NH농협: 보안문화 내재화와 모니터링 강화, KDB산업: 인프라 확충·프로세스 고도화
씨티: 정보보호 인식과 모니터링 강화, 한국스탠다드차타드: 보안성·고객편리성 목표

[보안뉴스 김경애] 올해 들어 사이버보안 이슈가 계속 부각되고 있어 그 어느 때보다 CISO(Chief Information Security Officer)의 역할이 중요해지고 있다. 특히, 남북간 긴장감이 최고조에 달하면서 보안위협이 높아지는 요즘에는 더욱 그렇다. 북한에서 제작된 것으로 추정되는 금융관련 모듈과 DRM 관련 모듈 프로그램이 발견된 것을 비롯해 공격에 이용된 변종도 잇따라 발견되는 등 긴장감의 연속이다.


게다가 금융권 CISO는 개인정보보호 이슈와 금융정보 보안, 핀테크 이슈까지 맞물려 있는 상황이다. 이에 본지는 국내 주요 9대 은행중 지난해에 이어 CISO를 맡게 된 NH농협은행, 씨티은행, 한국스탠다드차타드 은행의 CISO와 지난 1월 말경 새롭게 바뀐 KDB산업은행 CISO에게 2016년 주요 보안업무 강화와 활동계획을 들어봤다.

NH농협은행, 보안문화 내재화와 모니터링 강화
우선 NH농협은행의 경우 2016년 정보보호 부문 주요 사업 추진계획으로 △정밀한 보안위협 탐지를 위한 차세대 통합 보안관제시스템 구축 △NH농협 통합IT센터 내 안정적 보안인프라 구축 △정보보안 문화 내재화를 위한 교육 및 캠페인 추진 △고객정보 수탁사 효율적 관리를 위한 ‘수탁사 관리 시스템’ 구축 △‘개인(신용)정보 오남용 모니터링 시스템’ 고도화 사업 등을 꼽았다.

이와 관련 NH농협은행 남승우 CISO는 “정보보안 문화 내재화를 위한 교육과 캠페인 추진을 통해 정보보안 지표 관리에 만전을 기할 것”이라며, “전 농협은행 보안수준을 측정해 분석 관리하고, ‘개인정보 오남용 모니터링 시스템’ 고도화 사업을 통해 개인정보 유출 및 오남용 사전 모니터링 강화 체계를 정비하겠다”고 밝혔다.

KDB산업은행, 보안 인프라 확충·프로세스 고도화
KDB산업은행은 2016년 주요 보안업무로 정보보호 인프라 확충, 프로세스 고도화 및 역량강화를 위한 사업을 추진할 계획이다. 내부적으로는 현장중심의 상시 보안점검을 국내외 영업점으로 확대 실시하고, 위험수준 평가와 취약점 분석평가 체계도 고도화할 예정이다. 또한, 지속적인 정보보안체계 점검으로 정보보안 수준을 한 단계 끌어 올리는데 주력할 전망이다.

이와 관련 지난 1월 말경으로 새롭게 KDB산업은행 CISO를 맡게 된 이종육 본부장은 “정보보호조직은 2015년이 출범원년으로써 전임 CISO께서 정보보호업무 수행을 위한 조직 기반 다지기에 전념했다”며 “그간 잘 다져진 기반 위에 정보보호체계의 전문성을 보다 강화하고, 선제적인 조치로 보안사고가 발생하지 않도록 최선의 노력을 다하겠다”고 소감을 말했다.

향후 계획과 관련해 이종육 CISO는 “해킹, 정보유출 등 정보보안 사고를 미연에 방지하고 정보보안 수준을 높이는데 최선을 다할 것”이라며 “세부적으로는 기반시설 보호를 위한 인프라 확충, 통제프로세스의 고도화, 정보보호 인적역량 강화 부문으로 영역을 나눠 각 영역에서 성과가 날 수 있도록 조직을 이끌겠다”고 다짐했다.

