정보보호, 조직정비와 보안강화 모두 힘써야

\n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n

	▲KEB하나은행 천경미 CISO

[시큐리티월드 김경애] 외환은행과 하나은행이 9월 1일자로 합병되면서 KEB하나은행은 국내자산 1위 은행으로 새롭게 태어났다.

합병 이후 KEB하나은행은 더욱 철저한 리스크 관리로 핀테크로 대변되는 스마트 금융을 선도하고, 양 은행의 통합을 통한 진정한 One Bank로 새롭게 탈바꿈하겠다는 전략이다.

정보보호와 관련해서도 조직정비와 함께 보안 강화에 한층 힘쓰는 분위기다.

이에 본지는 KEB하나은행에서 정보보안 업무를 총괄하게 된 천경미 CISO(Chief Information Security Officer)와의 인터뷰를 통해 보안조직 개편 현황과 정보보호 수장으로서 어떻게 조직을 이끌어 나갈지 들어봤다.

Q. 우선 본인 소개를 부탁드립니다.
저는 과거 충북은행에서 전산담당과 지점장, 영업본부장 등을 거쳐 합병된 하나은행에 근무하다가, 올해 1월 KEB하나은행의 CISO로 임명됐습니다. CISO로 임명되기 이전까지는 수많은 영업현장을 뛰어 다니던 영업우먼이었습니다.

그동안 현장에서 많은 고객들과 만나면서 고객의 마음을 이해하게 되는 자양분이 됐으며, 결국 모든 세상사는 ‘사람과의 관계’라는 걸 느끼게 됐습니다.

저는 보안은 고객이 인지하지 않아도 자연스럽게 수반되며, 안정성이 확보되어야 한다고 생각합니다. 즉 고객의 편이성과 안정성이라는 두 마리 토끼를 잡아야 하죠.

저희 은행도 안전성을 높이면서 편리성을 위해 바이오인증 체계를 위해 준비 중에 있으며, 앞으로도 영업현장의 경험과 노하우를 바탕으로 고객들이 원하는 부분을 적극 수렴해 안전한 금융 보안환경을 연구하고, 실천방안을 마련해 추진할 계획입니다.

Q. 9월 1일자로 외환은행과 하나은행이 합병됐는데 통합은행의 CISO로 소감 한 말씀해 주신다면.
하나은행은 과거에도 서울은행과 충청은행과도 합병한 바 있고, 저 또한 일반 평사원 시절부터 단계를 밟아 왔기 때문에 직원들의 고충과 애로사항을 충분히 이해합니다.

다행히 2012년부터 진행된 합병작업에 직원들이 잘 준비한 덕에 현재는 듀얼체계로 정보보호 시스템을 운영하고 있습니다.

내년 6월 완전하게 통합되기 전까지는 리스크를 최소화하며 안정된 운영을 지속해 나갈 계획입니다.

Q. 이번에 외환은행과 하나은행이 합병되면서 기존 두 은행 간의 CISO와 보안조직 체계는 어떻게 개편됐나요?
현재 KEB하나은행의 정보보안 조직은 IT 보안부 산하에 보안기획팀(12명)과 보안운영팀(21명)인 1부 2팀 체제로 구성되어 있습니다.

우선 오랜 기간 서로 다른 조직문화에서 생활해 왔던 직원들이 만났기 때문에 직원들 간의 화합적인 통합을 위해 변화를 최소화하는 환경 조성에 노력하고 있습니다.

특히, 직원들과 대화를 많이 나누고, 보안을 위해 누구나 제안하고 토론할 수 있는 유기적인 관계 구축에 힘쓰고 있습니다.

보안인력은 두 은행의 통합으로 이전보다 2배 이상 증원됐지만 통합 전까지 양 은행의 보안 시스템을 안정적으로 운영해야 하는 과제가 남아 있어 향후 70여개 영역을 단계적으로 통합하는 형태로 추진할 계획입니다.

