한국CISO협의회

CISO News HOME > CISO News > 회원사 소식

회원사 소식

NH농협은행 CISO 김유경 부행장 “금융 보안위협 SOAR로 선제적 대응”

2021.09.01

NH농협은행 CISO 김유경 부행장 “금융 보안위협 SOAR로 선제적 대응”

NH농협은행의 정보보안부문은 농협은행 뿐만 아니라 NH금융 그룹 전체의 보안 수준을 이끄는 핵심 조직이다. 농협은행에서 검증된 보안 시스템 운영 전략과 노하우를 농협그룹 계열사들과 공유하고 넓게는 농협 그룹 전체의 보안 수준을 끌어올리는 역할을 맡고 있다.

비대면‧디지털 금융의 확산에 따른 보안 위협의 증가는 현재 국내 금융권이 직면하고 있는 공통적인 숙제다.

AI(인공지능) 등 최신 혁신 기술을 활용한 금융서비스의 출시는 비즈니스를 역동적으로 이끄는 촉매제가 될 수 있지만 반대로 보안 파트에서보면 고스란히 보안 위협의 잠재적 증가로 계산에 넣어야 한다. 당연히 금융회사는 이를 염두에 둔 한차원 높은 보안 대응 전략을 동시에 준비해 나가야한다.

농협은행의 CISO(최고정보보호책임자)인 김유경 부행장은 <디지털데일리>와의 인터뷰를 통해 “지금 우리는 혁신적 파괴를 경험하고 있다”면서 “보안 리스크를 최소화하기위해 AI를 활용한 4세대 보안관제 사업을 추진하고 있다”고 밝혔다. 특히 농협은행이 추진하고 있는 차세대 지능형 통합보안관제 전략인 ‘SOAR’에 금융권의 관심이 적지않다. 농협은행은 SAOR(Security Orchestration, Automation & Response)구축과 관련해 그동안 국내 은행권에서 가장 발빠른 도입 움직임을 보여왔다.

김 부행장은 “SOAR는 폭증하는 보안 위협에 신속하게 대응하기위한 차원”이라며 “올해는 SOAR 적용 범위의 선정, 기술검증(PoC)을 통한 프로젝트 로드맵을 수립하고, 2022년에 본 프로젝트에 착수할 계획”이라고 일정을 밝혔다. 이어 김 부행장은 “멀티 클라우드 환경에 따른 제3자 리스크 최소화를 위한 그룹별 보안실태점검 등 보안 대책도 함께 고도화해 나갈 계획”이라고 강조했다.

김 부행장은 또한 클라우드 확산에 따른 '제3자 리스크'에 대한 보안측면에서의 해법도 제시했다. 보안 위험도에 따라 IT협력 업체를 3그룹으로 분류하고, 그룹별 보안실태점검을 실시한다는 전략이다. 클라우드와 관련한 MSP, CSP 기업들에 대해 보안점검시, 내부 화이트 해커를 통한 블라인드 모의 해킹 및 취약점 점검도 병행한다는 방침이다.

한편 지난 3년간 3단계로 나눠 진행해온 농협은행의 EDR(엔드포인트 탐지 및 대응사업)은 올해 종료된다. 이 사업은 국내 금융권 최대 규모의 EDR구축 사업으로 평가된다. 김 부행장은 EDR 사업에 대해 “농협금융의 종합보안체계 완성의 마중물이 될 것”이라고 의미를 부여했다.

한편 농협은행이 역점적으로 준비하고 있는 ‘마이데이터’ 서비스와 관련한 보안 대응전략도 강조했다. 김 부행장은 “외부로의 유출을 차단하기 위한 기술적·관리적 보호조치 등 데이터 흐름에 대한 모니터링을 더욱 강화하겠다”고 밝혔다.

다음은 김유경 부행장과의 일문일답.

Q: 올해 농협은행 정보보안부문에서 계획하고 있는 주요 사업은 무엇입니까..

A: 금융산업은 현재 '혁신적 파괴'를 경험하고 있습니다. 기존의 안정적인 뱅킹서비스에서 새로운 디지털 금융 플랫폼으로의 변화가 생존의 관건입니다. 그러나 AI 등 혁신 기술의 등장, 온·오프라인 융햡(Big-blur), 디지털 경제의 확대로 보안 위협은 다양화되고 있습니다. 따라서 올해는 안전한 모바일 거래 환경을 구현하고, 신기술을 활용한 4세대(AI) 보안관제 체계로 도약하기위한 사업을 중점 추진하고 있습니다.

