“ISMS의 지속적 이행, 정보보호 관련 금융권 상위수준 달성 목표”

물리적, 기술적, 관리적 보안체계 구축...대고객 신뢰도 향상

ISMS 인증 획득, 62개 저축은행 회원에게 객관적 공공성 확보

<저축은행중앙회 전산본부 박욱현 팀장과 김대중 팀장>

지난 7일, 저축은행중앙회는 한국정보보호진흥원의 정보보호관리체계(ISMS) 인증을 획득했다. 이번 인증획득은 전산업무시스템 전체에 대한 인증을 받은 것으로 금융업계에서는 최초로 이루어졌다. 이번 인증을 통해 저축은행중앙회는 통합금융 정보시스템의 안정성과 정보보호관리 능력을 공인된 기관으로부터 객관적인 입증을 받아 고객신뢰도가 한층 높아질 전망이다.

상호저축은행중앙회 전산본부 시스템운영팀 김대중 팀장은 “2001년 정보통신기반보호법 시행에 따라 저축은행중앙회가 기반시설로 2차 지정을 받으면서 2년에 한번 코스콤(증권전산)으로부터 취약성점검을 실시해 왔고 그 분석 결과를 금감원에 제출했다”고 말하며 “하지만 보안상 취약점에 대한 근본적인 해결이 이루어지지 않았다고 판단, 2004년 7월 전산센터 이전을 기점으로 소프트웨어와 하드웨어 장비를 전면 교체하면서 보안성 강화에도 많은 투자를 했다”고 밝혔다.

한편 중앙회는 올해 6월 한국정보보호진흥원에 정보보호체계 인증신청을 접수하고 복잡한 심사과정을 거쳐 지난 12월 9일 정보보호관리체계 인증(ISMS)을 취득하기에 이르렀다.

ISMS 인증을 신청하게 된 동기에 대해 저축은행중앙회 전산기획팀 박욱현 팀장은 “저축은행 중앙회는 총62개 저축은행의 고객DB를 관리하고 각 은행별로 별도의 정보들을 관리하는 임무를 맡고 있다. 따라서 대고객신뢰도 향상과 각각 은행들의 정보보호를 위해 시스템의 공공성을 인정받고 싶었다”고 밝혔다.

한편 그는 “각 회원은행들은 개별적으로 경쟁사들이기 때문에 중앙회에서 일괄적으로 처리하는 정보들이 혹시나 타 경쟁 저축은행에 넘어가지나 않을까 하는 우려들을 해온게 사실이었다. 그 부분에 객관적인 신뢰성을 인정받고 싶었고 우려들을  불식시키기 위해서 이번 인증을 취득해 회원은행들이 중앙회를 믿고 정보를 맡길 수 있도록 토대를 마련하게 됐다”고 덧붙였다.

저축은행중앙회는 서로 독립된 저축은행간의 개별적인 데이터를 통합관리하기 때문에 각 은행별 정보를 개별적으로 잘 관리하고 있다는 인증을 KISA를 통해 입증 받은 셈이다.

이번 인증심사 실무를 담당한 중앙회 전산본부 장동호 대리는 “코스콤으로부터 이전부터 정보보호 컨설팅을 받아왔기 때문에 초기 인증신청과 인증심사 과정에서 많은 도움을 받았다”며 “전산전반에 대한 인증이었기 때문에 많이 힘들었지만 힘들었던 만큼 현재 보안성이 무척 강화되었고 고객신뢰도가 높아져 보람을 느낀다”고 밝혔다.

ISMS 인증 절차는 ①KISA에 ISMS인증 신청 ②정보보호관리체계 문서규정화 초안 작업 ③KISA 사전점검 ④사전점검시 지적사항에 대한 보완작업(범위 정의서 작성, 정보보호계획서 작성, 정보보호대책명세서 검토 등) ⑤ISMS 계약서 작성(KISA 측과 함께) ⑥KISA의 ISMS 인증심사 ⑦심사 결과에 따른 최종 보완조치 실시 ⑧KISA의 최종 심사 실시 ⑨인증서 발급 등의 순으로 이루어진다.

