| [편집자 주] SK텔레콤의 유심 정보 유출 사건의 여파가 오랫동안 가라 앉지 않을 전망이다. FETV에서는 게임사와 네이버·카카오 같은 IT 기업들에 이어 고객의 정보를 가장 민감하게 다루는 금융권이 보안 체계를 어떻게 구축하고 있는지 살펴보고자 한다. |
[FETV=신동현 기자] 우리금융그룹은 2021년부터 금융권 최초로 은행장이 직접 주관하는 사이버 위협 대응 모의훈련을 실시해 실전 대응 능력을 끌어올렸다. 우리은행을 중심으로 AI 기반 이상거래 탐지 시스템(AI-FDS), 자동 대응 체계(SOAR), APT 대응 시스템 등 첨단 기술을 도입했고 정보보호 책임자 임원 지정과 정기 점검 체계 구축 등 조직적 기반도 강화해왔다.
KISA 정보보호활동 공시에 따르면 우리은행은 2019년 IT 예산 3500억원 중 약 396억원을 정보보호에 사용했다. 전체 IT 예산의 11.3%였다. 이듬해인 2020년에는 470억원을 투자하며 전체 IT 예산의 14.8%를 차지했는데 이는 코로나19 확산으로 비대면 거래가 급증하면서 보안 투자도 크게 늘어난 것이 원인이었던 것으로 보인다.
2021년부터는 11.0%, 2022년과 2023년에는 각각 10.5%로 유지했고 2023년 기준 정보보호 투자액은 427억원이었다. 5년간 누적 정보보호 예산은 2111억원으로 같은 기간 평균 투자 비중은 약 11.6%를 기록했다.
인력 부문에선 전담 인력은 2019년 이후로 꾸준히 줄었다. 2019년에는 정보보호전담인력이 85명이었지만 이듬해에는 81명으로 줄었다. 이후로도 인원은 꾸준히 줄어들었고 전담 인력은 76명을 기록했다.
그룹 차원으로 넘어가면 우리금융그룹은 2020년부터 그룹은 정보보호위원회를 정기 및 수시로 운영하며 모든 정보보호 관련 의사결정을 최고경영자(CISO 포함)와 이사회에 보고하는 구조를 갖췄다. 위원회에는 IT, 전략, 준법, 리스크 부서가 참여해 그룹 차원의 통합 대응 체계를 강화했다.
2021년부터는 책임자인 정보보호최고책임자(CISO)와 개인정보보호 최고책임자(CPO)는 임원급으로 지정하며 정보보호 조직의 권한을 강화했다.
보안 시스템 개선도 꾸준히 이뤄졌다. 우리금융은 2018년부터 빅데이터 기반 통합보안관제 시스템(SIEM)을 운영해온데 이어 2019년에는 인공지능 기반의 이상거래 탐지 시스템(AI-FDS)을 강화했다. 이는 계정 탈취 시도로 악용되는 ‘크리덴셜 스터핑’ 등 신종 보안 위협에 대응하기 위한 조치였다. 또 전자금융 서비스 전반에 대해 접속 및 거래 로그를 정밀 분석할 수 있는 비대면 거래로그 분석시스템도 도입됐다
크리덴셜 스터핑은 다른 곳에서 유출된 로그인 정보를 다른 계정에 무작위 대입해 타인의 개인정보를 빼내는 수법을 말한다. 즉, 기존에 다른 곳에서 유출된 아이디와 패스워드를 여러 웹사이트나 앱에 대입해 로그인이 될 경우 타인의 개인정보 등을 유출시키는 행위라 설명할 수 있다.
2021년에는 SOAR(Security Orchestration, Automation and Response) 체계를 도입했다. SOAR는 실시간 보안 로그 분석과 자동 대응 기능을 통해 기존 탐지 중심의 보안 체계를 대응 중심으로 전환하는 역할을 한다.
2023년에는 APT(지능형 지속위협) 공격에 대응하기 위한 시스템을 구축했다. 해당 시스템은 이메일, 망 연계, 단말기 등을 통한 악성 콘텐츠 유입을 차단하기 위한 대응 체계로 그룹 차원에서 일관된 방어 전략을 추진할 수 있게 됐다.
같은 해에는 방화벽 정책 통합 관리 시스템도 도입해 정책 자동화와 과다 오픈 진단 기능 등을 통해 관리 효율성을 높였다.
체계 운영 쪽에선 실전 대응력을 높이고 있다. 우리금융은 24시간 보안관제를 통해 외부 해킹, 악성코드 감염, 시스템 이상 여부 등을 실시간으로 감시하고 있으며 침해사고 대응 매뉴얼에 따라 정기적인 훈련도 실시하고 있다. 전자금융기반시설과 공개용 홈페이지에 대한 취약점 점검은 연 1~2회 정기적으로 시행하고 있다.
해킹 수법의 고도화에 대비해 우리은행은 2021년부터 금융권 최초로 은행장이 직접 주관하는 ‘사이버위협 및 개인정보 유출 대응 모의훈련’을 실시했다. 해당 훈련은 실제 해킹 시나리오를 가정해 대응 능력을 검증하고 개인정보 유출 피해 최소화 및 복구 역량을 강화하는 데 목적을 뒀다.
또 금융보안원 주관의 클라우드 취약점 점검, 금융정보보호협의회 활동 등 외부 기관과의 협력을 통해 보안 운영의 객관성과 전문성을 확보하고 있다.
정보보호 관련 인증도 꾸준히 유지하고 있다. 우리금융그룹은 정보보호 관리체계(ISMS)와 개인정보보호 관리체계(ISMS-P)를 모두 획득했으며 2020년에는 국내 금융권 최초로 ISMS-P(정보보호 및 개인정보보호 관리체계)와 ISO27701(개인정보보호 국제표준) 인증을 동시에 획득했다.
또 ISO27017 등 국제 표준 인증도 보유하고 있으며 우리은행, 우리카드 등 그룹 전체 매출의 대부분을 차지하는 주요 계열사들은 ISMS, ISO27001 등의 정보보호 인증을 획득하고 유지하고 있다.
우리금융은 2023년 말까지 1단계 정보보호 체계 점검을 완료했다. 그리고 계열사 수준 진단 및 통합 보안관제 체계를 수립에 이어 최종적으로 올해까지 그룹 공통 정보보호 모델을 완성하고 정보보호 전략과 프로세스를 전사적으로 정착시키는 것을 목표로 하고 있다.