이와 함께 최근 북한의 핵실험 및 개성공단 폐쇄로 남북간 긴장이 고조된 가운데 만일의 사태에 대비해 365일 24시간 보안관제 활동도 유지할 계획이라고 덧붙였다.

씨티은행, 정보보호 인식과 모니터링 강화
씨티은행은 2016년 정보보호 주요계획으로 △정보보호인식 강화 △모니터링 강화 △외부업체 정보보안 현장 점검 강화 △위험도 평가 모델 구축 △정보보호 전문인력 양성 △전자적 침해사고에 대한 대응 절차 강화 △PIPA Project 진행 △ISMS 인증 취득(금융보안원) 등을 제시했다.

이와 관련 씨티은행 김도수 CISO는 “정보보호인식 강화를 위해 위험도별로 교육을 차별화하고 전 직원의 교육을 다양화하겠다”며 “수탁업체 정보보안 담당자의 교육 연수를 확대하고, 전산개발 직원의 정보보호 기술교육과 파견직, 용역직, 모집인 교육을 강화하겠다”고 밝혔다.

이어 전자금융거래법, 신용정보법, 개인정보보호법 등에서 요구하는 사항에 대해 점검을 확대하고, 위험도 평가 모델 구축의 경우 부서별·지점별 정보보안 위험도를 산정하고 통제를 차등화하겠다는 전략이다. 또한, 정보보안 수준을 점수화하는 모델도 구축할 계획이다.

정보보호 전문인력 양성과 관련해서는 보안담당 직원들의 정보보호 관련 자격증과 ISMS 인증심사원 자격증 취득을 지원하고, 부문별 정보보안전문가 과정 참여도 준비하고 있다고 김도수 CISO는 설명했다.

이와 함께 김도수 CISO는 2016년 활동 계획으로 △전자금융거래의 안정성 확보 및 이용자 보호 위한 전략·계획 수립과 인력·예산 확보 △정보보호운영위원회의 실질적인 운영 △정보보안 점검항목 준수여부 점검과 CEO에게 결과보고 △정보보호 취약점 분석·평가 및 개선 △자체 보안성 심의와 정보보호 통제 검토 및 승인 △고객정보 취급자의 정보보호 및 보안 인식 강화 △주요 정보보안 이슈에 대한 경영진 공유 등을 밝혔다.

한국스탠다드차타드은행, 보안성·고객편리성 목표
한국스탠다드차타드은행은 올해 리스크 중심의 사이버보안 프로세스와 글로벌 협력체계 강화에 주력할 방침이다. 이와 관련 한국스탠다드차타드은행 김홍선 CISO는 “CISO는 보안위협을 비즈니스 리스크로 분석하는 경영 리더십을 발휘해야 한다”며 “사이버보안을 운영리스크 프레임워크에 내재화시킨 성과를 바탕으로, 올해 본격적으로 이를 실행하고 발전시켜 나갈 것”이라고 밝혔다.

글로벌 협력체계 강화와 관련해 김홍선 CISO는 “최근의 위협 트렌드를 보면 공격주체를 중심으로 행위의 맥락을 파악하고, 다양한 위협과 공격정보를 신속하게 수집·대응할 수 있어야 한다”며 “그룹 및 관련기관과의 위협공유 체계를 강화해서 글로벌 수준에 맞는 지능성과 통제력을 갖춰 나가겠다”고 전했다.

오늘날 디지털화(Digitization)는 IT를 통한 생산성 향상 차원을 넘어서 비즈니스 모델을 뒤흔들고 있는데, 핀테크가 바로 여기에 해당된다는 것. 따라서 이러한 시대적 패러다임에 적응하기 위해서는 보안이 비즈니스에 녹아 있어야 한다는 게 그의 설명이다.

그러면서 김홍선 CISO는 “사이버위협으로부터 보안성 확보와 고객편리성의 두 가지 목표를 달성하는 비즈니스 조력자가 되도록 노력하겠다”고 말했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>