[인터뷰] 유시완 하나은행 CISO·정보전략본부 본부장

“가이드 및 규제 준수보다 금융회사의 자발적인 노력이 더욱 중요”

[보안뉴스 김태형] 지난 2009년 하나은행 정보보호 최고책임자(CISO) 1호로 임명된 유시완 하나은행 CISO·정보전략본부장은 현재 IT총괄 CIO와 CISO를 겸직하고 있다. 특히, 유시완 본부장은 하나은행의 IT 업무 수행 시 종합적인 고려를 통한 업무 수행에 초점을 두고 최근에는 금융소비자들에게 보다 안전한 금융환경을 어떻게 제공할 것인가, 소비자가 편리하고 믿음이 가는 은행을 만들기 위해 고민하고 노력하고 있다.

유시완 본부장은 “현재 하나은행 IT총괄 CIO와 정보보안최고책임자(CISO)를 겸직하고 있다. 하나은행은 정보보안에 대한 중요성을 인식하고 지난 2009년 11월 1호 정보보안최고책임자를 임명했으며, 그 때 CISO를 맡았다”고 말했다.

지난 2009년 7.7 디도스 공격부터 2011년 농협 전산망 마비 사고, 올해 3.20 사이버테러까지 최근 몇 년간 금융회사를 대상으로 한 사이버 공격이 발생되어 정보보안에 대한 대내외적인 관심이 그 어느 때보다 높고, 정부 차원의 법률, 제도적 규제들이 많이 나오고 있는 가운데 하나은행도 보안의 중요성을 인식하고 적극 대응에 나선 것이다.

그는 “정보보호 최고책임자로서의 역할은 관련 법률에 명시된 정보보안의 전략 및 계획 수립, 전자금융거래의 안전성 확보, 금융IT 사고 예방 등의 기본적인 업무를 비롯해 법률 및 규준 위반, 침해사고 발생시 업무정지, 과징금 부과 등 금융회사의 규제가 강화되고 있는 상황을 대비하기 위해 감독기관의 감독규정과 보안관련 법률 및 제도를 준수할 수 있게 하나은행의 IT 업무 수행 시 종합적인 고려가 이루어지고 있다”면서 “이와 더불어 최근에는 금융소비자들에게 어떻게 더 안전한 금융환경을 제공할 것인가, 소비자가 편리하고 믿음이 가는 은행으로 만들기 위한 방안 등을 중점적으로 고민하고 있다”고 강조했다.

하나은행의 IT업무는 1본부 5개 부서로 구성되어 있으며 기획, 개발, 운영, 보안으로 나누어 은행내 IT개발, 전산시스템 운영을 담당하고 있으며 ‘IT보안부’를 독립부서로 신설해 정보보안 업무를 담당하고 있다. 특히, IT보안부는 보안전략팀, 운영팀으로 나눠 하나은행의 정보보안전략 수립 등 전반적인 보안정책 기획을 보안전략팀에서 담당하고 있으며, 안정적인 보안시스템 운영과 침해사고 대응의 경우 보안운영팀에서 맡고 있다.

이에 대해 유 본부장은 “하나은행 정보보안을 전담하는 부서는 IT보안부이다. IT보안부는 올해 8월에 기존 팀 레벨에서 부 레벨로 승격한 신설 부서로 하나은행내 IT관련 모든 보안을 담당하며 보안전략팀, 보안운영팀, IT감사팀으로 구성됐다”고 설명했다.

특히, IT보안부는 인터넷뱅킹, 스마트폰뱅킹 등 대고객서비스인 전자금융에 대한 안전성 확보, 하나은행 내의 주요 정보 유출방지 등의 내부통제업무, 그리고 개인정보보호와 하나은행 내부 직원의 보안인식 제고를 위한 보안변화관리 업무 등 보안에 관한 전반적인 업무를 담당하고 있다. 여기에 IT감사 조직까지 구성되어 있어 보안정책 위반 사항에 대한 감사업무도 수행하고 있다.

하나은행은 최근 IT보안부에서 담당하는 스마트폰 뱅킹 보안이 안전성을 인정받아 아시안뱅커지 IT 어워드에서 ‘Best Mobile Security’ 부문 최우수상을 수상하기도 했다.

유시완 본부장은 최근 피싱이나 파밍, 스미싱 등 증가하는 금융권의 보안위협 대응과 관련해 “피싱, 파밍, 스미싱 등 전자금융 침해시도가 사회적인 문제로까지 확대되고 있으며 하나은행도 예외는 아니”라며 “최근 피싱, 파밍은 인터넷뱅킹 이용고객의 PC에 악성코드를 감염시켜 고객의 개인정보와 금융정보를 모두 빼낸 후, 이 정보를 이용해 불법적으로 자금을 빼가고 있다. 스미싱도 매체가 스마트폰이라는 것 이외에 피싱, 파밍과 다르지 않다. 이런 사기 수법은 금융회사의 통제 밖에서 일어나는 사기로 금융회사가 직접적으로 방어하기란 쉽지 않다. 다만 이렇게 불법적으로 획득한 정보를 이용해 은행의 인터넷뱅킹에서 자금이 불법 인출되는 것을 막고자 다양한 방법을 강구하고 있는 상황”이라고 강조했다.

이에 하나은행은 인터넷뱅킹이나 스마트폰뱅킹 이용 시 인증수단을 강화하고 이체거래 시에도 거래인증을 강화하는 방법으로 최대한의 노력을 하고 있다. 또 최근에는 IT보안부와 비즈니스파트, 개발파트와 함께 자체적인 종합대책을 논의했으며 조만간 좀 더 강력한 방어 방법을 제공할 예정이다.

