은행권, 망분리 프로젝트 가동한다
당국시책 맞춰 대부분 2015년까지 마무리

올해 빅 프로젝트 부재에 따라 업무 효율성에 초점 맞춰

다사다난했던 2013년이 지나가고, 2014년 새해를 맞이했다. 2013년 지난 한 해는 은행권에 있어서 그 어느 때 보다 시련이 컸던 한 해였다. 연말에 가서 연이어 터진 SC은행 및 시티은행 등 보안사고로 은행권은 초 긴장 상태에 접어들었다. 가뜩이나 경기도 어려운 시점에서 이런 정보유출 사고는 은행권 IT부서의 사기를 떨어뜨리기에 충분했다.
하지만 지난 세월 동안 연이어 일어난 보안 사고는 그동안 성장에만 치중했던 은행권에 시스템을 정비하고, 재도약하는 계기를 마련해 줬다. 보안에 대한 중요성과 보안부서의 존재가치를 일깨워주는 계기가 된 것. 현재 은행권은 내외부적으로 취약한 부분을 점검하고, 새로운 성장모델을 찾기 위한 움직임이 분주하다.

방창완 편집국장 bang@ciociso.com

은행권 IT 분야는 과거의 급성장 시기처럼 전면적인 시스템 구축은 당분간 어려울 것으로 보인다. 지금까지‘차세대’라는 명목으로 진행됐던 모든 IT 시스템들은 이제 어느 정도 구축이 이뤄진 상태며, 경기 상황으로 인해 최대한 지출을 자제하면서 시스템을 리뉴얼하고 업그레이드하는 수준에서 진행될 것으로 보인다. 금융당국의 가이드라인에 맞춰 올해부터는 본격적인 망분리 작업이 이뤄질 예정이며, 스미싱 및 신종 지능형 공격으로 인한 피해를 막기 위한 APT 도입, 내·외부 보안 관리를 위한 점검 및 취약점 분석 작업이 이뤄질 전망이다.
이와 함께 새로운 성장 동력을 위해 스마트폰을 이용한 새로운 비즈니스 모델의 확립과 빅데이터 프로젝트에 대한 가능성 모색, 클라우드 컴퓨팅을 활용한 신규 비즈니스 모델에 대한 고민이 지속적으로 이뤄질 것으로 보인다.

미래 차세대 프로젝트의 모델

이종육 KDB산업은행 IT기획부장은“앞으로는 IT가 비즈니스를 선도할 수 있는 방향으로 가야 한다”며 “향후에는 차세대 프로젝트도 기획 업무에 대한 전산화 방향으로 갈지도 모른다”고 전망했다. 일하는 방식의 지속적인 변화와 이를 시스템화하는 것이 진정한 차세대의 방향이 될 것이며, 기존 시스템의 리모델링이 50% 라면, 나머지는 새로운 업무와 빅데이터 프로젝트에 활용되는 것이 나머지가 될 수 있다는 것.
클라우드컴퓨팅 환경의 발전은 종국에 가서는 개인 PC에 자료를 보관해 왔던 업무관행이 변화한다는 것을 예견해 준다. 정보의 축적과 공유 그리고, 분류체계가 신속하게 이뤄지기 위해서는 클라우드컴퓨팅을 활용한 업무환경이 적절하기 때문이다. 빅데이터 활용에 있어서는‘개인정보 활용에 대한 적절한 가이드라인’이 꼭 필요하지만, 활성화를 위해서는 정보보유기관 및 통신사, 카드사와 제휴를 통한 데이터 분석이 활발하게 이뤄져야 할 것으로 보인다.
이종육 부장은 앞으로 차세대 방향에 대해 빅데이터와 클라우드 컴퓨팅이 주류를 이루겠지만, 이런 최신 시스템을 통해 비즈니스 모델을 어떻게 만들고, 지원해 나갈 것인가가 향후 차세대 프로젝트의 방향이 될 것이라고 전망했다. 또한 과거와 같이 일률적인 컨설팅을 답습해서 시스템의 그림을 그리는 것보다는 창의적인 발상과 생각을 통해 새롭게 아이디어를 구체화하고, 이를 반영하는 노력이 필요하다고 강조했다.
과거에 금융권은 보통 10년여마다 시스템을 구축했던 것이 관행이었다. 하지만 이제는 30 ~ 50년마다 시스템을 구축하는 패턴으로 변화할 필요가 있다는 것이다. 10년마다 시스템을 구축한다는 것은 비용을 낭비할 우려가 있으며, IT 부서원들에게도 리스크와 상당한 피로도, 예산에 대한 부담을 줄 수 있다. 이런 의견은 주로 외부 패키지 및 솔루션에 의지했기 때문에 이뤄지는 관행으로 보인다.
애초에 설계에서부터 유연한 시스템을 구현해야 하며, 이를 기반으로 최신의 트렌드와 아이디어를 반영한‘융복합 서비스’의 구현이 앞으로 나아가야할 차세대의 방향이 될 것이라는 것이다.