IT 통합 시스템 오픈 시에는 보안 리스크 최소화에 주력할 방침입니다. 또한, 기존 양 은행에서 갖고 있던 우수한 정책은 합병시 반영하고, 성공적인 보안 통합을 위해 현재는 팀 구성을 최소화해 직원들의 역량을 한곳으로 모으고 있습니다.

아직까지는 양 은행의 우수한 직원들을 중심으로 한 수평 상향적 보안능력 제고가 필요한 상황이며, 6월 보안 분야 통합이 성공적으로 마무리되면 전문성을 갖춘 인력 구성과 팀제로 리딩뱅크에 걸 맞는 정보보안 조직으로 개편해 글로벌한 위상을 갖출 계획입니다.

Q. 현재 하나은행의 보안조치는 어떻게 하고 있나요?
물리적 보호 조치로는 출입통제 시스템을 통해 출입카드가 있어야만 출입이 가능하도록 하고 있습니다.

상암동 전산센터의 경우 지정된 인원만 출입하도록 제한을 하고 있으며, 지문이나 지정맥 등 바이오인식과 CCTV 모니터링을 통해 허가된 자만 출입할 수 있도록 했습니다.

노트북과 USB는 원칙적으로 반입이 불가능하며, 유지보수를 위해 외부 인력이 노트북을 가져올 경우 모두 포맷처리를 하기 때문에 노트북 활용이 불가능합니다.

브리핑과 미팅은 지정된 장소인 접견실에서만 가능하며, 스마트폰의 경우 촬영금지 스티커가 부착되고, 와이파이 등 인터넷 접속이 차단됩니다.

기술적 보호 조치로는 서버에 접근통제와 정보유출 차단을 위해 물리적인 락을 걸어 놨습니다.

현재 정보유출 방지 및 악성코드 침해 예방을 위해 인터넷 망 분리 시스템을 구축 운영 중에 있습니다. 망 분리는 보안성과 비용, 이용자 측면에서의 편의성 등 여러 측면을 고려해 물리적 망분리와 논리적 망분리를 혼용해 KEB하나은행만의 특화된 방식인 하이브리드 망분리 시스템을 구축해 특허 등록된 상태입니다.

내부통제 영역으로는 내부 전산 시스템 보호의 중요성을 인식해 시스템 접근통제 부분을 강화하고 있습니다. 이에 모든 전산 시스템 접근 시 보안 시스템을 경유하도록 해 비인가자의 접근을 원천적으로 통제하고 있으며, 인가된 직원만이 소지할 수 있는 OTP 시스템을 모든 시스템에 적용한 것이 특징입니다.

OTP 시스템을 서버뿐만 아니라 보안 시스템과 네트워크 장비까지 확대 적용한 곳은 저희 은행이 금융권 최초라 더욱 의미가 있습니다.

최근에는 전자금융 고객의 편의성을 극대화하기 위한 다양한 OS와 브라우저를 모두 지원하고, Active-X가 필요 없는 인터넷 뱅킹 서비스를 시행하고 있습니다.

관리적 보호조치로는 사내에서 보안교육을 정기적으로 진행하고 있습니다. 보안부서에서 보안과 관련해 중요한 전달사항이 있으면, 시스템에 파일을 올려 전달하는데 이는 직원들이 아침에 출근해 PC를 켜면, 해당 정보를 안내 화면 창을 통해 바로 확인할 수 있다는 것을 의미합니다. 또한, PC 화면에 생활보안에 대한 내용들을 지속적으로 안내하고 있습니다.

외부 파트너사 직원 관리의 경우 정보유출 방지와 개발업무에만 집중할 수 있도록 클라우딩 기반의 VID 가상화 환경을 제공하고, 외부 직원이 작업한 내용은 인터넷이 안 되는 내부용 메일 시스템을 통해 전달받도록 시스템을 운영하고 있습니다.

각 영업점과 본부에서는 각각의 보안 체크리스트로 보안점검을 진행하고, 파트너 사는 매일 보안점검을 한 후 보고하는 체계로 되어 있습니다.