유 본부장은 “이러한 금융사기에 대응하고 피해를 줄이기 위해서는 무엇보다 고객 홍보가 중요하다고 생각한다. 정상적인 금융회사에서는 고객의 개인정보나 금융정보를 요구하지 않기 때문에 이에 대한 대국민 홍보를 적극적으로 진행한다면 각 금융회사별 기술적 대응과 함께 시너지 효과를 발휘할 수 있을 것”이라고 덧붙였다.

최근 사이버 공격의 패턴을 보면, 은행 내부의 전산망을 파괴하는 형태로 진화함에 따라 하나은행은 내부 전산시스템의 보호에 중점을 두고, 내부 전산 시스템의 접근통제를 강화하는 방향으로 보안전략을 세웠다. 

유 본부장은 “지난 2011년 농협 전산망 사고와 올해 3.20 사이버테러 등과 같이 내부 전산망의 피해를 줄이고 이를 보호하기 위해서 올해 중점사업으로 내부 전산시스템의 접근통제 강화에 초점을 맞추고 있다”면서 “이에 모든 내부 전산시스템 접근 시 보안 시스템을 경유하도록 해, 비인가자의 접근을 통제했으며 무엇보다 인가된 내부직원만이 소지할 수 있는 모바일 OTP를 모든 전산시스템에 적용해 시스템 접근시 아이디, 비밀번호 이외에 모바일 OTP를 활용해 강력한 접근통제체계를 구현했다”고 설명했다.

또한 최근 망분리가 금융회사에서 가장 큰 이슈가 되고 있는 가운데 하나은행은 자체적인 망분리를 추진했다. 특히 인터넷, 업무PC간 망분리는 정보통신망법과 감독당국의 종합대책 등의 법·제도적인 규제 준수를 요건으로 추진해야 하지만 하나은행은 올해 3.20 사이버테러 발생 시에도 내부 업무용 PC의 인터넷을 차단하면서 자체적인 망분리를 통해 피해를 줄였다.

하나은행 전산센터(IDC)는 네트워크를 완전 분리하는 물리적 망분리를 적용해 APT 등 신종 공격 시에도 하나은행 내부 전산시스템을 보호할 수 있는 체계를 마련하고 있다. 또 본점부서와 영업점의 내부 업무용PC에서의 인터넷은 필수 사이트 이외는 완전 차단하고 부서, 영업점별 인터넷 전용PC를 1~2대 정도 배치하여 보안 위협을 최소화하는데 중점을 두었다.

이에 대해 유 본부장은 “이러한 조치는 현재 긴급 적용한 단기적 방안이다. 망분리는 보안성뿐만 아니라 비용, 이용자의 편의성 등의 여러 측면을 고려해야 하는 사업이기 때문에 하나은행은 이런 여러 측면을 고려해 물리적 망분리와 논리적 망분리가 혼용된 ‘위험등급별 맞춤형 하이브리드(Hybrid) 방식의 망분리’라는 최종방안을 자체적으로 마련했다”면서 “영업점은 서버가상화 방식의 망분리를 내년에 전면 추진할 계획”이라고 말했다.

하나은행의 전반적인 보안 강화를 위해서 대고객 지원 영역과 대내 직원 영역으로 나눠 보안을 강화하고 있다. 최근의 보안공격 패턴은 금융회사를 특정 목표로 삼고 있으며 공격형태도 다양해지고 있어 이런 공격에 대응하기 위해 다양한 보안 시스템을 운영하고 있다.

유 본부장은 “금융회사들이 비슷한 보안제품들을 사용하고 있지만 하나은행은 보안장비나 소프트웨어를 도입·구축할 때, 반드시 연동개발 등과 같은 커스터마이징을 통해 금융환경에 최적화된 시스템을 구축하는 것이 특징이다. 단순한 보안제품 자체만으로는 지능화된 공격을 방어하기에는 한계가 있기 때문에 각 금융회사에 맞도록 맞춤형 보안시스템 구축이 필요하다”라고 말했다.

하나은행은 금융소비자들의 개인정보보호를 가장 중요시하고 있다. 특히, 금융소비자 보호를 위해 전자금융 거래의 안전성을 강화하는 것을 최우선 과제로 선정해 추진할 계획이다.

특히, 고객의 개인정보 유출사고는 금융회사의 존립에까지 영향을 줄 수 있는 사항으로 내부통제 강화를 통해 고객의 개인정보의 조회 통제 등 기술적, 관리적 보호조치를 취하고 있다.

유시완 본부장은 “최근 일련의 금융사고을 볼 때 금융보안은 금융회사의 존립과 승패를 좌우하는 주요 업무로 경영층의 인식과 직원들의 인식이 변화되고 있다. 다만 이러한 금융보안에 대한 인식변화와 함께 금융보안업무를 담당하는 직원들에 대한 처우 개선이 반드시 필요할 것 같다”면서 “하나은행도 다각적인 방법으로 보안담당 직원의 처우를 개선될 수 있는 방안을 모색하고 있다. 하지만 무엇보다 제도적인 차원의 방안 마련이 중요하다”고 말했다.

또한, 그는 “금융보안은 단순하게 금융당국의 가이드만 따르면 된다고 생각하지만 이렇게 가다 보면 상대적으로 금융회사의 자체적인 보안강화 노력이 미흡해져 더 큰 문제를 초래할 수 있다”면서 “가이드나 규제를 준수하는 것도 중요하지만 금융회사의 자발적이고 적극적인 보안 강화 및 안전한 금융거래를 위한 끊임없는 노력이 더욱 중요하다”고 강조했다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>