서춘석 신한은행 CISO는“올해는 기존 시스템을 장애 없이 효율적으로 운영하는 것이 과제”라고 말했다. 시스템에 투자하는 개념보다는 내부적으로 인력을 키우고 업무에 대한 고도화 및 정보보안 조직체계를 강화하는 내실화가 필요하다는 것이다.
정보보안의 경우, 디도스나 APT(지능형공격)을 막는 것 외에도 내부에서 유출될 수 있는 개인정보를 보호하는 체계가 이뤄져야 한다는 것이다. 과거의 사례에서처럼 영업점과 직원이 연류된 보안사고 방지는 한도 끝도 없는 작업이 될 수 있으며, 보안범위도 커지기 때문에 이를 어떻게 효율적으로 시스템화 하는가가 과제가 될 것이라는 것이다.
단순한 솔루션 투자보다는 필요사항들을 세밀하게 챙겨서 통합개념으로 연계 및 관리할 수 있는 체계가 마련돼야 하며, 이는 IT 보안정착을 위한‘거버넌스 체계 확립’이 될 것이라고 강조했다. 이런 재점검이 장기적으로 보안사고를 미연에 방지할 수 있는 해법이 될 수 있다는 것이다.
이와 함께 서춘석 CISO는 비즈니스를 견인할 수 있는 새로운 트렌드를 모색하는 노력도 필요하다고 말했다. 현재 빅데이터가 업계에 화두가 되고 있지만 단순 유행보다는 “활용 가치를 어떻게 할 것인가”에 대한 진지한 고민이 필요하다고 말했다. 현재까지 쌓아놓은 추론 수준의 데이터보다는 효용가치를 찾아내는 지혜가 필요할 때라는 것.
현재 은행들의 경우, 대면 채널과 비대면 채널(스마트폰, 인터넷, 자동화 기기)등이 산재돼 있는데, 채널별로 데이터를 어떻게 활용할 것인가에 대한 고민과 활용에 있어서도 법적 체제 안에서 이뤄질 수 있는 방안을 모색해야 할 때라는 것이다. 그는“글로벌을 위해서도 기존의 거래위주의 계정계 시스템 외에 정보계 시스템에 대한 활용도를 높일 필요가 있다”고 말했다.

지능형 공격에 대비한 시스템 구축 가속화

금융당국의 금융권 망분리 지침에 대한 가이드라인이 발표되면서 각 은행권들의 망분리 사업도 가속도가 붙고 있다. 대부분의 은행들이 망분리를 계획하고 있거나, 이미 시스템 구축에 들어간 상태이다. 외환은행도 올해부터 하나은행과 하나대투증권, SK증권과 함께 표준화된 형태로 지주차원에서 망분리 작업에 들어갈 예정이다. 이와 함께 3.20 사태 이후 불거진 지능형공격(APT)을 방어하기 위한 사전 준비작업도 진행할 계획이다.
김기현 외환은행 IT정보보안실장은“짧은 시간 안에 외부 침해 요소를 모두 감지한다는 것은 어려운 일이기 때문에 단계적으로 중요한 사안부터 진행해 나갈 것”이라고 말했다. 이를 위해서는 외부 인입에 대한 요인들을 점검하고, 회사 내부의 취약점 분석과 향후에는 빅데이터 형식의 경우의 수를 점검하는 것이 필요할 것이라고 전망했다.
보안에 대한 요소가 워낙 다양하고, 하루가 다르게 신종 바이러스 및 지능형 공격이 진행된다는 점을 감안해 우선은 외부 위협요소에 대한 감지와 차단과 같은 기초적인 작업부터 진행할 계획이다. 김기현 실장은 기업의 보안관리를 위해서는 신종 침해에 대한 분석과 대응도 중요
하지만, 내부적인 조직체계도 중요하다는 점을 강조했다.
보통 CISO를 선임하게 되면 조직체계가 나눠져야 하는데, 임원급을 선임하게 될 때 이를 어떤 규모에서 어떤 형식으로 구성해 나갈지 밑그림을 그리는 작업이 필요하다는 것이다. 자체적으로는 준법조직이 별도로 있지만, 이 조직과 향후 마련되는 보안 신설조직이 CISO 관리 산하에서 상호 유기적으로 연결될 수 있는 업무 체계가 이뤄져야 할 것으로 보고 있다.

