대신증권, 증권사 최초 ‘ISMS인증’ 획득...김병철 CISO에게 듣다 
체계적 정보보호 정책 수립과 안전한 온라인 증권거래 시스템 운영

[보안뉴스 김태형] 스마트폰과 태블릿PC 보급의 증가로 온라인 거래·결제 및 스마트 뱅킹, 모바일 간편결제가 활성화되면서 금융권의 보안위협도 확대되고 있다. 이러한 금융권 보안위협은 증권사라고 해서 예외는 아니다.

많은 고객들을 보유하고 있는 증권사도 디도스 공격, 해킹 등의 지능화되고 다양화된 보안위협은 피해갈 수 없으며 증권사 시스템이 사이버 공격을 당한다면 매우 심각한 금전적·물질적 피해를 불러일으킬 수 있다.

이러한 가운데 국내 대표 증권사 중 하나인 대신증권이 온라인 트레이딩시스템 부문에 대해 ISMS(정보보호관리체계, Information Security Management System) 인증을 업계 최초로 획득했다.

대신증권은 지난 7월부터 약 2개월간 미래창조과학부와 한국인터넷진흥원(KISA)에서 주관하는 정보보호관리체계(Information Security Management System, 이하 ISMS) 인증 심사를 통과한 것.

이와 관련 대신증권 김병철 IT서비스본부 전무·CISO/CIO는 “ISMS 인증은 기업이나 공공기관에서 정부의 정보보호지침을 준수하고 지속적으로 보안 시스템을 관리해 나갈 능력이 있는지를 평가하는 제도”라면서 “이번 ISMS 인증 획득을 통해 대신증권은 보유한 고객정보의 보호와 관리, 운영에 있어 안정성을 갖춘 정보보호체계를 확보했다”고 밝혔다.

이로써 대신증권의 온라인 트레이딩 서비스를 이용하는 고객들은 앞으로는 좀 더 안전하고 편리하게 증권거래 시스템을 이용할 수 있게 됐다.

대신증권의 CIO(최고정보관리책임자, Chief Information Officer)와 CISO(정보보호최고책임자, Chief Information Security Officer)를 맡고 있는 김병철 전무는 “현재 CISO와 CIO 겸직이 가능한 직제로 되어 있어 올해로 4년째 겸직을 하고 있다. 주요 업무는 증권 업무 시스템의 전산화와 IT 업무 개발 등 비즈니스 혁신업무를 총괄하고 있다”면서 “개인정보와 관련된 보호정책 수립·관리·집행하는 업무도 책임지고 있다. 개발자 출신이다 보니 보안 측면을 고려한 전산 개발 및 프로젝트 수행은 물론 IT 예산 중에서 보안관련 별도 예산의 계획 수립과 집행이 가능한 부분이 겸직의 장점”이라고 설명했다.

김병철 전무는 대우중공업 전산실에서 근무하다가 지난 1987년 대신증권에 전산 경력자로 입사해 당시 증권거래 전산화 시스템 프로젝트를 진행했다. 그리고 HTS 거래 환경이 만들어짐에 따라 이와 관련한 전산장애, 온라인 오류에 관한 고객 지원센터를 총괄하는 업무도 담당했다. 그리고 현재는 대신증권 IT서비스 본부장으로 7년째 근무하고 있으며 CIO·CISO업무는 지난 2011년부터 맡고 있다.

하지만 지난 10월 1일 국회는 일정 규모 이상의 대형 금융회사나 전자금융업자의 경우 CISO의 겸직을 제한하고, 징벌적 과징금 제도를 도입하는 내용의 전자금융거래법 개정안을 처리했다. 이에 대신증권은 내년에는 별도의 CISO 체제를 구축할 계획이다.

금융회사 CISO로서 김 전무는 “대신증권 IT본부 내에 IT보안팀은 별도로 독립되어 있어 보안예산을 충분히 확보할 수 있고, 연간 사업에서도 보안취약점 분석 및 평가, 사후조치까지 계획적으로 추진할 수 있다. 그리고 시스템 개발단계에서도 시큐어코딩을 적용해 보안강화에 만전을 기하고 있다”면서 “기본적으로 증권회사는 국가 주요기반시설로 금융당국의 관리와 감독을 받고 있으며 금융회사 IT 분야의 ‘557 규정’을 따르고 있다”고 말했다.

금융회사의 IT 보안 ‘557 규정’은 전체 인력 중 5%는 IT 인력, IT 인력중  5%는 정보보호 인력, 전체 IT 예산 중 정보보호 예산을 7% 이상으로 해야 한다는 규정을 말한다.

