[편집자 주] SK텔레콤의 유심 정보 유출 사건의 여파가 오랫동안 가라 앉지 않을 전망이다. FETV에서는 게임사와 네이버·카카오 같은 IT 기업들에 이어 고객의 정보를 가장 민감하게 다루는 금융권이 보안 체계를 어떻게 구축하고 있는지 살펴보고자 한다.

 

[FETV=신동현 기자] 신한금융그룹은 외부는 물론 내부 접근도 사전에 모두 검증하는 'Zero Trust' 기조의 보안 체제 운영을 이어가고 있다. 시중은행 최초로 주민번호 암호화, AI 기반 이상행위 탐지 시스템 도입, 정보보호 레그테크 적용 등 기술·운영 전반에 걸쳐 보안 수준을 끌어올렸으며 정보보호 실적을 CEO 평가에 반영하는 제도 등을 운영하고 있다.

 

2014년부터 신한금융그룹은 정보보호 최고책임자(CISO)를 중심으로 개인정보 관리체계와 사고 대응체계를 정비하고 '그룹 개인정보보호 표준 관리체계'를 구축했다. 이 체계는 개인정보보호법 분석부터 업무 체크리스트 도출까지 포함하는 연속적 관리 체계로 법적 요건을 충족하는 동시에 실무 적용 가능성을 고려해 설계했다.

 

매월 ‘정보보호의 날’을 시행하고 상시 보안 점검과 함게 고객정보 유출 방지를 위한 탐지 시스템 및 CCTV 중앙관리 시스템을 운영했다. 전 임직원 대상 맞춤형 교육, 고객정보보호 서약, 사내에 생활 속 정보보호 게시물 등을 통해 보안의식 제고 활동을 진행했다.

 

그 외에도 고객정보 조회사유의 적정성을 점검하고 정보보호 종합 체크리스트’ 기반의 부서 자체 점검과 외부 위탁업체 관리까지 포함한 보안 체계를 운영했다.

 

2015년에는 문서반출 시스템을 본격 도입하고 컴플라이언스 체계를 정비했다. 자율점검 프로세스를 운영하고, 영업점과 본부 현장점검을 통해 전행적인 보안의식 강화에 나섰다

 

컴플라이언스 체계는 법령과 내부 정보보호 규정을 준수하기 위한 전사적 통제 시스템으로, 신한은행은 자율점검, 경영진 보고, 컴플라이언스 매뉴얼 운영 등을 통해 그룹 차원의 정보보호 준법경영 체제를 정비했다. 그 외에도 영업점과 본부부서에 대한 현장 점검 결과를 근무 평가에 반영하기 시작했다.

 

자율점검 프로세스과 함께 그룹 공동 보안관제 기능 확대와 이상징후 탐지체계 구축 등 기술적인 조치도 병행해나갔다.

 

2016년에는 금융권 최초로 주민등록번호 등 고유식별번호를 암호화해 보관하고 고객정보 출력 시 마스킹(*) 처리로 식별할 수 없도록 조치했다.

 

또 접근 권한도 업무상 필요 시에만 허용하며, 고객정보 이용 내역은 일일 단위로 관리책임자에게 보고하는 체제를 갖춰 개인정보보호 관리 기준을 강화했다.

 

사이버 공격 대응 체계는 그룹 통합 데이터센터에 보안관제센터를 설치하고 연중무휴 24시간 운영 체제를 구축했다. 각종 보안사고에 대비해 법정한도 20억원 규모의 손해배상 책임보험에 가입하고 관련 충당금을 적립해 실질적인 피해 구제 기반도 마련했다.

 

내부 임직원 교육 쪽으로는 전 직원 대상 온라인 보안 교육을 연 1회 진행했다. 개인정보보호 담당자는 별도 집합 교육을 진행한다.

 

계열사 중에 신한카드는 모바일 앱 보안 가이드 제정, ICT 신기술 관련 세미나 등을 진행했다.

 

2017년에는 외부 전문가들과 협력해 ‘미래위협협의회'를 구성해 정보보호 거버넌스 체제를 강화했고 화이트 해커 그룹을 통한 연간 수시 보안 점검도 함께 진행했다.

 

기술 쪽으로는 이 때부터 AI(인공지능)이 보안에 도입되기 시작했다. 신한카드는 전자금융거래 정보를 분석하는 이상금융거래탐지시스템(FDS)에 딥러닝 및 최신 머신러닝 알고리즘을 적용했다.

 

그룹 차원에서는 ‘정보보호 관리포탈’ 시스템을 구축해 핵심 보안 영역 데이터를 수집하고 그룹 통합 보안관제시스템도 강화했다.

 

또 '패치관리시스템(PMS, Patch Management System)'을 자체 개발했다. 패치관리시스템은 소프트웨어의 보안 취약점을 신속하게 해결하기 위해 최신 보안 패치를 자동으로 적용하거나 배포·관리하는 시스템이다. 운영체제(OS), 응용 프로그램, 보안 소프트웨어 등에 발생할 수 있는 보안 결함을 신속히 보완함으로써 해킹, 악성코드 감염, 랜섬웨어 등 다양한 사이버 위협으로부터 시스템을 보호한다.

 

생체인증시스템을 활용해 본인확인 절차를 강화하며 개인정보보호 체계를 강화했다. 고객의 생체 정보는 스마트폰에, 인증 정보는 금융결제원 서버에 분산 저장했고 보안카드 등에 온도 감지 필름 등 물리적 보안수단을 배포해 정보 노출을 예방했다.

