• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

기업보안 실태진단 시리즈 - 금융권 2007.03.03

나무 아닌 숲을 보는 혜안이 필요할 때    


금융보안과 관련해서는 각종 언론에서 관련기사가 수시로 쏟아져 나온다. 그리고 패턴도 거의 똑같다. 금융사고가 터지고 나면, 이에 대한 보안성 강화대책을 발표하는 순서로 지면을 장식하는 것. 금융권의 보안체계나 조직의 문제점에 대해서는 아무도 눈을 돌리지 않는다. 기자는 이것이 바로 국내 은행이 그 덩치(?)에 비해 보안수준이 한참 떨어진다는 지적을 받는 근본적 이유라고 본다. 


금융보안연구원이 정식 출범한다는 소식을 지난 6월 처음 접했을 때 기자는 큰 기대를 가졌던 게 사실이다. 그러나 그 기대가 아쉬움으로 바뀐 건 시간이 얼마 지나지 않아서였다. 전자금융거래의 보안성 강화방안이 대부분을 차지하는 금융보안연구원의 업무범위 때문이었다. 업무내용을 좀더 살펴보면 금융 IT 및 정보보호에 관한 정책 연구개발, 금융기관용 정보보호제품 적합성 테스트, 해킹·피싱 등 전자적 침해에 대한 대응, OTP 통합인증센터 운영 등 금융 IT 보안 분야와 관련된 업무가 그 중심을 이룬다.


그러나 기자가 보다 중요하다고 본 금융권의 보안조직체계 및 업무범위, 그리고 전문 금융보안인력 육성방안 등에 관한 마스터플랜은 포함돼 있지 않았다. 그럼 이제부터는 많은 사람들이 전자금융거래의 보안대책에만 열중하고 있는 사이 간과되고 있는 금융권 보안체계의 문제점과 개선방안에 대해 하나씩 짚어보기로 하자. 


안전관리실 따로, IT 부서 따로…보안총괄부서의 부재     


금융권 보안체계에 있어 가장 큰 문제는 바로 금융보안업무를 총괄할만한 전담부서가 없다는 점이다. 현재 국내 대다수 은행은 예비군훈련 및 비상계획업무를 비롯해 일부 물리적·관리적 보안업무를 안전관리실에서 수행하고 있고, IT 보안업무의 경우 IT 관련 부서에서 담당하고 있는 상황이다. 다시 말해 국내 다수 은행은 기업보안 업무만을 전적으로 맡아 수행하는 부서가 없을 뿐더러 그토록 중요시하는 IT 보안업무마저 전담부서 없이 IT 관련 부서에서 함께 수행하는 경우가 대부분이라는 얘기다.


특히, 안전관리실의 경우 인력경비 및 기계경비 시스템 운용 등 물리적 보안업무에 치중한 나머지 세부적인 보안정책 수립과 직원들의 보안교육 및 감사, 보안사고 발생시 조사업무 등의 관리적 보안업무는 물론, IT 보안 담당부서와의 업무협력 등 전체적으로 보안업무를 조율하고 지휘하는 역할을 하지 못하고 있다는 지적이다.


이와 관련 인터뷰를 요청했던 한 시중은행 안전관리실 관계자는 본점과 영업점의 물리적 보안 시스템 구축이 모두 완료됐다는 말만 되풀이할 뿐 이 외에 여러 가지 관리적 보안활동에 대한 질문에는 제대로 된 답변을 내놓지 못했다.    


또 다른 은행의 안전관리실 관계자 역시 보안정책 및 보안사고 수습 등 일부 보안업무와 관련해서는 “IT 관련부서에 물어보라”며, 보안업무와 관련해 IT 부서와의 정보공유 및 협력관계가 전혀 이루어지지 않고 있는 모습을 보이기도 했다.

금융보안사고가 발생할 경우 안전관리실과 IT 관련부서가 협조할 사안이 대부분임에도 불구하고, 양 부서간 커뮤니케이션이 원활하지 못하다는 사실은 국내 시중은행에 있어 보안체계의 허점을 여실히 대변해주고 있다.  


선두은행 중심으로 보안체계 강화 ‘현재진행형’


그러나 국민은행과 신한은행 등 선두은행을 중심으로 아직까지 미흡하지만 보안체계 강화를 위해 발 빠르게 움직이고 있고, 한미은행을 인수한 한국씨티은행 등 외국계 은행의 경우는 보다 선진화된 보안체계의 모습을 보여주고 있다.


조흥은행과의 합병된 신한은행의 경우 앞서 소개한 금융권의 보안업무 범위에서 크게 벗어나진 못했지만, 여타 은행보다는 한결 발전된 모습을 보여주고 있다. IT 보안만을 담당하는 별도의 IT 보안부서가 조직돼 있었고, 안전관리실의 경우 통합에 따른 출입관리 강화조치 등의 물리적 보안업무와 함께 영업점에 대한 보안감사주기를 3년에서 1년으로 단축하는 등 관리적 보안활동을 보다 활발히 펼치고 있는 것으로 나타났다. 