이 인증서는 3년간 유효하며, KISA는 인증을 취득한 기관이 관리체계를 지속적으로 유지하고 있는지에 대해 1년에 1회 이상 인증취득기관을 방문해 점검한다. 또한 3년 만료가 되는 시점에는 유효기간 연장을 위해 갱신심사가 실시된다. 재심사는 인증을 받은 정보보호관리체계의 범위내에서 중대한 변경이 발생한 경우 실시하는 인증심사다.

인증심사기간 중앙회 직원들의 정보보호관리체계에 대한 전반적인 교육도 함께 진행됐다. 교육내용은 ▲D/B 보안도구 교육 ▲정보보호개요  ▲로그분석 및 바이러스 ▲PC보안교육 ▲사용자 계정 및 패스워드 관리절차 ▲윈도 보안교육 ▲Tcp/ IP 및 네트워크 보안 ▲인터넷 사용 및 이메일 보호교육 등이 실시됐다. 이후 12월 들어서는 ▲보안사고 대응절차에 관한 교육 ▲정보보호 정책/ 지침 변경에 대한 교육 등이 이루어졌다.

중앙회에서 올해 추진한 사업에 대해 시스템운영팀 김대중 팀장은 “우선 정보보호관리체계 인증 획득과 네트워크 기능별 분리에 따른 접근통제 구현, 전직원 대상 정보보호 교육 및 인식제고, 취약점 분석평가 결과 반영, 정보자산관리 강화, 정보보호시스템 및 네트워크 장비 이중화, IP중앙관리 체제 적용 등을 완료했다”고 밝혔다.

<여의도에 위치한 상호저축은행중앙회 전산본부>

전산기획팀 박욱현 팀장은 내년도 계획에 대해 “2006년도 중점 사업으로는 암호화 통신 접속 도구의 구현, 통합 보안관리체제 구현, 정보보호관리체계의 지속적 추진, 네트워크 관리용 NMS 구축, 로그 관리 및 로그 분석 등을 들 수 있다”며 “고객신뢰와 회원은행들의 정보를 안전하게 관리하고 원활하게 처리할 수 있도록 내년에도 최선을 다하겠다”고 강조했다.

저축은행중앙회 보안담당 조직은 전산본부내 5개 팀에 한 명씩 배치가 돼있고 부문별로는 서버보안, 관리체계 보안, 데이터베이스 보안, 네트워크 보안 등에 각각 1명과 애플리케이션보안에 2명이 배치돼, 총 11명의 보안담당자가 중앙회 보안을 관리하고 있다.  

전체 보안에 관해 김대중 팀장은 “물리적 보안은 건물자체에 잘 돼있어 걱정이 없고 기술적 보안은 보안장비를 구축하면서 완료가 된 상태다. 하지만 부족했던 부분이 관리적 보안이었다. 보안관련 문서를 만들고 매뉴얼과 지침서를 만드는 작업들이 힘들었다. 이번에 ISMS 인증을 받으면서 이 부분도 완료돼 전방위 보안체계가 구축된 것”이라며 “앞으로는 이를 토대로 지속적인 관리와 각 은행들에게 좀 더 개별적이면서도 다양한 서비스가 이루어질 수 있도록 애플리케이션 구축에 노력하고 원활한 업무효율증대에 기여하도록 하겠다”고 말했다. 

저축은행중앙회는 현재 총 62개 저축은행이 회원은행으로 등록돼있으며 15개 은행이 아직 미통합은행으로 남아있다. 정부는 모든 저축은행이 중앙회로 통합되도록 권고하고 있으며 관계자 또한 “비용이나 운영면에서도 중앙회에 소속되는 것이 유리한 점이 많다”고 말했고 중앙회 관계자도 “향후 중앙회 소속 저축은행이 더욱 늘어날 전망”이라고 밝혔다.

박욱현 팀장은 “2006년 하반기에는 정보보호관리체계의 지속적인 추진으로 고객사의 정보보호 수준은 업계 은행권 상위의 정보보호 수준을 이룰 수 있을 것으로 전망한다”며 포부를 밝혔다. 

 [길민권 기자(is21@infothe.com)]

          <저작권자: 보안뉴스(www.boannews.com). 무단전재-재배포금지.>