| [편집자 주] SK텔레콤의 유심 정보 유출 사건의 여파가 오랫동안 가라 앉지 않을 전망이다. FETV에서는 게임사와 네이버·카카오 같은 IT 기업들에 이어 고객의 정보를 가장 민감하게 다루는 금융권이 보안 체계를 어떻게 구축하고 있는지 살펴보고자 한다. |
[FETV=신동현 기자] KB국민은행, 신한은행 등 국내 주요 시중은행들이 디지털 금융 확산 속에서 고객정보 유출 '0'건을 목표로 보안 활동 강화에 나서고 있다.
각 은행들은 정보보호 거버넌스를 통해 ISO와 ISMS-P 등 국내외 보안 인증을 기반으로 AI(인공지능)·자동화 기술 등을 도입하고 있다.
주요 은행들은 자체 보안 컨트롤타워를 구축하고 이를 통해 조직적·기술적 정보보호 체계를 고도화하고 있다. ESG 보고서에 따르면 KB국민은행은 금융권 최초로 APEC CBPR(국경 간 프라이버시 보호 규칙) 인증을 획득했고, ISMS, ISMS-P, ISO 27001 등 주요 보안 인증을 유지하고 있다. 금융위원회가 실시한 ‘개인신용정보 관리·보호 실태점검’에서는 최고 등급인 S등급을 받았다.
정보보호 전략은 이사회 보고 체계를 통해 그룹 차원에서 수립되며 CISO(정보보호최고책임자), CPO(개인정보보호책임자), 신용정보관리·보호인을 중심으로 한 독립 조직이 정보보호위원회를 통해 전략 수립, 위험 평가, 보호 대책 결정 등을 수행하고 있다.
기술적으로는 AI 기반 이상징후 탐지 시스템, 24시간 통합보안관제센터, FDS(이상금융거래탐지시스템)를 운영하며, 망 분리, DB 암호화, DRM 적용, 최소 접근권한 부여 등 다양한 보안 조치를 병행하고 있다.
신한은행은 이사회 및 CEO 직속 체계 하에 정보보호 최고책임자, 개인정보보호 책임자, 신용정보관리·보호인이 참여하는 ‘그룹 정보보호협의회’를 분기마다 개최해 정보보호 전략을 논의한다.
정보보호 인증체계로는 ISO 27001, ISMS, ISMS-P, ISO 27701 등 국내외 정보보호 인증을 보유하고 있으며 각 그룹사는 이를 1년 단위로 사후관리 심사를 받고, 3년 주기로 외부 인증기관의 재인증을 받는다.
기술 쪽으로는 인공지능 알고리즘 기반의 지능형 통합 보안관제 시스템을 운영 중이며 24시간 365일 통합 관제를 통해 악성코드 탐지, 이상행위 분석, 침입 경로 추적 등이 이뤄진다.
또 고객 개인정보를 저장할 때 데이터베이스(DB) 암호화와 파일 암호화 솔루션을 필수로 적용하고 있다.
하나은행은 임원급 CISO를 두어 정보보호 전략 수립 기능을 강화하고 있으며, 정보보호위원회를 통해 연간 보안 계획을 심의·의결하고 이를 CEO 및 이사회에 보고하는 체계를 마련했다.
인증 부문에서는 ISO 27001 및 ISMS-P를 유지하고 있으며 2023년 6월에는 마이데이터 서비스 분야에서 은행권 최초로 ISMS-P 인증을 추가 획득했다.
기술적으로는 SOAR(Security Orchestration, Automation and Response)를 도입해 기존의 탐지 중심 보안관제 체계를 자동화된 대응 중심 체계로 전환했다.
SOAR는 Security Orchestration, Automation and Response의 약자로 보안 운영을 자동화하고 위협에 신속하게 대응할 수 있도록 지원하는 사이버 보안 통합 대응 체계다.
농협은행은 CISO, CPO, CIAP(신용정보관리·보호인), 고객정보관리대리인 역할을 모두 수행하는 통합 컨트롤타워 체제를 세웠으며 정보보호와 관련된 정책 결정 및 평가의 객관성을 확보하기 위해 보안자문단, 법률자문단, 평가위원단 등 ‘3종 자문체계’로 구성된 정보보호 관리 체계를 세웠다.
IISMS, ISMS-P와 함께 ISO/IEC 27001 등의 국제 보안 표준을 보유하고 있으며 2022년에는 금융권 최초로 AI 기반의 4세대 보안관제 체계를 도입했다. 2023년에는 미사용 외부 노출 자산 탐지, 피싱 탐지, 악성 도메인 탐지 모델 등의 기술을 추가로 도입했다.
우리은행은 CISO, CPO, 신용정보관리인, 고객정보관리인을 전 계열사에 배치하며 그룹 내 정보보호위원회를 통해 보안 전략을 수립하고 CEO 및 이사회에 정기적으로 보고하고 있다.
ISMS, ISMS-P, ISO 27001 외에도 ISO 27017(클라우드 보안)과 PCI-DSS(결제보안 인증) 등 다양한 보안 인증을 보유하고 있다.
기술적으로는 2018년부터 빅데이터 기반 보안관제 시스템을 도입했고 2021년에 SOAR 체계를 구축하면서 다른 시중은행 대비 이른 시점에 자동대응 체계를 마련했다. 2023년에는 그룹 공동 APT(지능형지속위협) 공격 대응 시스템을 고도화해 이메일, 단말기 등을 통한 악성 콘텐츠 유입을 차단하는 기술과 방화벽 정책 통합관리 시스템도 도입했다.
카카오뱅크는 CISO, CPO 외에도 CIO(최고정보책임자)를 별도로 지정해 정보보호 관련 책임을 분산 운영하고 있다.
ISMS-P, ISO 27001, ISO 27701 등 국내외 정보보호 인증을 확보하고 있으며 고객정보와 뱅킹 시스템이 위치한 네트워크를 외부 통신망과 물리적으로 분리했다.
자체 개발한 보안 통합 분석 시스템을 통해 이상 접근 및 유출 시도를 실시간 감시하고 있으며 Zero-day 공격 대응 솔루션과 차세대 방화벽도 도입해 보안 대응력을 높이고 있다.