보안 위해서는 금융당국의 정책적 배려가 필요하다

보안에 있어서는 사기 진작도 중요한 부분이다. 지난해부터 보안에 대한 중요성이 더욱 강조돼 왔지만, 회사 조직 내에서의 위치와 직위를 통한 실질적인 배려가 필요할 것으로 보인다. 그나마 금융당국의 가이드라인이 마련되면서 인력 및 예산에 대한 명시가 구체화돼 보안부서의 위치나 업무역할이 명확해진 부분은 있다.
하지만 기업 보안의 실효성을 높이기 위해서는 무엇보다 금융당국의 다양한 정책적 배려가 필요한 상황이다. 보안부서가 실질적으로 조직속에 녹아들어가기 위해서는 기업 자체의 노력도 필요하지만, 채찍 위주의 처벌보다는 협력을 통해 선순환을 이루는 구조로 점차 바뀌어야할 것으로 보인다.
전자금융의 활성화에 따라 비대면 채널에 대한 거래 비중은 80% 이상이 넘을 정도로 올라와 있다. 하지만 이를 관리해야하는 보안부서 입장에서는 기존의 보안 및 전자금융으로 인한 파생업무를 아울러야 하며, 개인정보 발효에 따른 부담감이 따른다. 또한 외주 인력관리에 대한 어려움도 포함되면서 관리 범위가 상당히 넓고, 그만큼 책임감이 따르는 만큼 큰 어려움이 있다. 업계에서는 종합대책에 대한 가이드를 명확히 하는 것도 중요하지만, 실제 감독당국에서 감사를 할 때에 보안지침을 따르는지에 대한 관리를 해주면서 취약한 부분을 가이드해주는 정책적 배려가 필요하다고 강조하고 있다.
업계의 한 관계자는“보안 선진화를 위해서는 당국에서도 면책과 같은 제도적 효율화가 필요하다. 업계와 보안의식을 함께한다는 사고가 필요한 시점이다. 사실‘중이 제 머리 깎기가 힘들다’는 말처럼 기업 자체적으로도 자구노력도 필요한 부분이지만, 공동시설이나 협업을 통해 서로 간에 이런 위협요소들을 체계적으로 관리해 나가는 지혜가 필요하다”고 말했다.
다른 관계자는“보안에 있어서 거버넌스 의식이 필요한 때다. 하지 말아야할 것과 해야할 것에 대한 명확한 제도는 필요하지만, 규제위주의 제도는 각 기업의 자율권을 침해하게 되면서 수동적으로 대응하는 경향으로 흐를 수 있다”고 말했다.
또한 보편적인 위협요소나 하나의 기업이 감당하기 어려운 사안에 대해서는 서로 위협요소에 대한 부분을 공유하는 방법도 필요하다는 지적도 있다. 서로 정보 공유를 통해 필요이상의 자원에 대한 낭비요소를 제거하자는 의견이다.
NH농협은행도 올해 센터 및 영업점에 대한 망분리 사업을 추진할 계획이다. 영업점에 있어서는 PC 한 대에 망분리 소프트웨어를 탑재하는 형식의 논리적 망분리를 검토하고 있다. 올해 2월부터 프로젝트가 시행되면 업체선정을 통해 추진에 들어가게 되며, 13개월 정도의 구축 일
정을 계획하고 있다.
지난 11월 27일에 의결된 전자금융감독규정 개정안이 공표됨에 따라 일정 규모 이상의 금융기업들은 전산센터를 2014년 말까지, 본점 및 영업점은 2015년 말까지 구축하는 것으로 명시돼 있다. 이에 따라NH농협은행은 센터와 영업점에 대한 망분리 프로젝트를 동시에 구축하면서 효율화를 꾀할 계획이다. 우선은 지역농축협과 농협중앙회, 농협은행이 망분리 프로젝트를 추진할 계획이다.
육동관NH농협은행의 차장은“올해 보안 정책의 틀은 큰 줄기 흐름에서 각각 금융 업무 형태를 살펴보면서 필요한 보안 요소를 반영하는 것으로 맞춰져 있다. 내부적인 시스템 보안과 공개용 웹서버 보안, 사용자 PC 보안, 이용자(고객)의 PC 보안”이라고 설명했다.

