상호저축은행중앙회는 저축은행의 건전한 발전을 도모하고 거래자 보호를 위하여 설립된 무자본 특수법인으로 저축은행의 경쟁력과 공신력을 지원하는 등, 저축은행의 중앙은행 기능을 수행하고 있다. 주 업무는 저축은행의 발전 지원, 중앙은행으로서의 금융업무, 중앙전산센터로서의 전산업무, 중간관리기구로서의 공적업무를 수행하고 있다. 특히 일관되고 표준화된 정보보호관리체계와 보안정책 마련을 위해 노력하고 있으며 이를 기반으로 저축은행의 보안 업무를 지원하고 있다.

현재 상호저축은행중앙회 IT본부는 통합저축은행, 미통합저축은행, 중앙회 내부의 IT업무를 지원하고 있다. 특히 정보보호업무는 IT본부 시스템운영팀에서 담당하고 있으며 현재는 2명의 전담 인력이 보안을 책임지고 있다.

주요 업무는 보안장비 관리 및 운용, BCP 운영, 정보보호관리체계(ISMS)인증 유지 및 관리, 직원의 정보보호 의식 고취, 대고객 정보보호 업무, 저축은행 정보보호 업무 지원 등이다.

박욱현 상호저축은행중앙회 시스템운영팀 팀장은 현재 상호저축은행중앙회의 최대 보안 이슈는 “최근 발생한 저축은행 해킹으로 인한 고객정보 유출 사건과 같이 해킹으로 인한 정보 유출 피해 예방을 위한 것”이라며 “이를 위해서 국내 각 저축은행들 사이에서는 고객정보보호 방안 체계의 구성과 업계의 정보보호 수준 향상 등, 정보보호에 대한 인식제고의 필요성이 강조됐다”고 설명했다.

중앙회는 이를 위해서 각 저축은행들의 네트워크 보안을 체계적으로 강화하고 보안정책이나 시스템 마련이 필요하다고 판단하고 구체적 정책이나 필요한 시스템 마련에 대한 가이드라인을 마련, 각 저축은행에 안내했다.

또한 최근 이슈가 되고 있는 고객정보 보호를 위해 발생한 고객정보 유출 사건으로 인해 중앙회 내부와 각 저축은행들의 고객정보보호 강화를 위한 시스템도 마련했다. 박 팀장은 “고객정보 보호의 중요성을 인식하고 고객정보 유출방지를 위해서 중앙회와 각 저축은행들이 공동구매로 내부정보 유출방지 솔루션을 도입, 현재 구축중이며 12월 중순이면 구축이 완료되어 테스트를 거쳐 정상 운영될 수 있을 것”이라고 밝혔다.

정보보호 역량 강화위한 정보보호 컨설팅 진행

중앙회는 올해 금융 정보보호안 시스템 강화를 위해 먼저 저축은행의 보안성강화를 위해서 개별 저축은행 내 해킹대비를 위한 정보보호 세미나를 개최했으며 공유폴더 삭제, 개인자료삭제, 파일암호화 및 전원차단 등 간단하지만 중요한 정보보호 원칙을 안내했다. 아울러 네트워크 표준안을 마련하고 이에 따른 저축은행별 맞춤 컨설팅 및 저축은행용 표준 UTM(Unified Threat Management)장비 도입 등을 지속적으로 지원하고 있으며 단말프로그램 전용 키보드 보안 S/W도 도입 적용했다.

이어서 중앙회의 보안성강화를 위해 두 차례에 걸친 모의해킹 실시(금융ISAC, 금융보안연구원)를 통한 취약점 발굴 및 대응, 내부방화벽 추가구축, 강화된 보안정책 적용, USB기반의 원격지원 단말(VPN Client)도입, 로그분석을 통한 침입탐지 등 지속적인 정보보호 업무을 수행했다.

박 팀장은 “또 내부정보 유출방지 솔루션 구축을 비롯해 내년에는 전문 보안컨설팅 업체에 의뢰해 보안 취약점 분석을 통해 표준정보보호지침 제정, 저축은행 내 정보보호 체크리스트 등 구체적인 업계 공동의 보안성 강화방안을 마련할 방침”이라고 말했다. 이 외에도 USB기반의 원격 지원 단말(VPN Client)을 장착하고 통합저축은행 단말프로그램 전용 키보드 보안 S/W 등을 적용했다.

박 팀장은 “최근 발생한 금융보안 사고 등과 관련해서 중앙회측은 저축은행의 영업점 Network 구성 표준안을 마련하고 IT본부 IFIS 보안장비 강화와 내부정보유출 방지 솔루션 구축을 통해 내부정보보안을 강화하기로 했다”고 말했다.

그는 또 모의해킹을 통한 내부 보안성 점검(금융ISAC, 금융보안 연구원 지원)과 IT본부 인터넷망과 도렴동본부의 인터넷망을 분리하여 통합금융정보시스템(IFIS) 통신망의 기밀성을 향상시켰다고 강조했다.

아울러 각 저축은행들은 자체적으로 보유한 시스템의 보안점검과 보안지원 업체와 ASP 업체 등을 점검하고 개인 PC내 고객정보 삭제와 방화벽 등의 보안정책을 강화했다. 또 저축은행별 금감원 보안컨설팅을 진행하고 업계 공동의 보안성 강화를 위한 조직 체계 필요성울 공감했다.