Q. 사내 보안 캠페인은 어떻게 하고 계신지요?
내부 직원들의 정보보안에 대한 인식 변화는 보안정책의 성공을 좌우하기 때문에 다각적인 방법으로 보안캠페인을 진행하고 있습니다.

그중 하나는 매월 영업일 4일째 되는 날에는 ‘보안점검의 날’을 지정해 직원 스스로가 보안을 자체 점검하고 실천할 수 있도록 관리하고 있습니다.

교육에 있어서는 일반 직원들의 거부감을 최소화하기 위해 애니메이션 형태로 교육 콘텐츠를 제작해 보안정보를 쉽게 전달하고 있습니다.

보안부서내 ‘보안 변화관리’ 담당업무를 신설하여 영업점, 본부부서에 보다 쉽게 정보보안을 접할 수 있게 했으며 직원들의 자율적인 정보보안을 인식 제고를 위해 다각적인 방법을 고민하고 있습니다.

내년부터는 일반직원들을 대상으로 정보보안 우수자를 선발해 시상할 계획도 있습니다.

Q. CISO로서 애로사항이나 고충이 있다면.
CISO로서의 애로사항이라기 보다는 보안이 커버해야 하는 영역이 워낙 광범위하다 보니 신경써야할 부분이 많고, 금융보안을 선도해야 하는 막중한 임무로 책임감과 부담감이 있습니다.

보안은 일상생활에서 담당자의 노력 여하를 떠나 항상 위협에 노출되어 있기 때문에 리스크는 항상 존재합니다.

하지만 금융사고가 최대한 발생하지 않도록 노력하고 리스크를 최소화해야 합니다. 아마 이점은 대부분의 보안담당자와 CISO들이 공감하는 사항이 아닐까 싶습니다.

\n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n

	▲KEB하나은행 천경미 CISO

Q. 2015년 하반기에 중점적으로 추진할 보안전략은 무엇인가요?
저희 KEB하나은행은 내년 6월을 목표로 IT 통합과 정보보안 통합을 추진하고 있습니다. 올해 하반기부터 내년 상반기까지는 정보보안 통합에 모든 역량을 집중할 생각입니다.

다만 최근 핀테크와 비대면 실명확인 등 보안 패러다임이 바뀌고 있는데, 이러한 새로운 보안 트렌드를 저희 은행이 리딩하고 싶은 마음이 있습니다.

이에 전자금융 고객의 보안성과 편의성을 동시에 만족시킬 수 있도록 인증체계를 준비 중에 있으며, 올해 말쯤이면 어느 정도 가시적인 성과가 나올 것으로 기대하고 있습니다.

Q. 새롭게 정비된 보안조직을 어떻게 이끌어 가실 계획이신지 마지막으로 한 말씀 해주신다면.
정보보안은 금융회사의 존립과 승패를 좌우하는 중요한 업무로 자리 잡고 있어 경영층과 직원들의 인식도 많이 변화하고 있습니다. 이 때문에 중요한 업무를 총괄하는 CISO로서 자부심을 느끼는 동시에 책임감도 무겁습니다.

보안업무는 다른 업무와는 조금 차이가 있습니다. 보안업무에 대한 목표가 확실하고 방향이 명확하면 조직 통합에 따른 이질감은 다른 업무에 비해 상대적으로 적다고 생각합니다. 따라서 업무는 직원들을 믿고 자율성을 최대한 보장해 주려고 합니다.

CISO로서 직원들과 소통의 시간을 많이 갖고, 부서 직원들과 상하관계가 아닌 수평적 관계로 서로의 의견을 많이 공유할 수 있는 액티브한 보안조직을 만들기 위해 제가 메신저 역할을 담당할 생각입니다.

또한, 영업현장과의 괴리가 없게끔 영업점, 본부직원과의 의견을 최우선으로 듣는 현장 중심의 보안조직을 만들기 위해 노력할 생각입니다.

[글 사진 시큐리티월드 김경애 기자(sw@infothe.com)]

[월간 시큐리티월드 통권 225호 (sw@infothe.com)]

<저작권자 : (http://www.securityworldmag.co.kr) 무단전재-재배포금지>