 

2018년에는 금융권 최초로 '정보보호 레그테크(Reg Tech)' 시스템을 도입했다. 레그테크는 '규제(Regulation)’와 ‘기술(Technology)’의 합성어로 빅데이터와 ICT 기술을 활용해 법규 준수 여부를 보다 체계적이고 효율적으로 점검할 수 있도록 돕는 정보보호 준법 시스템이다. 신한금융그룹은 이 시스템을 통해 임직원이 영업 현장의 고객정보 관리 실태를 정기적으로 점검하고 그 결과를 경영진에 보고하는 구조를 마련할 수 있었다.

 

2019년에는 인공지능(AI) 기반의 이상행위 탐지 시스템을 새로 도입했고 인공지능 보안 전문기업 씨티아이랩과 ‘AI 기반 위협탐지 기술 공동연구’ 업무협약을 체결했다. 씨티아이랩은 2018년 신한금융 퓨처스랩 육성기업으로 선정된 바 있으며 양사는 축적된 금융 데이터를 활용한 위협 인텔리전스 기술 개발을 목적으로 손을 잡았다.

 

신한금융그룹은 KISA, ISO, BSI(영국표준협회) 등 국내외 인증기관으로부터 정보보호 인증(ISMS, ISO27001, BS 10012 등)을 획득하거나 유지하며 정보보호 관리에서도 공신력을 유지했다.

 

2020년에는 코로나19 상황에 대응해 비대면 해외 보안 관제 체계를 구축하고 국내 SOC(보안운영센터)를 중심으로 해외 법인의 보안 관제를 통합 관리했다. 이 때 국제 정보보호 인증을 전 세계 영업점에 적용하며 글로벌 기준의 보안체계를 정립했고 SIEM(보안정보이벤트관리) 기반의 관제 시스템 구축 작업을 시작했다.

 

SIEM은 기업 내부의 다양한 보안 시스템에서 발생하는 로그와 이벤트 데이터를 수집·분석해 보안 위협을 실시간으로 탐지하고 대응하는 시스템이다.

 

보안사고 대응 체계를 정비했는데 보안사고를 ▲내부자 정보유출 ▲외부자 정보유출 ▲서비스 장애 ▲고객부문 해킹 등 4가지 유형으로 분류하고 사고 발생부터 평가, 대응, 복구, 사후 개선 등 5단계에 걸친 표준 대응 절차를 마련해 운영했다.

 

2021년부터는 보안 전문기업 SSR과 협업해 ‘보안 취약점 자동조치기능’을 개발했다. 이 시기부터 계열사들의 KISA 정보보호활동 내용을 공시하기 시작했다. 신한투자증권의 정보보호현황 보고서에 따르면 신한투자증권은 2021년 1년 동안 약 159억원을 정보보호 부문에 투자했는데 이는 1946억원의 전체 정보기술 투자액의 8.2%에 해당하는 규모다.

 

신한투자증권은 기술적으로는 EDR 솔루션을 도입했다. EDR은 Endpoint Detection and Response의 약자로 엔드포인트 위협 탐지 및 대응 솔루션을 의미한다. 엔드포인트란 PC, 노트북, 서버, 모바일 기기 등 네트워크에 연결된 개별 장비를 뜻한다.

 

즉 EDR 솔루션은 각 단말기(엔드포인트)에서 발생하는 이상 행위를 실시간으로 탐지하고 이에 자동으로 대응하는 보안 시스템이다.

 

그룹 차원으로는 지능형 보안관제 시스템 1단계를 완료했다. 이 시스템은 각종 보안 장비에서 나오는 기록을 빅데이터로 분석해 의심스러운 움직임을 더 쉽게 찾아낼 수 있도록 설계됐다. 또한 비슷한 공격이 반복될 경우 사람이 일일이 대응하지 않아도 자동으로 처리할 수 있어 보안 업무의 효율성을 높일 수 있었다.

 

2022년에 신한금융은 그룹의 정보보호 정책을 ‘3C 원칙(Command, Control, Culture)’에 따라 정비하고 전 그룹사 차원의 통합 관제를 통해 사이버 위협에 공동 대응하는 CERT 체계 가동을 시작했다.

 

기술 측면에서는 전년에 완료한 빅데이터 기반 보안관제 1단계에 이어 AI 기반의 이상행위 탐지 시스템을 도입하는 2단계 체계에 진입했다. 이 단계에서는 기존처럼 정해진 규칙에만 의존하지 않고 AI가 스스로 학습한 데이터를 바탕으로 이상행위를 자동으로 탐지할 수 있다.

 

예를 들어 정상적인 업무 패턴에서 벗어난 로그인 시도나 평소 사용하지 않던 시간대에 발생한 데이터 접근 등을 AI가 스스로 감지해 관리자에게 경고를 주는 방식이다

 

투자의 경우 신한투자증권의 정보보호현황에 따르면 정보보호에 약 125억원을 투자하며 전체 정보 기술 투자액인 1131억원의 11%에 해당하는 수준을 기록하며 전체적인 금액규모는 줄었지만 정보보호에 대한 투자 비율은 증가했다. 정보보호 전담 인력도 전년도 29명에서 40명으로 늘어났다.

 

2023년에는 정보보호 실천 정도를 CEO의 성과 평가 항목으로 추가했고 모의 악성메일 훈련, 퀴즈 이벤트, 캠페인 등을 통해 직원 교육을 확대했다.

 

정보보호부문 투자는 약 127억, 정보기술부문은 1443억원으로 전년 대비 금액이 증가했으며 인력도 51명으로 전년 대비 약 25% 증원됐다.