이어서 그는 “최근 잇따른 금융보안사고와 관련해 금융보안 업무 강화와 일관성 있는 정책 추진을 위해서 ‘금융보안전산전담기구’가 내년 상반기에 발족되는 것으로 알고 있다”면서 “이는 보안관련 정책 및 자료 등 관련 정보 공유를 통해 금융회사 보안이 한 단계 높아질 수 있는 기회가 될 것으로 본다”고 덧붙였다.

이에 대신증권은 지난해 2월 개정된 ‘정보통신망법’ 제47조 정보보호관리체계의 인증 및 시행령과 제49조 정보보호 관리체계 인증 대상자 범위 규정에 의거해 지난해 10월 ISMS 인증 의무대상자로 선정됐다. 이에 당시 대상 금융회사는 은행 13개사, 증권사 19개사, 보험사 4개사가 의무 대상자로 지정됐고 증권사 중에서는 대신증권이 최초로 받게 된 것이다.

이에 대신증권은 올 2월부터 IT 정보자산에 대한 분류, 식별, 위험도 평가, 정보보호 조직 등을 ISMS 정보보호정책에 맞도록 내부규정을 변경하고, 모든 업무에서 정보보호 절차를 준수하도록 이력관리를 해 왔다.

그리고 KISA에 7월 인증심사를 요청하고 약 2개월 동안 ISMS 104개 통제항목, 정보보호 정책·조직, 인적보안, 물리적 보안, 운영보안 등이 매뉴얼대로 집행되고 있는지 강도 높은 현장 및 문서 실사를 받고 문제가 없다는 평가를 받아 인증을 획득했다. 대신증권이 이번 ISMS 인증을 받기 위해 가장 중점을 둔 부분은 정보보호 정책 수립과 현실화 측면이었다.  

이에 대해 김 전무는 “ISMS 인증의 통제분야는 정보보호관리 과정과 정보보호 대책으로 나누어지는데 특히 정보보호 정책을 개인정보보호 요구수준에 맞게 업그레이드하고 관련 조직을 재구성했으며 위험관리, 정보보호 목표 설정, 위험수준에 따른 정보보호 대책을 구현하는 데 중점을 두었다”면서 “내부적으로는 정보보호 조직 내재화, 정보보호 조직에 대한 교육 시행, 인적보안, 물리적 보안, 암호·접근통제, 침해사고 대응, 데이터 이력 관리 등을 통해 증적 자료를 쌓아왔다”고 덧붙였다.

특히, 대신증권은 고객식별 데이터를 암호화하고 접근통제 등을 통해 이중 삼중으로 보안을 강화했다. 그리고 내부적으로 정기교육을 의무화했으며, ‘정보보호위원회’를 상설조직으로 구성해 운영하고 있다.

이 ‘정보보호위원회’는 사내 정보보호 정책 수립, 위반행위 조사 및 상벌, 특정 부서의 비즈니스상 예외사항 사전 심의·승인 절차, 보안운영 및 관리 등의 보안 컨트롤타워 역할을 하고 있다. 

김 전무는 ISMS 인증 획득 과정에서 ‘정보보호 체계의 내재화’ 과정을 가장 힘든 점으로 꼽았다. 즉 정보보호 정책과 체계를 수립하고 이를 업무에 적용·실행하면서 증적 자료를 쌓는 일련의 과정들을 거쳐 ISMS 규정에 의해 전 과정을 평가받는 것이 가장 어려웠다는 얘기다.

그는 “정보보호 체계 강화로 인해 개발과정이 길어지고 어려워진 점을 이해시키고 교육을 통해 협력을 유도하는 과정이 무엇보다 힘들었다”면서 “하지만 서로 이해의 폭을 넓히고 교육을 통한 공감대 형성으로 어려움을 극복하고 체계적인 정보보호 정책을 수립해 안정적인 보안관리·운영이 가능해졌다”고 설명했다.

대신증권은 이 외에도 올해 IT 운영자 및 전산설비를 인터넷망과 완벽히 차단하는 1단계 물리적 망분리 작업을 마무리했다. 그리고 내년에는 본점 및 영업점 근무자들에게 해당되는 2단계 논리적 망분리를 통해서 내부 업무망과 인터넷망의 분리를 추진할 계획이다.

또한 유효기간 3년인 ISMS 인증을 지속적으로 유지하기 위한 노력과 함께 보다 더 효율적인 보안을 위해 해외사례를 스터디하고, 필요한 부분을 하나 하나 추가 적용해 나갈 예정이다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>