• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

기업은행, 금융부문 정보보호 선도 2007.01.04

전담 보안팀운영... 발빠른 대응 조치로 안정성 확보

국내 은행 최초로 정보보호 국제표준인증 획득

 


기업은행은 지난해 정통부가 주최한 제5회 정보보호대상에서 금융부문 대상을 수상했다.

 

기업은행은 사내에 보안전문팀을 별도로 구성해 문제발생시 신속한 대응력을 갖추고 있으며, 지난해 5월에는 국내 은행 최초로 정보보호 국제표준인증을 획득한 바 있고, KISA(한국정보보호진흥원)의 정보보호관리체계 인증도 획득해 금융사 정보보호 부문에서 단연 두각을 나타내는 기업으로 정평이 나있다.


올해 기업은행은 지난해까지 마련한 정보시스템 안전성을 토대로 정보보호관리체계의 고도화를 추진한다는 전략을 수립해 실행에 옮기고 있다.


기업은행 정보시스템부 정보보호팀 최길남 차장은 “보안이라고 하면 이전까지는 딱딱하고 귀찮은 존재였지만, 이제는 직원들과 함께하는 보안이 최선이라는 인식이 확산되면서 사내 정보보호 일상화를 정착시켜 나가고 있다.

 

특히, 정보보호의 문턱을 낮추고, 보안정보를 통합해 제공하는 정보보안포털시스템을 구축해 더 이상 보안이 특정 부서, 특정 업무 담당자만의 역할이 아니라 전직원이 함께 참여하는 하나의 문화로 정착시켜나갈 것”이라고 밝혔다.


기업은행의 정보보호를 총괄하고 있는 정보시스템부 정보보호팀 최길남 차장의 말을 들어보자. 



Interview

기업은행 정보시스템부 정보보호팀 최길남 차장

 


정보보안 포털시스템 운영... 임직원 보안의식 고취

“정보보호는 전직원이 동참할 때만 그 힘을 발휘한다”

정보보호 온라인 컨텐츠 제작해 수시로 교육할 방침


정통부 주최 2006 정보보호대상에서 금융부문 大賞을 수상한 소감은


먼저 기업은행이 정보통신부 주최 ‘제5회 정보보호대상’에서 금융부문 大賞을 수상하게 된 것을 뜻 깊게 생각한다. 기업은행에서는 정보보호의 중요성을 인식하고 해킹, 고객정보 유출, 바이러스 유포 등 보안위험으로부터 안전성을 확보하기 위해 행내에 별도의 보안전문팀을 구성, 체계적인 정보보호 활동을 실천하고 있다.

 

그 결과에 따라 국내은행 최초로 지난해 5월 ‘정보보호 국제표준 (ISO27001)’인증을 획득했다. 또, 2005년 2월에는 한국정보보호진흥원의 정보보호관리체계 인증도 획득한 바 있다.

 

특히, 정보시스템부에서 운영하고 있는 ‘정보보안포털시스템’은 임직원들의 보안의식을 고취하기 위해 정보보안과 관련된 다양한 정보를 제공하는 등 자율적인 정보보호 활동의 선도적인 역할에 기여한 공로를 인정받고 있다.

 

향후, 정보시스템의 안전성을 확보하기 위해 단계적 로드맵 (Road Map)을 통해 정보보호관리체계의 고도화를 추진할 예정이다.

 

마지막으로 이번 ‘정보보호 大賞’ 수상을 통해 기업은행의 역량을 높이 평가해주신 정보통신부 관계자 여러분께 감사의 마음을 전한다. 기업은행은 현재의 위상에 만족하지 않고 최고의 정보보호 기업이 되도록 끊임없이 노력할 것을 약속한다.

 

이번에 우수상을 수상하게 된 직접적인 이유가 있다면?


기업은행은 2005년 정보보호에 대한 체계적인 관리의 필요성을 인식하고 지난해 전행적인 정보보호 보안진단을 수행하여 정보시스템에 대한 위험평가, 아키텍처 및 마스터플랜 수립 등의 보안전반에 대한 로드맵을 완성했다. 

 

그리고 딱딱하고 어려운 정보보호 업무의 문턱을 낮추고 다양한 보안정보를 종합하여 제공할 수 있는 정보보안포털시스템을 구축해, 더 이상 정보보호가 특정 부서, 특정업무 담당자만의 책임과 역할이 아니라, 전직원이 함께 참여해야 한다는 인식을 심어가고 있다. 정보보호는 전직원의 적극적인 동참이 있어야 가능하다.

 

또한, 정보보호 체계의 수준제고를 위한 국제표준 인증을 추진하여 국내은행 최초로 IT 전부문에 대한 ISO/IEC 27001인증을 획득하기도 했다. 2006년 추진했던 이러한 다양한 정보보호 활동들을 높이 평가해 이처럼 좋은 결과가 나온 것 같다. 


기업은행에서 실시하는 정보보호 관련 정책에는 어떤 것들이 있나?


지난해 추진한 정보보호컨설팅에서 수행한 현황 및 GAP 분석을 통하여 보안업무 규정 및 지침, 절차를 전면 제ㆍ개정했다. 내용으로는 보안업무의 최상위 규정인 ‘보안업무규정’, IT보안업무에 대한 포괄적인 지침으로 ‘IT보안업무지침’, 세부적인 절차를 정의한 ‘절차서 6종’으로 구성되어 있다.


정보보호를 위해 구축한 시스템에는 어떤 시스템이 있나?


