• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[카드사 사태 1주년] NH농협, 정보보호 주요 개선사항 6가지 2015.01.19

정보보안본부·정보보호운영 통제기구 설치 등 6가지 보안대책 수립 


[보안뉴스 김경애] 2009년 발생한 7.7디도스 대란, 2013년 발생한 3.20사이버테러 등 그동안 각종 정보보호 이슈에 빠지지 않고 등장했던 NH농협(이하 농협)이 2014년에 발생한 카드사 사태를 계기로 정보보안본부 발족 등 대대적인 수술에 들어갔다. 이에 본지는 카드사 사태 1주년을 맞이해 KB국민·롯데카드에 이어 NH농협카드를 포함한 NH농협의 지난 1년간 정보보호 분야 개선사항에 대해 살펴봤다.


NH농협의 주요 정보보호 개선사항은 ①정보보안본부 설립 정보보호 운영 통제기구 설치 전산장비 보호를 위한 보안조치 강화 취약점 점검 및 침해사고 대응체계 강화 ⑤이상거래탐지시스템 구축 ⑥임직원 보안 인식강화를 위한 정보보호 교육 및 캠페인 추진 등 크게 6가지로 요약된다.


우선 첫 번째로 NH농협은 전사적인 고객정보 보호업무를 총괄하는 컨트롤타워 기능 수행을 위해 정보보안본부를 지난 2014년 3월 1일부로 설립했다. 조직 구성은 1부 1단 6팀 총 59명으로 인력을 확충했으며, 정보보안본부 내에는 ‘IT보안단’을 설치했다.


그리고 지난 2014년 3월 28일에는 부행장급으로 남승우 전 신한카드 IT정보기술본부장을 정보보호최고책임자(CISO)로 임명했다. 남 CISO는 한국HP, 한국마이크로소프트(MS), 신한금융지주 등에서 금융 IT 업무를 맡아왔다.


하지만 최근 텔레뱅킹 사건 등 아직 해결해야 할 문제점이 적지 않아 앞으로 어떻게 정보보안 측면을 추가로 개선해 나갈지 지켜봐야 할 것으로 보인다.


두 번째로 농협은 ‘정보보호 운영 통제기구’를 설치했다. 정보보호 운영 통제기구로 정보보호위원회 및 협의회를 설치·운영하고 있으며, 조직단위별로 개인정보보호 담당자를 지정해 운영하고 있다.


세 번째로 전산장비 보호를 위한 보안조치 강화는 중앙본부 외부용역 개발자 전용 네트워크 구축과 업무용 PC 인터넷 망분리 구축사업에 착수했다는 점이다.


네 번째로 농협은 취약점 점검 및 침해사고 대응체계를 강화했다. 이에 대해 NH농협카드 관계자는 △내부정보 유출방지를 위한 단말보안 승인체계 및 문서보안 강화 △USB 보조기억매체에 파일 저장시 사전등록 후 사용 △문서파일 암호화 해제 전결기준 상향 △외부개발자 PC반입금지, 노트북컴퓨터 원칙적 사용금지, 문서파쇄 등 전자금융사고 예방을 위한 시스템 구현 및 보안을 강화했다고 밝혔다.


다섯 번째로 NH농협은행 및 농·축협은 전사적으로 전자금융관련 소비자 피해를 예방하기 위해 이상거래탐지시스템(FDS)을 지난해 12월 구축하고, 12월 16일부터 적용되고 있다.

 

이상거래탐지시스템(FDS)은 전자금융거래 접속정보, 거래내역 등을 종합적으로 분석해 이상금융거래를 탐지 및 차단하는 시스템으로 농협은 △거래패턴 △디바이스 인증 및 식별 △실시간 탐지 및 대응 등 3가지 유형의 기능을 통합한 형태로 구현했다고 설명했다.


이번 FDS 도입으로 모든 IT 데이터에 대한 접근성, 활용성, 컴플라이언스를 가능하게 하며, 비대면 전자금융거래 서비스의 거래정보 추출 및 관리, 대량 거래건의 실시간 정보 수집 및 처리 분석, 이상징후 탐지 및 관제 등이 가능해졌다. 또한, 농협은 금융거래 수집정보, 이상거래 데이터 축적 등과 함께 FDS 전문 상담센터를 신설해 2014년 말부터 전면 시행 중이라는 게 농협 측의 설명이다.  


이와 관련 NH농협카드 관계자는 “현재 FDS 시스템 운영 효과를 보기 위해서는 지속적으로 데이터가 축적돼야 한다”며 “효율적인 운영을 위해서는 앞으로 2~3개월은 데이터가 더욱 누적되어야 한다”고 말했다.


마지막으로 NH농협은 임직원 보안의식 강화를 위한 정보보호 교육 및 캠페인을 추진하고 있다. 이와 관련 NH농협카드 관계자는 “안내장, 메모보드, 포스터 배부 등을 통해 정보보호 캠페인을 실시하고 있으며, 매월 셋째주 수요일은 ‘정보보호의 날’로 지정해 직원들의 보안의식을 높이는데 심혈을 기울이고 있다”며 “중앙본부, 영업점, 위탁업체 등을 대상으로 정보보안 불시점검을 진행하고 있으며, 미흡한 사항에 대해서는 개선지도를 병행하고 있다”고 설명했다. 아울러 전 임직원을 대상으로 정보보호 사이버 교육을 진행하고 있다고 덧붙였다.

[김경애 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>