기존 악성 앱 탐지 및 차단 시스템을 재편해 안전한 디지털금융 서비스를 제공할 예정입니다. 디지털 환경변화에 민첩하게 대응하기 위해 멀티 클라우드 환경 보안 대책을 고도화할 계획입니다. 이와함께 AI 기반 사이버보안 종합관제 체계 구현을 위해 ‘AI를 활용한 위협탐지 강화’프로젝트를 추진 중입니다. 또한 ‘파일 무해화’시스템(CDR)을 구축함으로써 외부에서 생성한 문서를 내부로 유입할 경우 모든 문서에 대한 안전화 조치를 적용할 방침입니다.

*용어설명 : CDR(Content Disarm & Reconstruction)= 문서내의 위협요소를 사전 제거 후 안전한 내용만 추출하여 문서를 재구성하는 기술

Q: 클라우드를 통한 IT아웃소싱이 확산되고 있습니다. 외부 업무위탁 확대에 따른 ‘제3자 리스크’ 가 쟁점입니다. 농협은행의 대응 전략은 무엇입니까.

A: 신뢰하는 공급망을 통한 해킹 증가, 클라우드 서비스 이용 확대, 특정 벤더 의존 심화 등으로 제3자 리스크는 더 확대됐습니다. 농협은행은 제3자 리스크 최소화를 위해 보안점검, 가시화, 대응책, 마스터 플랜 전략을 수립했습니다.

현재 제3자 리스크 최소화를 위한 마스터플랜을 준비해놓고 있습니다. 먼저, 보안 위험도에 따라 IT협력 업체를 3그룹으로 분류하고, 그룹별 보안실태점검을 실시하고 있습니다. 또 클라우드와 관련한 MSP, CSP 기업들에 대해 보안점검시, 내부 화이트 해커를 통한 블라인드 모의 해킹 및 취약점 점검도 병행할 계획입니다. 위협 항목별 대응 전략을 마련해 전체 IT아웃소싱에 대해 신규, 변경, 해지시까지의 모든 라이플사이클(Life Cycle)을 관리하는 체계를 마련했습니다.

또한 핀테크 활성화 정책과 다양한 금융서비스 개발이 필요해졌고, 이에대한 경쟁력 확보를 위해 오픈소스 도입도 금융권에서 점차 증가하고 있는 상황입니다. 따라서 자동화된 오픈소스 리스크 관리 프레임워크 구축도 검토하고 있습니다.

Q: 농협은행은 2019년부터 EDR 프로젝트를 3단계로 나눠 진행해왔습니다. 올해가 3단계인데, 그동안의 혁신 성과를 어떻습니까. 또 후속으로 추진될 ‘SOAR’ 프로젝트도 관심이 매우 높습니다. 사업 추진 일정은 어떻게 됩니까?

A: 먼저, 그동안의 EDR사업을 통해, 상당수의 단말기를 대상으로 솔루션을 적용한 결과 백신에서 탐지하지 못하는 내부 환경의 이상 행위들을 탐지하고 확인할 수 있게됐습니다. 이를 통해 수집된 많은 정보들은 사용자 이상행위를 판단할 수 있는 프레임워크를 만드는데 활용할 예정입니다. 또한 악성코드 및 이상행위 탐지율의 정확도를 높이는 등 지속적인 고도화를 통해 정교화할 예정입니다. 올해는 은행 영업점 단말까지 확대해 보안위협에 능동적이고 선제적 대응체계를 완성할 계획입니다. 이는 종합보안체계 구축의 마중물이 될 것으로 생각됩니다.

또 ‘SOAR’은 초연결, 초지능화 사회로의 진화로 IT신기술 발전과 동시에 사이버 위협도 고도화·지능화됨에 따라 선제적 대응을 위한 사업입니다. 보안위협 대응에 있어 인적, 시간적 한계도 분명해지고 있습니다. 정보보안 운영 프로세스의 표준화, 자동화를 통해 폭증하는 보안위협에 신속하게 대응할 계획입니다. 현재는 사례 분석, 플랫폼 검토, 업무 분석을 통한 프로세스 표준화 및 자동화 업무 범위를 검토중입니다. SOAR 적용범위 선정, 기술검증(POC)을 통해 프로젝트 로드맵 수립하고, 2022년에 본 프로젝트를 진행할 계획입니다.

Q: 농협은행은 전체 IT예산중 보안부문이 어느 정도 비중인지 궁금합니다. 또 IT 보안비용을 효과적으로 운용하기위한 전략은 무엇입니까.

A:농협은행은 정보보안 문화 확산을 우선 과제로 선정하고 있으며, 은행장님을 비롯한 경영진의 적극적인 지원으로, 매년 보안부문 투자를 전체 IT예산 대비 약 10%수준으로 책정하고 있습니다. 또한 정보보안부문은 은행뿐 아니라 농협중앙회 및 상호금융(농‧축협) 보안업무도 함께 위탁받아 운영관리하고 있는 특수성이 있습니다. 프로젝트 추진시 충분한 테스트 및 검증이 가능하기 때문에 보안부문 투자 시에도 대규모 적용에 따른 비용 절감효과가 있습니다.

