| 은행 CISO 6人에게 듣는 금융보안 향후 방향 | 2014.12.16 | |
금융권 CISO, 그들이 말하는 금융보안의 현실과 미래
[보안뉴스 김지언] 은행을 타깃으로 한 금융 범죄가 점점 더 고도화되고 획기적인 방법으로 진화하면서 은행의 CISO에 대한 중요성은 더 높아지고 있다. 은행 CISO의 역할이 중요해지면 질수록 이들 CISO에 대해서는 점점 더 많은 능력들을 요구하게 된다. 이에 은행 CISO인 KB국민은행 김종현 본부장, IBK기업은행 박선 본부장, KEB외환은행 공웅식 본부장, 우리은행 김두호 본부장, 한국스탠다드차타드은행 김홍선 부행장, 한국씨티은행 김도수 본부장에게 그들의 속내와 향후 금융권의 나아갈 방향에 관한 이야기를 들어봤다(순서-은행명 가나다순).
Q. 금융분야 CISO만의 특성과 강점을 꼽는다면? KB국민은행 김종현 본부장 피싱, 파밍 등의 해킹이 지속적으로 발생하고 있다. 따라서 은행의 CISO는 이를 끊임없이 막기 위해 A부터 Z까지 모든 보안에 관여해야 한다. 다른 분야보다 거래 한 건 한건에 대한 관심이 필요하므로 훨씬 실무적인 감각이 뛰어나다고 생각한다. IBK기업은행 박선 본부장 우선 금융 CISO들은 금융관련 법규 및 IT 관련 법규 모두 잘 알고 있어야 하므로 전자금융거래법, 개인정보보호법, 신용정보법 등 IT와 보안 관련 법·규제 동향에 대한 식견이 넓다. 또한 기술금융, 모바일 지급결제, 핀테크 등과 같이 금융과 IT 산업의 융합서비스 확대로 최신 기술과 산업 흐름에 밝다는 장점도 있다. 이외에도 IT 보안 분야 전공과 풍부한 금융 IT 경력으로 전문성이 강하다고 생각한다. 이에 항상 다른 사람보다 먼저 위협을 인지하고 다각적으로 검토하는 능력이 뛰어난 것 같다. KEB외환은행 공웅식 본부장 금융에 대한 지식이 있다는 것이 가장 강점이라고 생각한다. 은행권 CISO의 입장에서 보았을 때 정보보안이라는 것은 은행의 소중한 정보를 지켜내는 것이라고 할 수 있다. 금융뿐만 아니라 타 분야에서도 마찬가지겠지만 한 기업내에는 수많은 정보가 존재한다. 우리은행 김두호 본부장 타 업종 CISO도 마찬가지겠지만, 금융분야 CISO의 경우 각별한 사명감을 요구한다고 할 수 있다. 금융회사 특유의 공공성으로 인해, 국가경제 안정과 금융소비자 보호 측면에서 그 특성과 강점이 있다고 생각한다. 한국스탠다드차타드은행 김홍선 부행장 금융은 자본주의를 떠받치고 있는 뿌리라고 생각한다. 게다가 IT 보안은 디지털 시대의 핵심 인프라다. IT와 금융은 디지털 금융의 차원을 넘어서 새로운 산업과 시장 질서를 만들어 가고 있다. 금융분야 CISO는 금융과 IT 보안이라는 두 개의 근간을 엮어나가는 사명을 가지고 있다. 따라서 금융분야 CISO는 그러한 자부심과 책임감을 가지고, 안전하고 신뢰할 수 있는 기반을 이루어 나가야 한다. 한국씨티은행 김도수 본부장 금융분야 CISO는 보안지식, 비즈니스 채널 별 상품 및 업무 프로세스, 정보의 흐름 등을 정확히 파악해 고객정보 자산을 보호하고 고객에게 실시간으로 서비스를 제공하는 동시에 시스템 안정성을 지원해야 하는 특성을 가지고 있다. 금융회사의 많은 직원들은 고객정보취급자이기에 각 조직이 정보보호 관리자 역할을 수행할 수 있도록 직원의 의식 변화를 이끌어 내는 것이 특히 중요하다. Q. 