| [편집자 주] SK텔레콤의 유심 정보 유출 사건의 여파가 오랫동안 가라 앉지 않을 전망이다. FETV에서는 게임사와 네이버·카카오 같은 IT 기업들에 이어 고객의 정보를 가장 민감하게 다루는 금융권이 보안 체계를 어떻게 구축하고 있는지 살펴보고자 한다. |
[FETV=신동현 기자] KB국민카드 포함 카드 3사에서 5300만건의 고객정보 유출 사고 이후 KB금융 그룹은 10년간 정보보호 체계를 정비해왔다. CIO(최고정보책임자)·CISO(정보보호최고책임자) 분리, GRC 기반 통합관리, AI 보안 시스템 도입 등 기술과 거버넌스 등 전방위적으로 보안 체제를 정비했고 2023년에는 금융업계 최초로 국제 인증인 APEC CBPR를 확보했다.
2014년 초, KB국민카드를 포함한 카드 3사에서 약 5300만건의 고객정보가 외주업체 개발자의 불법 행위를 통해 유출되는 사고가 발생했다. 이 사건을 계기로 KB금융그룹은 전사적인 정보보호 체계 정비를 시작했다.
2014년에 발간된 지속가능경영보고서에 따르면 KB금융그룹은 사고 직후 최고정보책임자(CIO)와 정보보호최고책임자(CISO)를 분리 임명하며 정보보호 조직 개편을 단행했다. KB국민카드는 기존 1부서 2팀 체제를 1부서 4팀으로 확대 개편하고 정보보호 인력을 13명에서 28명으로 늘렸다. KB금융 전 계열사의 정보보호 인력도 2013년 60명에서 1년만에 113명으로 증원됐다.
기술적인 조치도 이뤄졌다. 주민번호 대체 수단인 ‘KB-PIN’을 도입하고 DB암호화, OTP, NAC 등 보안시스템을 강화하고 고객정보 유출 방지 및 이상 거래 탐지 시스템을 신규 구축했다. 고객정보 접근 시 보안토큰과 지문마우스를 활용한 복합인증도 이 시기 도입됐다.
2015년에는 유출 대응 프로세스를 전사로 확산하고, 고객정보 수집 최소화, 정보보호 전담 조직 확대 등 실무 프로세스를 강화했다. 정보관리에 있어서도 1100여 개의 거래서식을 개정해 주민등록번호 사용을 없앴고 거래 종료 고객의 정보는 단계적으로 파기하거나 분리 보관하도록 했다.
KB금융은 매월 셋째 주 수요일을 ‘정보 보호의 날(e-Cleansing Day)’, 첫째 주는 ‘보안 점검의 날’로 지정해 정기적인 점검과 자가 보안 교육을 시행했다. 임직원 교육도 체계화돼 직무별로 3시간~12시간 이상의 교육을 의무화했으며 신입직원과 복직자 대상 오프라인 교육도 병행됐다.
이러한 시도는 고객정보 실태점검 건수, 전담 조직 보유율, 법률 제재 건수 등으로 측정되는 KPI(핵심성과지표) 지수로 드러났다. 고객정보보호 실태 점검 건수는 2014년 186건에서 2015년 268건으로, 그룹사 전담조직 보유율은 63.6% 에서 66.7%, 고객정보보호 헌장 제정률도 54.5%에서 75%로 증가했다.
2016년에는 GRC(Governance, Risk, Compliance) 기반의 개인정보보호 통합관리시스템을 도입해 정보보호를 시스템적으로 통제하기 시작했다. GRC는 정보보호 정책, 위험 요소, 법규 준수를 통합적으로 관리하는 체계로 보안 리스크에 대한 사전 대응력을 높이기 위한 조치였다. GRC 시스템 도입으로 이상징후 탐지 시스템, 고객정보 목적외 사용 감시 체계 외부 위탁업체 관리까지 연계된 통합 점검 체계가 전사로 확산됐다.
2017년에는 딥러닝 기반 FDS(Fraud Detection System)를 도입해 보이스피싱 등 이상 거래 탐지 능력을 강화했고 2018년에는 머신러닝 기반 이상징후 탐지, 통합보안 플랫폼 구축, 보안 인증 체계(ISMS, ISO27001, PCI DSS) 정비 등 기술적 역량을 강화했다.
2019년에는 ‘정보보호 경영’이라는 개념을 도입해 보안체제에 대한 관리체계를 강화했다. KB는 개인정보보호 통합관리시스템에 빅데이터 기술을 접목해 처리 적정성, 수탁업체 이력, 국외지점 보안 현황까지 실시간으로 점검 가능하게 했다. 대표이사는 매월 보안점검 결과를 보고받았고 이사회는 전사 보안 전략을 정기적으로 감독했다.
2020년에는 모의해킹과 취약성 점검을 정례화해 사이버 위협 대응력을 체계화했다. 분기별 이메일 모의훈련, 연간 공개망 해킹 테스트, 악성메일 대응 훈련이 전 임직원을 대상으로 시행했고 임직원 교육시간도 최대 12시간까지 늘어났다.
