아니라, 정보보호본부의 2차 승인을 통해 USB나 메일을 통한 불필요한 반출을 대폭 감소시켰다. 보안정책 위반자에 대한 제재 프로세스를 수립해 사전점검 활동뿐만 아니라 사후통제를 통해 재발방지를 강화했다.
이와 함께 '서비스' 개념으로의 보안패러다임 전환을 위한 보안시스템 편의성 증대와 스스로 지키는 '자율보안' 인프라를 제공하는데 주력했다.
금융권 최초로 정보보호관리체계(ISMS) 인증과 국제정보보안표준인증 'ISO 27001'을 획득해 글로벌표준에 준하는 보안 관리 체계를 수립했고, 보다 안전한 네트웍 환경으로 임직원에게 인터넷 환경을 제공하고 있다.
빅데이터 기반의 지능형 보안시스템을 구축해 사용자가 악성코드에 대한 지식이 없더라도, 시스템적으로 방어하는 체계도 구축했다. 정보보호 헬프데스크(Help Desk)를 운영해 직원들의 정보보호 관련 문의사항에 대해 신속한 응대서비스를 제공하고 있다.
아울러 '통제하는 보안'에서 지속적인 교육을 통한 '가르치는 보안'으로 패러다임을 바꾼 것이다. 사내방송을 통해 시청각적인 보안교육을 주기적으로 실시하고, 정보보호 정책을 업무 프로세스에 동화시켜, 업무를 수행하면서 자연스럽게 보안정책을 교육하고 있다.
매월 실시되는 이클리닝데이(e-Cleansing Day)를 통해 월별 주제선정을 통한 정보보호 핵심사항을 교육하고 있다. 정보보호 경각심 고취를 위해 각종 정보보호 우수사례를 발굴해 은행장 표창을 하고 있고, 반복되는 정보보호 위반사례는 성과평가에 반영하고 있다. 또한 자율보안의 일환으로 ‘나도 화이트 해커다’ 라는 제도를 통해 전직원이 화이트해커가 되어 보안취약점을 스스로 찾는 보상제도를 운영하고 있다.
-올 하반기에 역점을 두고 있는 보안 전략은 무엇인지.
▲ 올해는 전자금융사기 예방을 위한 이상거래탐지시스템(FDS) 강화와 내부통제 및 직원보호를 위한 개인정보 오남용 모니터링 강화가 가장 중요한 활동이다. 국민은행은 전자금융 사기가 발생한 기기정보를 탐지해 전자금융사기패턴이 인식되었을 때 본인추가인증을 하거나 거래를 차단하는 시스템을 운영하고 있다.
그 결과 지난 2013년 401건(23억4000만원)에 달했던 전자금융사기가 지난해 110건 (2억7000만원), 2015년 90건(2억9000만원)으로 대폭 감소했다. 피해보상금액 기준으로 90% 가깝게 절감시켜 은행권 최고의 성과를 이뤘다.
핀테크가 활성화되고, 고객 편의성이 중요시되면서 FDS 가 더욱 중요해지고 있다. 상반기에는 기기기반의 사기거래 차단 뿐 아니라, 고객의 거래행위를 분석한 프로파일링을 포함한 빅데이터 기반의 FDS를 재구축했다.
하반기에는 빅데이터 기반의 개인정보 오남용 모니터링 시스템을 구축할 예정이다. 개인정보의 흐름을 생애주기 관점에서 추적 관리해 직원의 직무, 권한에 적정하게 개인정보를 활용하고 있는지 모니터링하는 시스템 구축을 추진 중에 있다.
직원들의 정상거래 조회패턴을 분석하여, 일정수준 과다조회, 일과시간 외 조회 등 개인정보 오남용 탐지를 위한 룰 설정을 통하여 직원의 이상조회패턴을 실시간으로 차단한다.
-정보보호 담당자들에게 특히 강조하는 부분이 있는가.
▲소중한 고객의 개인정보를 다루는 금융 IT보안은 IT보안뿐만 아니라 개인정보보호의 중요성이 더해지고 있기 때문에 이에 걸맞는 정보보호본부의 보안패러다임을 도입했다.
예전의 '단편 기능 중심 솔루션' 위주의 중복된 보안시스템이 아니라 통합된 시스템을 운영해 사용자가 편리하게 사용하는 보안시스템을 구축했다.
보안을 지켜달라고 '부탁'하는 보안이 아닌, 사전에 안내된 보안정책과 규정에 기반한 '통제'하는 보안, 그리고 보안담당자만 수행하는 보안이 아닌 현업담당자들이 업무 중에 보안을 직접 수행할 수 있도록 '가르치는' 보안을 통해 전직원에 보안문화를 확산하고자 한다.
