디지털 전환과 비대면 금융 확산으로 은행 정보보안이 신뢰를 가르는 기준으로 떠올랐다. 고객 정보 유출과 전산 장애가 되풀이되면서 보안은 내부통제와 조직 문화, 의사결정 구조를 가늠하는 지표로 읽힌다. <더팩트>는 국내 은행의 정보보안 대응을 점검하고, 디지털 금융 시대 은행 보안의 현주소와 과제를 짚는다. <편집자주>
[더팩트 | 김태환 기자] 정보 보안에 대한 사회적 경각심이 높아진 가운데, 우리은행은 정보 보안을 단순한 IT 관리 영역이 아닌 이사회가 직접 관리하는 핵심 경영 리스크로 격상시켰다. 은행장 직보와 이사회 보고를 상시화하고, 정보보호최고책임자(CISO)를 중심으로 책임 체계를 일원화하는 등 '사고 이후 대응'이 아닌 '사고 이전 관리'에 초점을 맞춘 것이 특징이다.
우리은행은 지난해 5월부터 최근까지 한 달에 한번씩 은행장에게 대외 각종 보안사고에 대한 은행 내부 점검 결과와 대응방안을 비롯한 주요 현안을 보고하고 있다.
특히 지난해 8월에는 은행 전 임원이 참석한 경영협의회에서 랜섬웨어 공격에 대비한 은행 현황과 대응강화방안을 논의했으며, 지난해 7월과 11월에는 이사회 산하 내부통제위원회에서 신사업 및 서비스 확대에 따른 정보보호 내부통제 점검과 올해 정보보호 주요 사업계획을 확인했다.
지난해 10월에도 은행장이 주관하는 임원 참석 협의회인 내부통제협의회에서 외부 주요 해킹사고에 따른 정보보호 강화방안을 논의했다.
우리은행은 CISO가 정보보안 관련 최종 책임자로 설정돼 있으며 개인정보보호책임자(CPO), 신용정보관리∙보호인, 고객정보관리인 등에 역할과 책임이 집중돼 있다.
CISO는 전자금융거래 안정성 확보·이용자보호 전략 및 계획 수립을 총괄하며 정보기술부문의 보호, 보안 인력관리 및 예산편성, 전자금융거래의 사고 예방 및 조치 등을 담당한다.
CPO는 개인정보보호 계획의 수립 및 시행과 개인정보처리 실태의 정기적인 조사 및 개선, 개인정보처리 관련 불만의 처리 및 피해 구제, 개인정보 유출 및 오·남용 방지 내부통제시스템 구축 등을 맡고 있다.
신용정보관리·보호인은 신용정보의 관리·보호 계획의 수립 및 시행과 피해구제, 신용정보 유출 방지 내부통제시스템 구축을, 고객정보관리인은 전 은행 고객정보 관리에 관한 일체의 권한 및 책임을 총괄하며 정기적인 고객정보 제공과 이용현황을 점검 및 보고한다.
이들은 이사회 보고를 분기별, 반기별 연간별로 진행한다. 분기별로는 고객정보 제공과 이용현황, 클라우드 등 제3자 리스크 관리사항을 보고하고, 반기별로는 정보 보안 취약점 분석과 평가 결과, 이행계획 등을 보고한다. 연간으로는 정보 보호와 관련한 목표와 전략, 계획 수립 등을 한다.
이와 별도로 운영리스크관리심의회는 분기별로 정보 보안 내부통제 관련 점검결과를 보고한다.
우리은행의 정보보안 조직은 '정보보호본부'를 중심으로 우리FIS 정보보안부 조직체계로 구성돼 있다. 우리FIS는 우리금융그룹 전산자회사로 2002년부터 정보보안 전문부서인 정보보안부에서 정보보안시스템의 운영을 총괄 중이다.
국외지점 및 법인은 정보보호부서 내 글로벌정보보호팀에서 대응하고 있으며, 계열사 정보보호조직과의 협업은 우리금융지주 ICT기획부에서 수행하고 있다.