Q: 그룹 전체를 아우르는 ‘통합 보안’ 전략도 매우 중요해졌습니다. 농협금융의 경우, 농협은행의 역할이 매우 중요합니다. 그룹 전체의 통합보안 전략에 대한 설명도 부탁드립니다.

A: 농협은행은 그룹 보안부문에서 가장 중요한 위치에 있습니다. 은행의 정보보안부문은 2014년 설립 때부터 금융그룹 통합보안 전략의 방향성을 가지고 설립됐으며 사업도 그렇게 추진돼왔습니다. 통합보안 전략에 따라 73개 종합대책을 마련 이행했고, 정보보안 강화를 위해 3단계 중장기 프로젝트를 진행했습니다.

2015년까지 전사 시스템, 장비, 규정 등을 정비하는 기반을 마련했고, 이어 빅데이터 기반 관제 등을 구축한 2018년까지 성숙단계, 이후 2019년부터는 차세대 보안관제, EDR, SOAR등을 활용하는 질적 전환 단계입니다. 현재 농협금융그룹 보안은 비즈니스를 위한 보안, 데이터 기반 보안, 사람 중심 보안의 32대 지속가능한 정보보안 대응전략을 수립한 상황입니다. 이를 통해 혁신 금융의 시대에 신뢰받는 농협금융이 될 수 있도록 노력하고 있습니다.

Q: IT보안 전문인력의 확보와 육성은 매우 중요한 과제가 되고 있습니다. 보안인력 확보를 위한 농협은행의 전략은 무엇입니까.

A: 현재 보안 전문가 육성을 위해 로드맵을 수립하고, 부서원 전체를 대상으로 직급‧연차별, 직무별 필요한 스킬과 지식을 정의하고 습득할 수 있도록 운영하고 있습니다. 보안 전문기관(금융보안원, KISA)의 보안전문가 과정, 보안분야 전문대학원 교육과정 등의 체계적인 교육을 통해 전문가를 육성하고 있습니다. 농협은행에 신규 직원으로 입사하여 교육 로드맵에 따른 교육과정을 이수하면, 10년 정도후에는 보안 전문가로 성장할 수 있도록 지원하고 있습니다.

Q: 현업 부서도 디지털 조직으로 변모하고 있습니다. IT보안을 책임지는 CISO는 회사 전체 구성원들과의 소통이 특히 중요하다고 생각합니다. 어떻게 대응하고 있습니까.

A: 농협은행은 디지털전환(DT), 모바일, 비대면 채널 확장 등 디지털 환경 변화에 따른 신속한 업무 지원체계 수립을 위하여 보안내재화(Security by Design)를 대응하는 전담 지원조직인 보안BA (Business Analyst)를 구성했습니다. 사업추진 계획 단계부터 보안요소가 고려 될 수 있도록 정기적인 회의 및 보안성 검토 등 내부통제 절차를 통해 금융서비스의 안전과 신뢰도를 제고하고 있습니다.

Q: ‘마이데이터’와 관련, 보안 부문에서 특별히 신경써야할 것이 있다면 무엇입니까.

A: 수많은 데이터가 개방되는 만큼 데이터의 관리가 더욱 중요해집니다. 따라서 고객이 동의한 범위 내에서 안전한 방법으로 데이터를 이용하고 파기에 이르기까지의 과정, 즉 데이터의 수집부터 파기까지 라이프 사이클에 대한 철저한 관리가 필수적으로 이뤄져야 합니다. 또한 데이터의 오·남용을 방지하고 외부로의 유출을 차단하기 위한 기술적·관리적 보호조치 등 데이터 흐름에 대한 모니터링을 더욱 강화할 필요가 있습니다.

뿐만 아니라 데이터를 처리하는 모든 마이데이터사업자들도 ISMS 인증 등 은행과 유사한 수준의 보안성이 균등하게 보장되어야 서비스 사용자들이 안심하고 이용할 것입니다. 또 마이데이터 서비스 개발 단계에서부터 데이터처리 기관의 기능 적합성 심사를 통해 본인인증, API 규격 적합성 등을 검증해야합니다. 그리고 서비스 오픈전 보안 취약점 점검을 완료하는 등 안전한 마이 데이터 서비스 적용을 위한 보안대책 마련이 필수입니다.

[디지털데일리 박기록 기자 / http://www.ddaily.co.kr/news/article/?no=217725 ]

주요 회원사