디지털 전환과 비대면 금융 확산으로 은행 정보보안이 신뢰를 가르는 기준으로 떠올랐다. 고객 정보 유출과 전산 장애가 되풀이되면서 보안은 내부통제와 조직 문화, 의사결정 구조를 가늠하는 지표로 읽힌다. <더팩트>는 국내 은행의 정보보안 대응을 점검하고, 디지털 금융 시대 은행 보안의 현주소와 과제를 짚는다. <편집자주>
[더팩트ㅣ이선영 기자] KB국민은행이 정보보호 조직을 준법감시인 산하로 재편하며 보안 거버넌스를 강화하고 있다. 제로트러스트 체계를 단계적으로 확대하고 위협 시나리오 기반 데이터를 연동·분석하는 'KB RMF'를 구축해 능동형 사이버 대응으로 전환하겠다는 구상이다. 24시간 관제와 내부 오남용 모니터링을 병행해 고객정보 유출과 전산 사고 리스크를 낮춘다는 방침이다.
최근 대형 보안사고가 잇따르면서 KB국민은행은 정보보호·사이버보안 리스크를 '경영 리스크'로 보고 인력·예산 지원을 강화하는 기조를 이어가고 있다고 밝혔다. 경영진은 임원회의에서 "정보보호는 KB의 존립과 신뢰를 위한 핵심 기반"이라며 관련 인력을 국내 최고 수준으로 배치하고 선제 투자를 지속하겠다는 취지의 당부를 했다는 설명이다.
거버넌스 측면에선 지난해 7월 정보보호본부를 기존 테크(IT)그룹에서 준법감시인 산하로 옮겨 규제 강화 기조에 선제 대응하고 '기술역량+내부통제'를 함께 고려하는 의사결정 체계를 마련했다.
정보보호·개인정보보호의 최종 책임자는 이재용 정보보호본부장(상무)으로, KB국민은행은 이 본부장이 CISO(정보보호최고책임자)와 CPO(개인정보보호최고책임자)를 비롯해 신용정보관리보호인·고객정보관리인 역할을 겸하고 있다. KB국민은행은 이사회 차원의 인식 제고를 위해 분기마다 정보보호 최신동향 자료를 제공하고, 금융보안원 등 외부 전문기관과 협업해 이사회 대상 안내·설명 프로그램도 운영하고 있다.
전담 조직은 1본부 1부 4팀 체계다. 화이트해커 등 전문직무 인력을 포함해 2024년 과학기술정보통신부 고시 기준 정보보호 관련 인력·투자 현황은 97.5명이다. △보안정책진단팀(전략·정책, 클라우드 보안, 취약점 분석·평가, FDS 운영) △보안분석대응팀(24시간 365일 관제·침해사고 대응, 네트워크/서버·사용자/클라이언트 보안, 제로트러스트 구축) △고객정보보호팀(개인·신용정보 보호 정책 및 오남용 방지 모니터링) △정보보호감사팀(감사·내부통제)으로 역할을 나눴다.
기술적 대응으로는 'KB RMF(Risk Management Framework)' 수립을 진행 중이다. 위협 시나리오 기반으로 보안 데이터를 자동·실시간 연동하고, 이를 LLM 기반으로 분석해 기존의 방어적 보안에서 '능동·지능형' 대응으로 전환하는 체계를 목표로 한다는 설명이다. 특히 망분리 개선, AI·SaaS 도입 확대에 따른 신규 위협에 대응하기 위해 제로트러스트 기반 체계를 구축할 예정이다. 2021년부터 로드맵을 수립해 단계적으로 적용해 왔다.
다만 디지털 전환 속도가 빨라지면서 보안 환경도 급변하고 있다는 점은 과제다. KB국민은행은 망분리 개선과 AI·SaaS 활용 확대 등으로 전통적인 통제 방식만으로는 신규 위협에 대응하기 어려운 만큼, 제로트러스트와 RMF를 중심으로 탐지·분석·대응 체계를 통합해 고도화하겠다는 구상이다. 아울러 상용 프로그램·오픈소스·AI 모델 등 외부 소프트웨어 활용이 늘어나는 만큼 공급망 위협 관리도 강화 과제로 제시했다.
사고 대응 체계도 시나리오별로 설계했다. KB국민은행은 위기대응 매뉴얼을 기반으로 △고객 피해 최소화 △피해구제 및 재발 방지 △법정 의무 준수를 3대 방향으로 비상 계획을 실행하며 사안의 경중에 따라 비상대책위원회와 연계해 대응한다. 침해사고 발생 즉시 대외기관·보안업체와 공조하고 24시간 위기징후를 수집·모니터링해 상황을 공유·전파한다는 방침이다.
내부자·비인가 조회 대응과 관련해선 망분리 규제를 통해 비인가 접속·조회가 원천적으로 어렵고, 내부 직원의 개인정보 조회 건수가 '특이점'을 보일 경우 적법 절차 여부를 확인하는 절차가 있다는 설명이다. 아울러 머신러닝 기반으로 임직원 개인별 개인·신용정보 활용 행위를 분석해 위험도를 산출하는 오남용 모니터링을 고도화했고, 네트워크·서버·PC·클라우드 등 영역별 솔루션을 통해 다단계 방어(Defence in Depth) 체계를 구축했다.
상시 점검·훈련도 병행한다. 전자금융기반시설 취약점 분석평가, 주요정보통신기반시설 보호대책 수립, 마이데이터·오픈뱅킹 취약점 점검, SWIFT 보안프레임워크 점검 등 연간 점검과 홈페이지 취약점 분석평가 등 반기 점검을 수행하고, 2023년부터는 실제 공격 시나리오를 활용한 자체 '사이버 해킹 공방훈련(RED·BLUE 팀)'을 상시 운영한다고 밝혔다.
고객 보호 절차는 개인정보보호법 및 신용정보법에 따른 통지 요건을 기준으로 운영한다는 입장이다. 은행은 개인정보보호법 34조와 신용정보법 39조의4에 따라 고객 통지 시점·규모·방법 등을 정해두고, 사고 시에는 피해 최소화와 피해구제·재발방지를 기본 방향으로 통지·보상·모니터링 기준을 설정해뒀다.
고객이 직접 보안 수준을 점검·강화할 수 있는 장치로는 금융권 공동 '금융거래 안심차단 서비스'(비대면 계좌개설·모바일뱅킹 로그인 등 일괄 차단), 추가 인증(패턴·생체·간편비밀번호 등), 로그인·이상거래 알림(SMS·메일 통지) 등을 안내했다. FDS 탐지 이후에는 고객 본인 유선 확인을 통해 이상거래 여부를 판단한다.
KB국민은행 관계자는 "은행은 일반 기업보다 엄격한 규제를 준수해야 한다"며 "개인정보보호법 외에 전자금융거래법 및 전자금융감독규정에 따라 정보보호 인력·예산 최소 확보, IT 아웃소싱 통제, 재해복구(DRP) 구축, 망분리, 정보보호시스템 원격 관리 제한 등 추가 의무가 있다"고 설명했다.