은행권 CISO 6인이 갖고 있는 고충은? 금융은 영업점 망이 전국에 흩어져 있고, 개인정보가 돈과 직결된다. 또한 인터넷뱅킹으로 하루 400여만 건이 이체되고 있어 이 모든 거래에서 어떠한 방법으로 해커가 들어올지 항상 예의주시해야 하는 자리다. 따라서 타 업종보다 보안을 선도적으로 고민하고, 조치하고 연구해야 한다. IBK기업은행 박선 본부장 개인정보보호법 시행으로 집단소송이 법제화되고, 전자금융감독규정 개정에 따라 보안사고에 대한 책임이 강해지고 있다. 또 기존 IT 보안책임자 역할에서 개인정보 및 신용정보를 아우르는 비즈니스 보안 측면으로도 CISO의 역할과 책임 확대가 요구된다는 점 역시 고충이라고 말할 수 있다. KEB외환은행 공웅식 본부장 과거 금융 CISO의 역할은 IT적인 요소에 포커스가 한정되어 있었다. 보안 시스템으로 은행내 시스템을 보호하고, 전자금융 거래를 하는 고객의 매체를 보호하는 등이 중요한 일이었다. 물론 지금도 마찬가지다. 우리은행 김두호 본부장 최근 발생된 금융 보안 사고 등으로 금융 CISO와 금융 IT보안 담당 직원들은 두려움을 느끼고 있고 사기 또한 저하된 상태라고 생각한다. 이 두려움을 백배, 천배 큰 용기로 바꿀 수 있는 방안을 강구하고 있으나 쉽지 않은 일이라 지속적으로 고민하고 있다. 한국스탠다드차타드은행 김홍선 부행장 금융의 IT는 지속성, 안정성, 그리고 신뢰성을 갖추어야 한다. 어느 한 순간이라도 금융 시스템이 작동하지 않는다면, 경제의 혈관이 막히기 때문이다. 특히 새로운 서비스는 위험이 더욱 커지기 마련이다. 그러한 제약을 극복하면서 비즈니스가 앞으로 나가도록 해야 한다는 점이 고충이다. 한국씨티은행 김도수 본부장 정보보안 및 내부통제 위험과 업무 효율 그리고 비용 측면을 고려하여 균형된 시각을 갖는 것이 중요하며 최고경영진의 충분한 이해와 지원이 필요하다. Q. 은행권 CISO 6인이 말하는 CISO의 향후 역할과 금융보안이 나아가야 할 방향은? KB국민은행 김종현 본부장 통제부서로의 ‘통제권’이나 ‘개선권고권’을 가지고 있어야 보안통제가 좀 더 원활히 이루어질 것으로 보인다. 또한 사고위험에 불안해하는 보안담당 직원들의 위상강화를 보살펴 줄 수 있는 은행내 타 직원대비 높은 인센티브 부여권도 필요하다고 본다. IBK기업은행 박선 본부장 정보보호 업무는 보안담당자에게만 주어진 것이 아니라 본점 및 영업점을 포함한 전 직원이 참여하고 실천해야 한다는 공감과 인식이 필요하다. 보안사고 대다수가 사용자 부주의나 보안의식 부족에서 비롯된다는 점을 감안하면 다양한 보안 시스템을 구축하는 직접적인 정보유출 방지 노력뿐만 아니라 임직원의 보안의식 향상을 위한 금융회사 맞춤 컨텐츠 개발, 초청강연, 이벤트, 캠페인 등 지속적인 교육을 실시해야 한다. 향후 조직내의 정보보호 거버넌스뿐만 아니라 아웃소싱 및 자회사 등의 비즈니스 파트너 대상의 정보보호 거버넌스 연계 및 관리가 필요할 것으로 예상된다. 최근 금융권 대규모 개인정보 유출사고와 관련해 기존 IT 보안 전담조직이 개인정보와 신용정보 보호를 포함하는 전행 정보보호 업무추진을 위한 조직체계를 개편했다. IT 및 비즈니스 운영을 견제하고 정보보호를 지속적으로 추진하기 위한 독립적인 인력 및 예산 편성권한이 부여된 셈이다. 