THE FACT

검색
메뉴
경제
[은행 보안 점검⑥] 기업銀, 디지털 전환 가속에 운영 내실화…탐지 기준 고도
전담 인력 42→45→47명 확대…2부 5팀 체계로 '침해대응·내부위협' 투트랙 운영
이상행위 70여 시나리오 가동

IBK기업은행은 개인정보 유출 등 보안사고가 잇따르는 상황에서 보안리스크를 IT 운영 차원을 넘어 '전행적 경영리스크'로 관리하고 있다. /IBK기업은행
IBK기업은행은 개인정보 유출 등 보안사고가 잇따르는 상황에서 보안리스크를 IT 운영 차원을 넘어 '전행적 경영리스크'로 관리하고 있다. /IBK기업은행

디지털 전환과 비대면 금융 확산으로 은행 정보보안이 신뢰를 가르는 기준으로 떠올랐다. 고객 정보 유출과 전산 장애가 되풀이되면서 보안은 내부통제와 조직 문화, 의사결정 구조를 가늠하는 지표로 읽힌다. <더팩트>는 국내 은행의 정보보안 대응을 점검하고, 디지털 금융 시대 은행 보안의 현주소와 과제를 짚는다. <편집자주>

[더팩트ㅣ이선영 기자] IBK기업은행은 개인정보 유출 등 보안사고가 잇따르는 상황에서 보안리스크를 IT 운영 차원을 넘어 '전행적 경영리스크'로 관리하고 있다. 전무이사 직속 정보보호본부를 중심으로 이사회에 연 4회 이상 정보보호 현안을 보고하고 내부자 오남용과 장기 잠복형 침해에 대비한 탐지·대응 체계를 고도화한다는 방침이다.

쿠팡 개인정보 유출 사고를 비롯해 금융권을 둘러싼 보안 불안이 커지면서 은행권의 '보안 재점검' 요구도 높아지고 있다. IBK기업은행은 이 같은 환경 변화 속에서 정보보호를 특정 부서의 과제가 아니라 전사 리스크 관리의 핵심 축으로 보고, 거버넌스와 현장 대응 체계를 함께 손질하고 있다고 설명했다.

기업은행은 정보보호 전담조직을 IT부서와 분리된 전무이사 직속 독립 조직으로 운영해 정보보호 업무의 독립성을 확보했다. 정보보호최고책임자(CISO·본부장)가 전행 정보보호 관리체계를 총괄하고, 연 4회 이상 이사회에 정보보호 업무를 보고하는 방식으로 경영진 관여를 강화하고 있다는 설명이다.

전담 조직은 2부(정보보호총괄부·정보보호운영부)와 5개 팀(정보보호기획·고객정보보호·정보보호운영·사이버위협대응·정보보호내부통제)으로 구성됐다. 정보보호 전담 인력은 2023년 42명, 2024년 45명, 2025년 47명으로 꾸준히 확대됐으며, 총괄부가 정책·통제절차 수립과 전행 점검, 개인정보 정책 관리 등을 맡고 운영부가 침해사고 대응·분석과 내부위협 모니터링, 보안관제·네트워크 보안시스템 운영, 취약점 점검 등을 수행하는 구조다.

특히 기업은행은 내부자 오남용과 장기 잠복형 침해를 겨냥한 탐지 체계를 강조했다. 이상행위모니터링 탐지시스템을 구축해 약 70여 개 위협 탐지 시나리오를 운영하고, 비인가 접속 시도는 하루 5회 이상 등 임계치를 적용하는 방식이다. 퇴근 후 등 특정 이상시간대 행위는 AI를 활용해 탐지하고, 탐지 이후 4시간 이내 조치를 수행한다는 설명이다. 접근권한은 개인정보처리시스템의 업무 필요 범위 내에서 차등 부여하고, 인사이동 등으로 직무가 바뀌면 권한을 즉시 삭제하는 원칙을 적용한다.

침해사고 발생 시에는 피해 규모·파급효과 등을 기준으로 심각도를 판단해 '침해사고대응팀'과 '위기상황대응반'을 가동한다. 국정원·금융보안원·금융감독원 등 유관기관과 침해지표를 공유하고, 사고 발생 시 초기 대응과 전략 수립에 공조한 뒤 종결 보고까지 수행하는 협력 체계를 갖추고 있다.

기업은행은 유출 사고에 특화된 대응 매뉴얼을 제정·운영하고 있으며, 사고 인지부터 신고·대응팀 구성, 고객 통지, 피해구제, 고객안심 조치, 민원 대응, 피해신고센터 가동까지 프로세스를 구축했다. /IBK기업은행
기업은행은 유출 사고에 특화된 대응 매뉴얼을 제정·운영하고 있으며, 사고 인지부터 신고·대응팀 구성, 고객 통지, 피해구제, 고객안심 조치, 민원 대응, 피해신고센터 가동까지 프로세스를 구축했다. /IBK기업은행

개인정보 유출 사고에 대비한 절차도 별도로 마련했다. 기업은행은 유출 사고에 특화된 대응 매뉴얼을 제정·운영하고 있으며, 사고 인지부터 신고·대응팀 구성, 고객 통지, 피해구제, 고객안심 조치, 민원 대응, 피해신고센터 가동까지 프로세스를 구축했다. 개인정보 유출의 경우 72시간 이내 통지 및 신고를 원칙으로 하고, 고객에게 비밀번호 변경과 2차 피해 예방 안내를 포함해 불안 해소를 위한 조치로 통장·현금카드 무료 교체, 입출금 문자 알림 서비스 무료 제공 등을 안내한다.

쿠팡 사고 이후에는 전 직원 공지를 통해 금융사기 피해 유의를 안내하는 한편, 정보보호시스템 점검을 통해 퇴사자 권한 보유 여부와 개인정보 파일 유출·전송 및 전송 내역을 점검하고 지속 모니터링 중이다. 고객이 스스로 보안 상태를 점검할 수 있도록 i-ONE Bank에서 악성앱·원격제어앱 차단 등을 포함한 'i-ONE백신'과 피싱문자·위협앱·악성 URL/QR 등을 진단하는 스마트폰 진단서비스 등 'i-ONE 가드' 서비스도 제공하고 있다.

다만 디지털 전환이 빨라질수록 공격 표면이 넓어지는 만큼 장기 잠복형 위협에 맞춘 탐지 시나리오와 임계치의 지속 고도화, 전행 협업을 통한 운영 내실화가 향후 과제로 남는다.

기업은행 관계자는 "기업은행은 공공·금융기관으로서 국가정보보안기본지침 등 공공 프레임워크를 병행 적용하고, 망분리·재해복구훈련·신규 서비스 출시 전 보안성 심의 등 금융권 규제도 준수하는 '이중 보안체계'가 강점"이라고 설명했다.

seonyeong@tf.co.kr

발로 뛰는 <더팩트>는 24시간 여러분의 제보를 기다립니다.
· 카카오톡: '더팩트제보' 검색
· 이메일: jebo@tf.co.kr
· 뉴스 홈페이지: https://talk.tf.co.kr/bbs/report/write

· 네이버 메인 더팩트 구독하고 [특종보자→]
· 그곳이 알고싶냐? [영상보기→]
인기기사
회사소개 로그인 PC화면
Copyright@더팩트(tf.co.kr) All right reserved.