-지난해 발생한 대형카드사의 고객정보 유출사고 이후 개인정보에 대한 금융권의 인식이 크게 바뀌었다. 당시에도 현직에서 사태를 보셨을 텐데 시급하게 해결해야 할 문제가 무엇이라고 보시는지.
▲당시 카드 해지 또는 재발급으로 영업점 창구업무가 폭증하여 주말과 명절도 반납해야 했었다. 또한 각종 내외부 검사와 보고로 정보보호담당자들도 힘든 시간을 보내며, 정보보호의 중요성에 대한 인식이 확산되는 계기가 됐다.
이를 통해 개인정보보호와 관련된 각종 법률과 규제가 강화됨에 따라, 정보보호 시스템이 업그레이드 됐고, 정보공유에 대한 관행이 개선됐다. 관행적으로 받던 고객정보제공 동의서를 목적에 따라 구분하고, 필수와 선택으로 나누어 무의식적으로 동의하던 관행을 제거했다.
금융지주 산하 계열사 간에 주고받던 고객정보는 최소화하고, 고객식별번호를 암호화하도록 해서, 유출 시에도 개인을 식별할 수 없도록 하고 있다. 또한 정보공유 건별로 계열사 고객정보관리인의 승인을 받도록 제도화 했다.
금융지주회사의 설립목적에 부합되지 않을 정도로, 마케팅 목적의 정보공유가 원천차단되는 등 일부 과도하게 정보공유를 규제하는 점도 있어, 금융지주 계열사간 정보공유 규제완화가 계속 회자되고 있고, 계열사간 정보공유 관리수준에 따른 선별적 규제완화가 필요하다.
또한 징벌적 손해배상과 CEO, CISO 뿐만 아니라 업무담당자의 책임도 가중되고 있어, 정보보호담당자들의 사기진작방안이 필요하다.
'자율보안' 시대가 도래하며, 규제가 완화되고 있는 시점이라 정보보호담당자들의 불안으로 인해, 정보보호업무가 기피될 수도 있어, 정보보호담당자들에 대한 제도적인 인센티브 제공도 고려돼야 한다.
-최근에는 핀테크 열풍 등으로 사용자의 편의성을 대폭 넓히는 방향으로 금융권 채널 변화 바람이 불고 있다. 편의성과 보안성은 반비례할 수밖에 없다는 통설이 있는데 보안담당자로서 어떻게 조율이 가능하다고 보는지.
▲ '편리한 금융' 거래가 보장되기 위해서는 '안전한 금융'이 밑받침 돼야 한다. 편리함은 그 만큼 전자금융 사기범 들이 우회하기 쉬운 환경을 의미할 수 있다. 안전한 금융거래를 위한 본인확인 인증과 추가인증을 강화하면서 고객 불편은 조금 늘어난 반면 금융사기는 현저하게 줄어들었던 것이 현실이다.
안전한 금융을 위해 금융회사가 축적한 오랜 경험과 노하우가 편리한 금융을 위해 새로운 IT 기술을 개발하고 있는 핀테크 스타트업 기업에 접목될 때 핀테크 생태계의 건전한 확산이 가능할 것이다. 이를 위해서는 자신의 영역을 지키기 위해 핀테크 라는 신기술에 보수적인 금융회사라는 관점에서 벗어나 금융회사와 핀테크 기업이 상호 협력하는 분위기가 조성돼야 한다.
국민은행의 스마트폰뱅킹 서비스 'KB스타뱅킹'과 삼성전자 보안플랫폼 '녹스(KNOX)' 연계 사례가 좋은 사례이다. 또한 본인인증 및 추가인증을 위해 매년 지출되는 수십억의 자동응답전화(ARS)와 문자메시지(SMS) 비용을 고려할 때, 안전하고 편리한 인증수단은 금융회사에 충분한 투자 동기가 될 것이다.
사용자가 보안에 대한 걱정이 없이 금융거래를 할 수 있는 보안플랫폼 또는 편리한 인증수단 들이 개발되고, 이러한 보안수단이 금융전문가들을 통해 편리한 금융으로 활용될 때, 진정한 핀테크의 성공이 보장될 수 있을 것이다.
이종용 기자 yong@etomato.com
이 기사는 뉴스토마토 보도준칙 및 윤리강령에 따라 김의중 금융부장이 최종 확인·수정했습니다.
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지