개인정보 활용 실태 파악 등 현장 중심의 보안점검 및 조치를 위해 검사 및 제재권한을 부여해야 한다. KEB외환은행 공웅식 본부장 많은 책임이 있는 만큼 보상이 있는 직무가 되면 좋겠다. 보상이라는 것이 꼭 금전적인 것만은 아니다. 금융보안이라는 분야가 금융사업에서 많은 수익을 내는 것 이상으로 가치를 지닌다는 인식이 확산되는 것이다. 이러한 환경이 마련된다면 부담감은 있을지라도 자부심을 느끼며 근무할 수 있을 것이다. 또 최근 카드 3사 사태만 보더라도 정보보호 수준이 특정 기업에 미치는 영향은 상상할 수 없을 정도다. 장기적으로 정보보호 수준이 기업 브랜드의 가치를 상승시키는데 기여함에도 불구하고 CISO는 CIO와 달리 은행의 영업 또는 성과와 일시적으로 상충될 여지가 많다. 감독당국도 CISO의 권한 강화 방안으로 인사상 불이익 금지, 최소 임기보장 등을 마련하고 있으나, 중요한 것은 해당 기업 CEO의 실질적인 정보보호 의지라 할 수 있다. 예를 들어 CEO가 직접 참여하는 협의회 설치 및 정례화 등이 필요할 것이라고 생각된다. 우리은행 김두호 본부장 어느 조직이든 최선의 환경과 근무여건을 100% 완벽하게 제공하고 지원하는 조직은 거의 없을 것으로 판단된다. 권한 요구에 앞서 부족한 예산과 인력에도 불구하고 최선을 다해 철저한 계획수립과 완벽한 이행으로 책임을 완수한다면 권한은 저절로 부여될 것이라 생각한다. 한국스탠다드차타드은행 김홍선 부행장 CISO는 IT 자원과 인프라를 통제하기 위해서 CIO 조직과 긴밀하게 협조해야 한다. 또 준법감시부나 운영리스크 부서와도 긴밀하게 협조해야 한다. 이들 부서와 협력 및 적절한 견제를 통해서 최고경영자가 정확한 판단을 할 수 있도록 하는 것이 중요하다. 오늘날 금융 시스템에서 디지털 데이터는 절대적인 존재 가치를 가지고 있다. 데이터의 보호와 인프라의 신뢰성을 위해서는 CISO가 경영을 전반적으로 파악하고 있어야 한다. 한국씨티은행 김도수 본부장 CISO가 은행 전체 보안을 책임지고 통제 장치를 마련한다고 하더라도 제로 리스크는 없다. 따라서 최선을 다했더라도 예상치 못한 유출 사건이 발생할 수 있다. 이 때 법적 모든 책임을 CISO에게 묻는다면 CISO는 기피의 대상이 될 수 있을 것으로 생각된다. 따라서 최소한 CISO는 포지션에 대한 불안감 없이 업무에 몰입할 수 있도록 하는 것이 무엇보다 중요하다. 또 고객정보는 CISO나 몇 명의 정보보안 직원이 모두 할 수 없다. 고객정보를 직접 취급하는 은행 창구 직원부터 후선 직원, 외주 직원에 이르기까지 전 직원의 정보 보안 인식 변화 없이는 불가능하다. 이러한 이유로 CISO에게 무거운 책임을 부여하더라도 한계에 도달하게 된다. 따라서 고객정보 자산을 보호하기 위해서는 고객정보보호 및 보안에 대한 CEO의 지속적인 관심과 보안 투자 및 인적 자원 개발에 적극적인 지원이 필요하다. 이번 인터뷰를 통해 은행권 CISO들은 정보보호 조직과 직무를 제대로 확립하는 데 있어 상당한 책임감과 부담감을 느끼고 있는 것을 확인할 수 있었다. 국내를 대표하는 시중은행의 CISO로서 이들이 어떻게 금융보안의 미래를 이끌어나갈 수 있을지 향후 활약이 기대된다. [김지언 기자(boan4@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
||
 |