2021년부터는 정보보호에 투자하는 예산에 대한 내용을 추가했다. 2021년 발간된 ESG 보고서에 따르면 KB금융그룹은 IT 예산 중 7.95%를 정보보호에 투입했다.
기술적 보호 조치로는 DMZ(비무장지대)보안 강화, DB(데이터베이스) 암호화, 가명·익명정보 처리 시스템 등을 도입했다.
DMZ는 인터넷에 노출된 서버를 내부 시스템과 물리적으로 분리하는 방식으로 외부 침입 시에도 내부망 접근을 차단해 핵심 자산을 보호하는 역할을 한다. 국민은행은 이 DMZ 서버에 개인정보 암호화 자동점검 기능과 탐색 제한 기능을 적용해 민감정보가 외부로 유출되는 것을 막았다.
또 신규 서비스 개발 시에는 소스코드 취약점 점검을 통과해야 운영 시스템에 반영했고 홈페이지·앱 등 주요 시스템에 대해 연 2회 모의해킹을 포함한 취약점 점검을 외부 기관에 의뢰했다.
제도 부문으로는 정보보호 위반 시 KPI 감점 제도를 도입했고 고객정보 유출 사고 대응 프로세스도 ▲고객 통지 ▲민원 대응 ▲피해 구제 ▲사후관리의 구조를 완전히 정착시켰다. 정보보호 교육의 경우 직원 뿐만 아니라 CISO도 연 6시간 이상 의무적으로 이수해야 했다.
그룹 차원의 정보보호 인증도 다수 확보했다. 국민은행은 ISO 27001, ISMS, ISO/IEC 20000(IT 서비스 관리 국제표준), BS 25999(비즈니스 연속성 관리 국제표준) 인증을 유지하면서 그룹 차원에서는 ISMS, 계열사별로 ISMS-P 및 PCI DSS(결제카드 산업 데이터 보안 표준) 등의 국제 인증을 확보했다.
ISO/IEC 20000은 IT 서비스 기획·운영·개선 전 과정을 평가하는 국제 표준으로 서비스 중단 없는 금융 시스템 운영 능력을 평가하는 기준이며 BS 25999는 재해·사고 등 비상상황에서 핵심업무를 중단 없이 운영할 수 있도록 준비된 조직에 부여되는 국제 인증이다. PCI DSS는 신용카드 결제 정보 보호를 위해 마련된 국제 보안 기준으로, 카드사·가맹점 등 결제 데이터를 처리하는 모든 기업이 준수해야 하는 글로벌 표준이다.
2022년에는 전체 IT 예산 6072억원 중 약 541억원(8.9%)을 정보보호에 투자했고 전체 IT 예산 대비 정보보호 투자 비율을 더 늘렸다. 정보보호 전담 인력의 경우 93명을 확보했다.
KB금융그룹 차원에서는 ▲보안관리체계 개선 ▲디지털 보안대책 ▲침해사고 대응능력 강화 ▲보안업무 자동화 ▲개인정보 컴플라이언스 강화 등 5대 과제를 설정했다.
기술 인프라 부문에서는 AI 기반 개인정보 오남용 모니터링 시스템과 SOAR(보안 자동화 및 대응) 체계를 도입했고 DRM(Digital Rights Management), 24시간·365일 가동 통합보안관제센터 운영 등 기존 인프라도 전면 강화됐다.
2023년에는 전체 IT 예산 5685억원 가운데 421억원(7.4%)의 투자금액을 기록하며 전년 대비 투자 금액은 줄었지만 정보보호 전담 인력을 97명으로 늘려 인적 자원을 보강했다.
인증 부문에서는 국내 금융권 최초로 APEC CBPR(국경 간 개인정보보호 인증) 인증을 획득하며 글로벌 개인정보보호 체계에서 경쟁력을 확보했다.
기술 측면으로는 기존 AI 기반 탐지, SOAR, 망분리·DRM 체계, 이상금융거래탐지시스템(FDS) 등을 결합해 전방위 대응체계를 구축하며 기존 보안 시스템을 더 강화하는 방향으로 진행했다.
외부 점검 체계를 추가로 정비했다. 금감원·금보원 등 유관 기관으로부터 오픈뱅킹, 마이데이터 등 서비스 보안 점검을 정기적으로 받기 시작했고 자체 모의해킹도 수시로 시행하는 것을 정례화했다.
KB국민은행 관계자는 “국내 금융권 최초로 APEC CBPR 인증을 획득한 것은 단순한 인증을 넘어, KB국민은행이 글로벌 기준에 부합하는 개인정보 보호 역량을 갖춘 기관임을 대외적으로 인정받은 것”이라며 “AI, 클라우드, 빅데이터 등 기술이 개인정보와 밀접하게 연결된 만큼, 앞으로도 기술 혁신과 개인정보 보호를 동시에 선도하는 글로벌 금융 플랫폼으로 도약하겠다”고 말했다.