이와 관련 안전관리실의 정상문 차장은 “신한은행과 조흥은행의 통합작업으로 보안업무가 크게 늘어났다”며, “이를 기점으로 통합은행의 보안체계를 한층 강화하기 위해 본점 로비에 시큐리티 게이트를 설치하고, 각 부서별·직원별로 출입등급 권한을 지정하는 BMS 시스템을 도입하는 등 출입통제 시스템 구축을 대폭 확대함은 물론 직원들에 대한 보안교육 및 감사주기를 단축했으며, IT 보안부서와의 협력을 강화하고 있다”고 말했다.       


외환은행을 인수한 국민은행 역시 인수과정에서 발생할 수 있는 정보유출에 대비해 보안수준을 한층 향상시킨 상태로, 시큐리티 게이트 설치를 통해 외부인 통제를 강화하고, 통신보안 시스템 도입 등으로 내부자 보안에도 각별한 주의를 기울이고 있다는 게 국민은행 측의 설명이다.


국민은행 안전관리부의 박찬용 팀장은 “본점은 영업전략 등의 내부정보, 그리고 영업점의 경우 고객정보 유출을 차단하는 것이 우리 부서의 가장 큰 존재이유”라고 밝히며, “이를 위해 직원들의 보안교육과 영업점의 보안감사업무에도 만전을 기하고 있다”고 말했다. 이와 함께 그는 “IT 보안부서는 별도로 존재하지만, 보안관련 업무는 안전관리부에서 총괄하고 있다”는 말도 덧붙였다.       


외국계 은행의 선진보안체계를 배워라!


그러나 금융권 보안체계와 관련해서는 한국씨티은행, SC제일은행 등 외국계 은행을 주목할 필요가 있다. 일례로 한미은행을 인수한 미국계 은행인 한국씨티은행의 경우 CSIS (Citygroup Security Investigative Services)팀이라는 보안전담부서를 운용 중인 것으로 알려졌다. 


외국계 은행의 경우 은행에서 가장 빈번하게 발생하는 도난사고나 고객정보유출 방지업무는 기본이고, 보안사고 발생시 사후조사나 이에 따른 보안규정 및 기준을 새롭게 마련하는 일도 담당하는 등 보안업무범위가 매우 광범위하다. 이와 관련 한 외국계 은행의 보안책임자는 “우리 부서의 경우 경비인력 및 보안 시스템 운용, 보안교육, 보안정책 수립은 물론 각 영업점의 보안 및 안전기준을 수립하는 일까지 모두 수행하고 있다”고 설명한다. 또한, 그는 “이러한 세부적인 보안기준은 모두 본사의 글로벌 스탠더드를 따르고 있다”고 말했다.


이러한 외국계 은행의 사례를 보더라도 금융권 보안체계 강화를 위한 첫 번째 과제는 바로 물리적·기술적·관리적 보안 등 금융권의 모든 보안업무를 효과적으로 통제·조율할 수 있는 보안총괄부서와 이러한 보안총괄부서를 원만하게 이끌어갈 수 있는 임원급의 보안책임자가 필요하다는 것이다.


더욱이 전자금융거래에 의한 보안사고가 빈번한 요즘에는 물리적·관리적 보안 분야는 물론 IT 보안에도 일정 수준의 식견을 갖춘 인물이 금융권의 보안조직을 이끌어가야 한다는 게 보안전문가들의 공통된 견해다. 이와 관련 한 보안전문가는 “금융권의 보안부서는 확고한 정책과 방향을 갖고, 다른 부서를 컨트롤 할 수 있어야 한다”며, “설사 물리적·관리적 보안업무를 담당하는 안전관리실과 IT 보안팀을 별도로 두더라도 사고발생시 양 부서를 하나로 묶고, 서로 원활한 커뮤니케이션이 가능토록 하는 게 금융권 보안책임자의 가장 중요한 역할”이라고 강조했다.  


국내 금융권의 보안수준 역시 서서히 높아지고 있는 것만은 분명해 보인다. 그러나 이것이 IT 부문에만 한정돼서는 결코 안 된다. 이보다는 보안조직의 업무범위와 책임소재가 명확해 짐으로써 보안조직이 제자리를 찾고, 보안책임자의 전문성이 향상되는 게 우선인 것이다. 이것이 바로 고객들이 가장 신뢰해야 할 금융권이 우선적으로 풀어야할 숙제다. 이젠 전자금융거래인 ‘나무’보다는 보안체계인 ‘숲’을 보는 혜안이 더욱 절실한 때다.

[월간 시큐리티월드 권 준 기자(info@boannews.com)]


           <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>