영역별로 보면, 인터넷뱅킹 서비스 네트워크 구간에는 침입차단시스템, 침입탐지시스템을 운영중이며, 내부 네트워크에 대해서는 Trusted 네트워크 구간과 Untrusted 네트워크 구간으로 분리하여 침입차단ㆍ방지ㆍ탐지 시스템을 운영 중에 있다.

 

주요 업무 서버에 대해서는 서버 접근통제시스템(SecureOS)과 호스트(Host) 기반 침입탐지시스템 등을 구축 운영하고 있으며, 취약점점검 시스템을 통해 주기적으로 진단ㆍ조치하여 침해사고에 사전대비하고 있다.

 

클라이언트 영역에는 일반적인 백신, 악성프로그램 진단ㆍ삭제 시스템, 패치관리시스템을 구축하였으며, 사용자의 인증을 위한 스마트카드와 사설 인증기반의 Single Sign-On시스템을 운영 중이다.

 

또한, 내부중요 정보에 대한 유출을 방지하기 위하여 내부정보 유출방지시스템을 구축하여 중요 및 고객정보 보호를 위해 노력하고 있다. 그리고 이러한 다양한 보안시스템의 종합 관제를 위하여 별도의 보안관제실을 24시간 365일 체제로 운영 중이다.


기업은행은 정보보호를 위한 예산은 어느 정도 책정하고 있나?


2007년도 예산의 경우 약 20억원 정도의 예산을 편성하고 사업을 추진하기위해 준비하고 있다.


최근 기업들의 내부정보 유출현상이 급증하고 있는데 이에 대한 대비책은?


행내에서 생산되는 중요정보의 대부분은 결국 사용자(직원)의 업무용 PC로 집적된다고 보고, 외주직원과 내부 사용자에 대하여 에이전트 방식의 ‘내부정보 유출방지 시스템’을 설치 운영하고 있다.

 

주요 통제항목은 저장매체(USB, 플로피디스켓 등), 출력(출력 차단, 워터마크 삽입), 웹을 통한 첨부, 폴더공유 등이며, 프로젝트 PM이나 부서 책임자의 승인 하에 정책변경을 통한 업무처리를 하고 있다. 물론, 운영중 발생하는 각종 이벤트는 주기적으로 모니터링 하고 위험요소가 있는 경우 직접 확인하고 있다.


정보보호 관련 직원 교육은 어떤 식으로 실시하게 있나?


기본적으로는 정보보안 포털시스템 및 행내 그룹웨어를 이용하여 직원에 대한 각종 보안정보를 제공하고 있으며, 주기적으로 외부의 전문가를 초청하여 상황에 맞는 중요 이슈에 대한 교육을 통하여 보안의식을 제고하고 발생 가능한 보안사고를 미연에 방지하고 있다.

 

또한, 정보보호업무 담당직원의 경우 보안시스템 운영, 정보보호 국제표준 등의 교육을 수시 실시하고 있으며, 보안분야의 전문가 자격취득 교육과정을 수시로 이수하도록 지원하고 있다.


직원들이 사용하는 PC는 어떻게 관리가 되고 있나?


최근 본부 및 영업점의 업무용 PC에 대한 인터넷 사용의 제한을 없애면서 각종 웜ㆍ바이러스 및 악성프로그램으로 인한 피해가 지속적으로 발생하고 있다. 이에 대한 대비책으로 필수 보안패치에 대한 중앙관리를 위하여 패치관리시스템(PMS)을 운영하고 있다. 바이러스 백신 및 악성 프로그램 진단ㆍ삭제 프로그램 또한 전체 PC를 통합관리 할 수 있는 시스템을 이용하여 일괄적인 진단ㆍ치료 엔진 업데이트 및 주기적인 예약검사, 실시간 모니터링 등을 실시하고 있다.

 

한편, PC사용자의 인증을 위하여 스마트카드 및 사설인증서 기반의 SSO 시스템을 구축해 불법접근을 차단하고 있으며, IP관리시스템을 이용하여 비인가자나 일정기간 미사용 PC의 네트워크 사용을 제한하고 있다.


정보보호 관련 인력은 어느 정도인가?


현재 정보보호팀의 인원은 팀장을 포함하여 5명이다. 보안관제를 위한 자회사의 관제요원이 4명으로 총 9명이 정보보호업무를 전담하고 있다.


2007년 정보보호를 위해 새롭게 소개할 만한 내용들이 있다면?


올해는 기존의 보안시스템의 확대 및 강화계획 외에 직원의 보안의식 고취를 위한 온ㆍ오프라인 상의 다양한 프로모션을 계획하고 있다. 예를 들어, 정보보호에 대한 기본사항을 온라인 컨텐츠로 제작하여 행내 연수의 필수 이수과정으로 신설하고, 신입행원 연수 교육과정에도 포함시키는 등 직원의 보안의식을 강화 할 수 있는 다양한 이벤트를 계획하고 있다.


기업은행 정보시스템부 정보보호팀에서 주로 하는 일은 어떤 일인가?


정보보호팀에서는 행내 정보보호업무를 총괄하고 있다. 주요 업무는 정보보호 기획, 정보보호 관리, 정보보호 운영으로 구분 할 수 있으며, 정보보호 기획업무로는 보안기획, 보안관리체계 수립 및 운영, 보안교육관리, 대외협력 등을 수행하고 있다.

 

정보보호관리업무는 보안성검토, 취약점진단, 위험평가, 침해사고 대응 등의 업무를 담당하며, 정보보호운영의 경우 보안시스템의 운영?관리, 보안관제 등의 업무를 수행하고 있다.

[길민권 기자(reporter21@boannews.com)]


<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>