정보보호본부는 정보보호에 대한 정책/전략 수립 등을 총괄 관리하고 있으며, 우리FIS에서는 보안시스템 운영 등 IT인프라 레벨의 방어 역할을 수행 중이다. 정보보안 인력은 지난해 말 기준 약 93명이 배정돼 있다. 만일 우리은행에서 해킹, 개인정보유출 등이 나타날 경우를 대비해 신속한 대응을 위해 금융전산 현장조치 행동매뉴얼 내 핵심내용 위주로 대응 프로세스를 운영 중이다.
'전자적침해사고 대응 매뉴얼'을 통해 개인정보 유출시, 업무 중단 시, 또는 발생 우려 시 피해상황을 고려해 총 4단계(관심/주의/경계/심각) 별 대응기준이 수립돼 있다.
보고체계는 사고인지 → 상황보고 → 비상회의 소집(상황전파) → 대응반 구성(종합상황실, 사고대응반, 사고분석반, 본부대응반, 영업점대응반 등) → 신고(대외기관) 등의 단계를 거치게 된다.
우리은행은 보안사고의 여러 유형 중 핵심 데이터에 접근하는 직원의 문제인 점을 감안해 내부통제 기준도 강화했다.
우선, 데이터 접근통제 방식은 업무용 PC가 아닌 별도의 승인된 PC로만 가능하다. 승인 PC는 내부업무망과 외부 인터넷망 접속 불가 등 강화된 정보보호 통제대책 적용된다. 이와 함께, 본인이 운영하는 서버(DB)에만 접속이 가능하며, 접속 시에도 ID와 비밀번호 외 OTP인증, 생체인증 절차를 거쳐야만 접근할 수 있다.
직원의 권한 부여와 변경, 회수 절차는 권한 신청·변경 시 해당 권한 신청 부서장의 결재를 득한 후 정보보호부에서 적정성 검토(최소한의 권한 부여 등)해 정보보호부서장 결재를 받아야 한다. 퇴직·휴직 등 인사발령으로 해당 업무에서 배재될 경우 시스템에서 즉시 권한 회수처리된다.
고객 개인정보와 거래 정보에 접근 가능한 내부 인원 범위도 관련 업무 수행을 위해 사전 승인받은 직원에 한해서만 접근할 수 있다.
평상시에도 우리은행은 별도의 모니터링 시스템을 통해 개인정보 접속기록 및 다운로드에 대해 상시 모니터링을 실시하고 있다. 평상시와는 다른 행위 발생시 소명요청 및 적정성 검토 업무를 수행한다.
최근에는 대외 보안 사고 확대로 인해 전 은행의 개인정보처리시스템 대상으로 △접근권한 회수 적정여부 △서버·DB·어플리케이션 접속 키관리 적정여부 △퇴사자·휴직자 계정 관리 등을 점검했다.
또 고객이 스스로 자신의 계정·정보 보호 수준을 점검할 수 있도록 △단말기 지정 서비스 △해외IP 차단 서비스 △ID 패스워드 로그인 시 2차 인증 적용 △금융 거래 안심차단 서비스 등 다양한 보안서비스를 적용하고 있다.
우리은행 관계자는 "경영진과 이사회 차원에서 정보보안을 가장 중요한 경영 리스크로 인식하고 있다"면서 "최근에는 AI를 통한 신종 이상금융거래 패턴 자동 분석 및 탐지 강화를 위해 FDS 시스템 고도화 사업도 추진 중에 있다"고 말했다.
kimthin@tf.co.kr
- 발로 뛰는 <더팩트>는 24시간 여러분의 제보를 기다립니다.
- · 카카오톡: '더팩트제보' 검색
- · 이메일: jebo@tf.co.kr
- · 뉴스 홈페이지: https://talk.tf.co.kr/bbs/report/write
- · 네이버 메인 더팩트 구독하고 [특종보자→]
- · 그곳이 알고싶냐? [영상보기→]