[FETV=신동현 기자] NH농협금융그룹은 ‘DREAM 2025’ 전략을 내세우며 보안 체제를 정비하고 있다. 2021년부터 조직 정비와 AI 기반 보안관제체계 도입 등을 통해 계열사 전반에 걸쳐 보안 역량을 강화해왔다.

NH농협금융의 정보보호 및 보안체제 정비는 2021년부터 시작됐다. NH농협금융에서 발행한 2021·2022 ESG 경영보고서에 따르면 농협은 대표이사 직속의 정보보호최고책임자(CISO)를 임명하고 개인정보보호책임자(CPO), 신용정보관리보호인(CIAP), 정보보호 전문인력 등으로 구성된 전담조직을 운영해 정보보호 정책 수립과 시스템 관리 표준을 직접 관리하도록 했다.

이렇게 구성된 조직은 고객정보 제공 및 이용 실태, 신용정보 보호 활동, 보안 전략 방향 등 주요 이슈를 이사회에 정기적으로 보고했다.

또 보안자문단, 법률자문단, 평가위원단 등 외부 전문가가 참여하는 3종 자문체계를 도입해 정보보호 전문성과 함께 보안 관련 정책 결정이나 의사 결정 시 객관성과 투명성을 확보할 수 있는 체계를 갖췄다.

내부 보안활동으로는 전 임직원 PC 내 개인정보 보유현황에 대한 자동점검을 주 2회 실시하고 개인정보 수탁사에 대한 업무처리 적정성 점검은 반기 1회, '정보보안 점검의 날'은 매월 진행했다. 개인정보 제공 현황은 매년 개별 통지되고 종합 점검 결과는 이사회 및 금융감독원에 보고했다.

2022년에는 기술적인 부문에서 변화가 생겼다. NH농협은행은 금융권 최초로 인공지능(AI)을 활용한 제4세대 보안관제체계를 도입했으며 위협 탐지부터 분석·차단·대응까지의 전 과정을 자동화하는 SOAR(Security Orchestration, Automation and Response) 시스템도 자체 구축했다.

이 체계는 클라우드와 서버 등 IT 인프라 전반으로 관제 범위를 확장하고 보안 위협 이벤트에 대한 시나리오를 분석할 수 있도록 설계해 보안 업무의 효율성을 높일 수 있었다.

또 NH농협은행은 중장기 정보보호 전략인 ‘DREAM 2025’를 수립했다. 이 전략은 디지털 혁신의 파트너 역할(Digital), 위험관리 강화(Riskless), 업무 효율화(Evolution), 역량강화(Ability), 관리체계 고도화(Management)를 5대 방향성으로 설정하고 이를 중심으로 20개의 전략과제를 설정해 단계적으로 이행하는 전략이다. 이를 통해 사각지대 없는 보안체계 구현, 클라우드 및 오픈소스 환경 대응, 고객 단말 보안 강화 로드맵을 제시했다.

2023년에는 각 계열사에서는 시스템을 정비하거나 부서를 통합하는 등의 과정으로 보안 체제를 정비했다. NH농협은행은 AI 위협탐지 모델을 개선하고 미사용 외부노출 자산 탐지, 관리자 피싱 유도 탐지, M73 악성도메인 탐지 등 신규 탐지 시나리오를 추가했다.

NH농협손해보험은 자체 빅데이터 분석 기반의 보안관제체계를 운영하며 개인정보 유출방지 시스템, DB 접근제어, 통합 권한관리, 문서암호화 시스템 등을 도입해 정보 유출에 대한 실제 대응책을 강화했다.

NH농협생명은 2023년 4월 조직개편을 통해 개인정보보호 관련 업무를 정보보호 부서로 이관하고 정보보호와 개인정보보호 기능을 통합했다. 이후 2024년 3월에는 금융보안원의 기준에 부합하는 정보보호관리체계(ISMS) 인증을 획득했다.

정보보호 문화 확산과 관련한 교육도 지속되고 있다. NH농협금융은 매년 정보보호 교육 계획을 수립하고 법적 의무시간을 기반으로 교육을 운영 중이며 연말에는 이수 결과를 CISO에게 보고 및 승인받고 있다. 보고서에 따르면 2023년 기준으로 전 임직원이 총 20만 시간의 교육을 이수했다.

NH농협금융그룹 관계자는 “그룹 차원에서는 SOAR, AI 기반 보안관제 등 핵심 기술을 중심으로 체계를 구축해왔고 전자금융감독규정 등 금융권 특유의 엄격한 규제를 바탕으로 이미 상당 수준의 보안 역량을 확보한 상태”라며 "지금은 기술 발전에 따라 세부 시스템을 지속 고도화해 나가는 단계”라고 말했다.