한편, 금감원 또한 업계의 보안 심각성을 인식하고 은행별 보안컨설팅을 진행했고 상호저축은행중앙회의 경영진들도 정보보호의 중요성을 인식하고 보안에 대한 인적·물적인 투자와 지원을 아끼지 않고 있어 저축은행업계의 금융정보 보호와 강화를 위해 최선을 다하고 있다.

효율적 네트워크 운영 위해 VPN 활용

다른 금융권과 차별화된 정보보호 정책이나 시스템에 관한 질문에 박 팀장은 “우리는 통합금융정보시스템(IFIS) 업무 전체가 지난 2005년 12월 정보보호진흥원의 정보보호관리체계 인증(ISMS)을 획득하고 이를 매년 유지·관리하기 위해 노력하고 있다”며 “공인IP를 이용한 서비스가 없어 외부로부터의 직접적인 접근이 불가능하기 때문에 최근 이슈가 되고 있는 DDoS 공격에 대한 문제와는 거리가 멀다”고 설명했다.

그는 또 “효율적인 네트워크 사용을 위해서 VPN 이용을 극대화 하고 있다”며 “특히 VPN을 이용한 재해복구 시스템을 구축하고 VPN과 GateWay를 이용한 업무확대 방법 등, VPN의 효율적인 사용과 관련하여 BM 특허출원을 추진하고 있다”고 덧붙였다.

이와 같이 상호저축은행중앙회는 시중은행과 비교해 상대적으로 열악한 환경에서도 이와 대등한 시스템 환경을 견지하기 위해서 매년 정보보호관리체계를 점검하고 정보보호 솔루션을 도입해 정보보호 수준을 업그레이드하고 있다. 또한 DB보안솔루션을 시중은행보다 먼저 도입해 정착시켰다는 점은 제1금융권 보다 앞서서 정보보호를 위해 많은 노력과 투자를 하고 있다는 것을 간접적으로 말해준다.

이 밖에도 중앙회는 정보보호 강화를 위해 정책과 예산을 마련하고 내년에는 정보보호컨설팅, DRM, 보안USB, DB암호화 등의 검토와 도입을 순차적으로 진행할 예정이다. 하지만 충분한 검토와 테스트를 통해서 검증된 솔루션만을 엄선한다는 방침이다.

보안솔루션 선택 기준은 커스터마이징과 유지·보수

현재 중앙회에서 도입 운영하고 있는 보안 솔루션은 방화벽, UTM, IP관리, PMS, 내부정보유출방지솔루션 등을 운영 중이다. 이들 솔루션 대부분은 국산 보안 제품이라는 것이 특징이다.

박 팀장은 “국산 보안제품과 외산 제품의 성능과 기능은 이젠 별 차이가 없다. 그렇지만 국산 보안솔루션은 관리자 GUI 환경이 효율적으로 구성되어 있어 사용이 편리하고 문제발생시 대처방법이 효율적이라는 것이 장점이다”며 “특히 국산 솔루션을 많이 선호하는 이유는 각각의 사용자 환경에 따라 커스터마이징과 유지·보수 접근이 용이하기 때문”이라고 설명했다. 그는 또 “글로벌 솔루션은 특정 이벤트 발생시 이벤트 내용을 추적하고 관련정보를 쉽게 찾을 수 있다는 것이 장점이지만 국산 제품만큼 커스터마이징이나 유지·보수 접근이 쉽지 않은 점이 문제”라고 지적했다.

최근 들어 기업의 핵심 기술정보나 고객정보가 해킹이나 유출의 대상이 되고 있지만 중앙회는 이를 대비해 방화벽, UTM, IP관리, PMS, 전문암호화, 담당자별 업무 권한 설정 등 복합적인 보안장치를 망 구성을 통해 저축은행과 고객들에게 안전한 IT 서비스를 제공하고 있다.

또한 현재 구축중인 내부정보 유출방지 솔루션이 완료되면 관리자 교육을 통해 효율적인 내부정보 유출방지 정책을 수립하고 운용할 방침이다. 이 외에도 직원들의 정보보호에 인식 제고를 위한 교육을 통해 고객정보보호의 중요성을 인식시키는 한편, 방화벽 로그에 대한 분석을 계속 실시해 해킹시도에 대한 징후 발견 및 대응조치를 금융보안연구원 등의 관계기관과 긴밀한 협조를 추진하며 향후 현실성 있는 보안정책을 계속 추진한다는 계획이다.

한편, 박 팀장은 “정보보호는 기술과 장비가 중요한 것이 아니라 그것을 운영하는 사람의 정보보호의식이 더욱 중요하고, 이에 따른 정보보호관리체계를 갖추는 것이 핵심이며 이를 위해서 업계의 정보보호 의식을 고취하고 외부로부터의 위협에 대해 공동 대응하여 고객에게 믿음을 주는 저축은행으로 자리 잡을 수 있도록 금융정보 보호에 더 많은 노력을 할 것”이라고 강조했다.

<글/사진 : 김태형 기자 (is21@boannews.com)>

[월간 정보보호21c 통권 제100호 (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무전재-재배포금지>