전 세계 금융기관 중 최고 브랜드 가치를 가진 회사, HSBC은행의 한문청 전산정보부 이사는 “HSBC은행은 정책과 규정, 업무 매뉴얼 등이 최고로 완비돼 있는 회사”라며 “보안과 위험 관리 부분 역시 최고라고 말할 수 있다”며 강한 자부심을 드러냈다.

HSBC은행은 타 은행과는 차별화된 보안 체계가 구축돼 있다. 위험관리를 담당하는 전담 부서가 있으며 각 부서마다 부서의 위험관리를 담당하는 직원들이 있어서 체계적인 위험관리를 통한 보안이 이뤄지고 있다. 아울러 매달 정기적인 위험관리 회의를 통해 서로의 운영위험과 보안관리를 공유해 임원들뿐만 아니라 모든 직원에게 전파될 수 있도록 하고 있으며 전산보안관리 부분도 일반적인 전산보안에 더해 IT Compliance라는 특화된 Roll이 있어 전문화된 관리가 이뤄지고 있다.

한 이사는 “HSBC의 보안관리 조직은 다른 금융회사의 조직과는 다르게 여러 가지 담당 부서들로 세분화돼 있고 이 세분화된 조직들이 서로 유기적으로 움직여 최상의 보안관리가 이뤄지도록 하고 있다”며 “금융회사 특성상 Fraud(금융사기)를 담당하는 부서도 있고 전산 보안을 담당하는 부서와 물리적 보안을 담당하는 부서 등도 별도로 있다”고 말했다.

그는 “금융기관으로서 보안이 취약해져 나올 수 있는 위험의 가장 큰 결과는 고객의 피해”라며 “고객의 피해는 곧 금융기관의 평판과 신뢰에 직접적인 영향을 미쳐 영업에 고스란히 반영되기 때문에 가장 낮은 단계에서의 물리적 보안부터 고단계의 기술적인 보안까지 주기적으로 점검해 고객이 입을 수 있는 피해를 최소화하도록 노력하고 있다”고 강조했다.

예를 들면 퇴근 시 공용 사물함과 개인 책상 및 서랍 등의 시건 상태를 정기적으로 점검하고 깨끗한 책상 만들기 운동을 하고 있으며 물리적 보안 대책의 일원으로 당행 건물의 엘리베이터도 출입카드를 접촉시켜야만 해당 층 버튼이 눌러 지도록 하는 등 기본적인 보안부터 충실하자는 것을 원칙으로 하고 있다.

한 이사는 “인터넷 인프라가 잘 발달돼 있고 그 상용화가 가장 잘 이뤄진 한국에서 감독당국과 정부에서 요구하는 수준이 상당히 높지만 앞선 전자적 기술로도 뚫을 수 없는, 가장 기본적인 보안 방법의 활용 수준은 외국 선진국이 훨씬 앞선다고 본다”며 “우리는 이 두 가지 측면을 함께 고려해 고기술과 기본에 충실한 방법으로 보안을 강화해 나갈 예정”이라고 밝혔다.

편의성 보다 검증된 보안이 먼저

외국 본사에서 요구하는 컴플라이언스가 국내 상황과 상충되는 부분은 없을까? 한 이사는 이에 OTP(One Time Password, 일회용비밀번호 생성기)를 하나의 예로 들며 한국의 독창적인 개인인증 보안 솔루션인 공인인증서에 대해 의견을 피력했다.

한 이사는 “처음 국내에서 우리가 OTP를 도입할 때 여러 곳에서 그 성능이나 기술에 대해서 의구심을 가졌지만 지금은 감독기관에서의 법령에 의해 모든 금융기관이 사용하고 있다”고 말했다. HSBC 은행은 국내에서는 금융기관 중 최초로, 그리고 전 세계를 통틀어서도 선두적인 위치에서 OTP 사용을 시행해 원천적인 단계에서의 보안 절차를 따르고 있다.

