디지털 전환과 비대면 금융 확산으로 은행 정보보안이 신뢰를 가르는 기준으로 떠올랐다. 고객 정보 유출과 전산 장애가 되풀이되면서 보안은 내부통제와 조직 문화, 의사결정 구조를 가늠하는 지표로 읽힌다. <더팩트>는 국내 은행의 정보보안 대응을 점검하고, 디지털 금융 시대 은행 보안의 현주소와 과제를 짚는다. <편집자주>
[더팩트 | 김태환 기자] NH농협은행은 정보보호최고책임자(CISO)에 정보보호와 보안 관련 권한을 대거 부여했다. 특히, 개인정보 보호책임자(CPO), 신용정보관리보호인, 고객정보관리인을 모두 겸직하며 의사 결정에 있어 속도를 높이는 구조를 갖췄다. 보안 조직 내부에 자체감사팀을 두고 형식적인 점검보다 운영 리스크 관리를 강화하고, 지역 단위 현지 시스템을 총괄하기 위해 협의회를 두고 강력한 중앙집권형 통합 통제를 수행한다는 방침이다.
NH농협은행은 부행장 직급(부문장)의 CISO가 개인정보보호와 정보보안 관련 전략 수립과 통제 업무를 총괄한다. 특히, 다른 은행과의 차별점으로는 CPO, 신용정보관리보호인, 고객정보관리인을 겸직하고 있다는데 있다. 일반적으로는 해당 분야 담당자들은 다른 조직에 분산돼 있는데, 보안 관련 이슈가 발생했을 때 조율하거나 보고를 거치는 단계가 길어질 수 있다는 우려가 있다.
농협은행은 CISO가 모두 겸임하며 권한을 집중시키면서 사고 대응 시 책임 주체가 명확하고, 의사결정 속도가 빠른 구조를 구축했다. 최고경영자 직할 조직으로는 '정보보호부문'이 있으며 정보보호부문은 고객정보보호부, 정보보안부, 정보보호감사팀으로 구성돼 있다. 지역·해외 법인에서 운영되는 개별 시스템 역시 본점 정보보호부문의 통제를 받도록 설계돼 있으며, 협의회 체계를 통해 보안 정책과 점검 기준을 중앙에서 일괄 적용하는 중앙집권형 관리 방식을 취하고 있다. 고객정보보호부는 개인(신용)정보 보호를 위한 계획의 수립, 교육 및 점검 등의 기능을 수행하며, 정보보안부는 전행 정보보안 전략 및 보호대책 수립 및 운영(점검) 업무를 하고 있다. 정보보호감사팀은 정보보호부문 전반의 자체감사를 수행하고 있다.
정규직 기준 전담 인원은 지난 2022년말 81명에서 2024년말 86명으로 꾸준히 80명대를 유지하고 있다.
정보유출 등 문제가 발생하면 농협은행은 전자적 침해 비상대응 절차에 따라 신속한 전파 및 계통 보고를 위한 체계를 마련해 운영하고 있다. 침해사고(이하, 위기) 수준에 따라 TF 구성 및 보고 체계, 의사결정 체계가 가동되며, 위기 수준이 높은 경우 정보보호부문장(CISO), 그 외의 경우 정보보안부서장이 위원장이 주관이 되어 대응 조직 구성 및 의사결정을 내리게 된다.
사고 발생 즉시 외부 보안전문기관(금융위원회·금융감독원·금융보안원·KISA·수사기관 등)에 알리고, 침해 사고 공조 조직을 편성해 운영하는 시스템도 구축돼 있다.
농협은행은 디지털금융 인프라 단계부터 대고객 접속을 위한 DMZ구간과 데이터 처리를 위한 내부망, 거래 정보 등 데이터 저장을 위한 별도 구간으로 각각 구별했다. 고객정보 등 중요 개인정보는 외부에서 접근 불가한 내부망에 암호화되어 저장되고 있고 사전에 인가된 사용자에 한해서만 접근할 수 있다.
민감 정보를 다루는 인원은 관련 법, 감독규정에 따라 모든 정보시스템에 대해 업무 목적에 부합하는 최소한의 권한만 부여하는 원칙을 적용하고 있다. 이들이 직무 변경이나 인사 이동 시에는 인사시스템과 연계해 권한을 즉시 조정하거나 회수하고 있다.
농협은행은 데이터에 대한 대용량 조회나 외부 정보 반출에 대해서는 인공지능(AI)를 활용해 트래픽을 분석하고 보안관제시스템 등에서 이상행위를 즉시 탐지하고 있다.
최근 농협은행은 유통업계 등의 대규모 정보유출 사태를 계기로 주요시스템 등에 접근할 수 있는 계정 및 권한 관리 체계에 대해 실태점검을 수행하고, 퇴직(예정)자에 대한 계정(권한) 회수, 개인정보 접근에 대한 모니터링 결과를 점검했다.
농협은행 보안관제실에서는 외부 데이터 유출에 대한 모니터링을 강화하고 수행하고 있으며, 전 임직원 대상으로 유출 사고로 인한 스미싱 공격 주의 지도 문서를 시행했다.
개인 이용자들의 보안을 자체적으로 강화할 수 있도록 농협은행은 이용자가 비대면에서 주요 금융 거래를 시도할 때, 휴대폰 본인확인, 계좌비밀번호, 신분증 촬영 및 안면인식 검증 등 다중 본인확인 절차를 이행하도록 했다.
이와 함께, 일정 금액 이상 이체 시에 보안매체 인증이 필요하고, 이상 거래 탐지(FDS) 시에는 안면인식, ARS인증 등 강화된 인증 절차를 추가로 진행한다.
지난해 12월부터는 농협은행 자체 바이오인증 분산관리 시스템인 'NH얼굴인증 서비스'를 출시하고, 향후에는 FDS 등 뱅킹 플랫폼 전반에 확대 적용하여 본인확인 절차를 더욱 강화할 예정이다.
농협은행 관계자는 "이런 절차에도 불구하고 개인정보가 유출될 경우에는 개인정보 유출 대응 매뉴얼대로 대처한다"면서 "사고 발생 시 신속하고 일관된 대응이 이루어질 수 있도록 정보보호부서, 고객지원부서, 법무·홍보 등 관련 부서별 역할과 책임을 사전에 정의하고, 실제 상황을 가정한 정기적인 모의훈련을 연 1회 이상 실시해 대응 체계의 실행력과 효과성을 검증하고 있다"고 말했다.
kimthin@tf.co.kr
- 발로 뛰는 <더팩트>는 24시간 여러분의 제보를 기다립니다.
- · 카카오톡: '더팩트제보' 검색
- · 이메일: jebo@tf.co.kr
- · 뉴스 홈페이지: https://talk.tf.co.kr/bbs/report/write
- · 네이버 메인 더팩트 구독하고 [특종보자→]
- · 그곳이 알고싶냐? [영상보기→]