올해 주요 시중은행들의 IT 정책은 그동안 관행처럼 이뤄졌던‘차세대 프로젝트’에 대한 추진이 이제는 서서히 막을 내리고 내실을 기하면서 새로운 패러다임에 탄력적으로 대응하는 방향으로 바뀌어 가고 있다. 경기가 어려운 요소도 있지만, 이는 지금까지 한길을 보고 달려왔던 프로젝트 관행이 이제는 뒤를 돌아보고 재점검을 해보자는 의미로 해석될 수 있다.
IT의 선진화는 고도화와 안정성과도 연결되어 있다. 특히 안정성의 주요 핵심은‘보안’이라고 할 수 있다. 금융당국의 지침에 따라 국내 주요 시중은행들은 망분리 작업을 추진해야 하지만, 앞으로는 특정 솔루션보다는 전체적인 관점에서 바라볼 수 있는 거버넌스 관점의 보안 체계 확립이 이뤄질 것으로 전망된다. 그동안 경험 없이 주먹구구식으로 이뤄졌던 보안 인프라가 하나둘씩 서서히 자리를 잡아가는 첫 해가 될 것이라는 것이 업계의 견해이다.
이와 함께 신규 비즈니스를 위한 끊임없는 탐색 작업도 이뤄질 것으로 보인다. 빅데이터와 클라우드 컴퓨팅, 스마트폰을 이용한 신규 비즈니스 모색이 주를 이룰 것으로 보이며, 시스템 구축 방식은 필요 사항을 선택적, 혹은 단계적으로 구축하거나 부분 리뉴얼을 통한 프로젝트가 이뤄질 것으로 전망된다.

Interview| 원영남한국은행전산정보국정보보호팀팀장 장기적 보안강화 위해서는 공유와 협업이 필요하다 한국은행 전산정보국 정보보호팀의 원영남 팀장은 보안현황에 대해“서로 공유를 통해 사전에 위험을 방지할 수 있는 협업체계가 필요한 시점”이라고 말했다. 보통 해커들은 비용대비 효과를 꾀하기 때문에 물리적인 시간과 돈을 투자해서 공격을 하더라도 성공이 어려운 경우는 아예 공격대상에서 제외하는 경우가 많다는 것. 그는 인터넷이 보편화되면서 몇 달 혹은 몇 년에 걸쳐 단말기를 공격하는 지능적인 해커들의 공격을 막아내기 위해서는 두뇌 싸움과 지구력이 뒷받침돼야 하는데 이를 감당할 힘이 얼마나 있을지 우려가 된다고 말했다. 이를 해결하기 위해서는 서로가 갖고있는 애로를 토로하고, 노하우를 공유하는 공동대처가 필요하다고 지적했다. 이것은 문화의 고도화 작업이 될 수 있으며, 기술만으로 해결할 수 있는 부분은 아니라는 지적이다. 물리적인 보안인력 수준은 항상 부족한 것이 현실인 만큼, 공동 대처를 통해 상호의 여려움을 해소할 필요가 있다는 지적이다. 투자를 통해 인력을 확보한다고 해도 이를 유지시키고 발전시키기 위해서는 지속적인 노력이 필요하다. 젊은 세대들의 경우, 특히 보안에 대해 의식이 약하며, 클라우드컴퓨팅과 모바일에 익숙해 있기 때문에 보안이 적용된 업무 환경에 익숙하지 못한 경우가 많다. 이들이 업무에 익숙하게 하기 위해서는 설득하고 납득을 시켜야 하는데, 거시적인 차원에서 보면 직원 전체의 공감대 형성과 함께 업무방식에 있어서 새로운 변화도 필요하다고 말했다.