그는“OTP의 경우와 같이 처음 한국이 공인인증서를 통한 전자인증을 시행한다고 했을 때 HSBC 그룹에서도 그 보안성에 의문을 가졌으나 현재 그 우수성이 전 세계에 알려져 한국의 전자적 공인인증 방법이 수출되기도 한다”며 “한국에 근무하는 외국계 금융기관의 직원으로서 서로 상충되는 점을 먼저 보기보다는 우선 서로 보완될 수 있는, 우수성을 전파하는 데 가장 주안점을 두고 있으며 이에 보람을 많이 느끼고 있다”고 설명했다.

그러나 한가지 아쉬움은 국내 보안 환경이 너무 앞서 간다는 느낌이 있다고 했다. 최신 기술들로 무장한 획기적인 솔루션들이 많이 소개되고 상용화되고 있지만 가끔 가장 기본적인 것들이 무시되거나 간과되고 있는 점이 안타깝다는 것.

그는 “기본에 충실하면 그 응용도 더 튼튼해지리라 본다”고 강조하며 사용자 측면에서도 이러한 개념이 확립돼야 한다고 덧붙였다.

최근에 일어나는 금융보안 사고를 보면 사용자 부주의가 차지하는 비중이 크기 때문이다. 전산의 특성상 아무리 뛰어난 기술로 보안관리를 하더라도 더 뛰어난 해킹기술 등으로 구멍이 뚫릴 수 있다.

한 이사는 “기술적인 측면보다 사용자가 상식적인 수준에서 본인의 보안에 보다 더 신경 쓴다면 이런 사고가 상당 수준 없어질 것이라고 본다”며 “금융보안연구원과 금융감독원 그리고 전 금융기관이 작년부터 실시하고 있는 ‘금융보안 십계명’만 보더라도 사실은 굉장히 상식적인 수준을 가이드라인으로 정하고 있지만 사용자들이 이를 잘 지키지 않는 부분이 있다”고 밝혔다. 아울러 금융기관 또한 최신 기술만을 좇아 고객의 편의성을 우선시 하기 보다는 검증된 보안을 선택한다면 오히려 위험관리 측면에서 더 안전한 보안이 이뤄져 장기적으로 고객의 신뢰를 더 쌓을 수 있을 것이라고 강조했다.

철저한 정보보안 관리로 기업의 자산 지켜야

한 이사가 처음 IT 관련 일을 시작한 것은 약 15년 전. 지금은 거의 쓰이지 않는 Novell의 Netware 분야를 담당했다. Netware는 보안 관리 측면이 특화된 그룹웨어로 사내망의 경우 독보적인 위치였고 권한 관리를 통한 보안이 아주 훌륭했다는 점이 기억에 남는다고 했다.

그는 “덕분에 직장생활을 하면서 보안은 항상 Default로 여기게 됐다”며 “그 후 전산운영과 기획 등 여러 분야를 거치면서 보안이라는 단어를 뗄래야 뗄 수 없는 업무를 지속하고 있다”고 말했다.

한 이사는 “보안은 어떠한 형태이던 위험으로부터 안전하게 있는 것” 이라며 “물리적 보안은 대부분 유형의 형태에서 보안이 이뤄지지만 정보는 무형과 유형의 형태가 모두 존재하므로 정보보안은 더욱 그 관리를 철저하게 해야 한다”고 전했다.

즉 물리적으로 위험해질 수 있는 부분 또는 정보가 유출되거나 오용됐을 때 생길 수 있는 모든 형태의 위험에 대비해 먼저 그 대책을 세우고 관리를 해야 한다는 것이다. 이에 HSBC은행은 최고의 보안 관리가 마련돼 있다며 웃음짓는 그에게서 회사에 대한 강한 자부심과 긍지가 느껴졌다.

<글/사진 : 호애진 기자(is@boannews.com)>

[월간 정보보호21c 통권 제123호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>