Cover story ∣ NH투자증권 정보보호본부 백종우 상무

즐겨찾기추가

2024.05.20 (월)

기상청 제공

해당된 기사를 공유합니다
- 가나다라마바사
- 가나다라마바사
- 가나다라마바사
- 가나다라마바사
- 가나다라마바사
- 가나다라마바사

ROUNDTABLE

Cover story ∣ NH투자증권 정보보호본부 백종우 상무

강력한 2016년 정보보호 신뢰향상 노력

방창완 편집국장 기자
등록 2015.11.27 16:08
조회수 3,302

Cover story ∣ NH투자증권 정보보호본부 백종우 상무

강력한 2016년 정보보호 신뢰향상 노력

정보보호 통합 모니터링 시스템 시도 첫해

우리투자증권과 NH농협증권 합병 이후 NH투자증권은 현재 시스템 안정기에 접어들었다. 효율적인 통합 이후에는 안정적인 시스템 운영이 중요하다. 고객들에게 신뢰를 줄 수 있는 ‘브랜드 가치’ 저변에는 항상 정보보호본부의 노력이 자리하고 있다. 지난 4월, NH투자증권 정보보호본부 출범이후, 새롭게 임명된 백종우 정보보호본부 본부장(CISO)를 만나 정보보호부서의 역할과 방향에 대한 이야기를 들어봤다.

방창완 편집국장 bang@ciociso.com


▲ NH투자증권 정보보호본부 백종우 상무

백종우 상무는 기존 정보보호팀이 본부 체제로 격상된 것은 사회적 이슈와 무관하지 않다고 주장했다. 그는 “기업 경영이 이제는 정보보호와 뗄 수 없는 상황이 됐다. 기업 브랜드 제고와 고객의 신뢰를 얻기 위한 구심점이 정보보호라고 할 수 있다. 올해는 NH투자증권이 대외 신인도를 높이는 첫 해가 될 것”이라고 말했다.

백 상무는 과거의 농협 이미지를 벗고, 대외 신인도를 높일 수 있는 것이 정보보호본부의 역할이라며, 앞으로 이런 신뢰도를 높이기 위한 다각적인 방안을 고민 중이다. 그 첫 번째가 내부통제를 강화하는 것이다. 그는 “최근의 경향이 해킹에 의한 정보 유출보다 내부 직원, 외주 직원관리 미흡에 따른 유출이 많은 만큼 앞으로 내부 취약점 점검을 강화할 것”이라고 말했다.

내부 취약점 점검은 자체 점검과 외부 컨설팅 등 두 가지로 구분된다.

NH 투자증권은 취약점 점검을 위해 전문 컨설팅 업체로부터 6주간의 진단을 받은 바 있다. 점검 대상은 내부 직원의 유출 가능성을 확인하고, 외부직원 관리가 잘 이뤄지고 있는지 점검하는 것이다. 여기서 중요한 것은 미처 파악하지 못하는 ‘홀(구멍)’을 찾아내는 것이다.

FDS 3차 작업 착수

백 상무는 “취약점을 점검하다보면 분명히 관리 프로세스의 홀을 발견하는 경우가 있다. 이 경우 미흡한 부분을 재정비하고 보완하는 정책이 반드시 필요하다”고 지적했다.

두 번째로는 지난해 구축한 FDS(이상 징후 탐지시스템)에 대한 정비도 강화하고 있다. 2013년도에 1차로, 내부적으로 FDS 시스템을 적용했고 2014년 2차 고도화를 완료했지만, 룰을 시대에 맞게 재정의 하고, 오탐율을 최소화하기 위해 올해 3차 고도화 작업에 나선다. 이런 FDS 관리 체계는 향후 빅데이터 플랫폼 기반으로 성장할 것이라는 것이 그의 견해이다.

내부 통제를 위한 연관선상에서 백 상무가 현재 세 번째 주력하는 분야는 ‘정보보호 통합 모니터링 시스템’이다. 현재 여러 가지 이슈로 인해 다양한 보안 솔루션을 적용하고 있지만, 해가 거듭할수록 솔루션 종류 수도 늘어나고, 중복되는 기능도 많아지고 있다. 이를 통합관리 함으로써 정보보호의 효율성을 확보하는 한편 상관분석을 통해 보안에 있어서 인사이트를 확보하는 작업에 주력하고 있다.

그는 이것을 일종의 ‘정보보호 포탈 시스템’으로 명명하고 있다. 백 상무는 “개인별, 부서별, 본부별로 파악을 하다보면 보안지수가 생성될 것으로 기대하고 있다. 관리 대상이 제대로 등록되어 있는지, 문서보안이 제대로 지켜지고 있는지 파악이 가능하다, 직원별, 본부별 보안지수를 파악해 향후 인사평가에 반영하는 방안을 검토 할 것”이라고 말했다.

백상무는 기업에 있어서 정보보호가 항시 이뤄지기 위해서는 이런 저런 솔루션별 장치도 필요하지만, 직원들의 ‘정보보호 의식 제고’가 무엇보다 필요하다는 점을 강조했다.

그는 사내 직원들의 정보보호 인식이 성숙되기 위해서는 지속적인 교육이 필요하다는 점을 강조했다. NH투자증권은 개인정보보호 교육을 위해 지난해 임직원과 지점별로 정보보호 교육을 실행한 바 있다. 매월 ‘정보보호의 날’을 제정해 지점, 부서별로 체크 리스트를 만들고 지침이 효과적으로 이뤄지고 있는지 점검하고 있다.

하지만 지나치게 정보보호 측면만을 강조하면 오히려 역효과를 가져올 수 있다. 그는 사업 및 본부별로 정기적인 간담회를 통해 정보보호 사안에 대해 조율하고 조정하는 작업도 중요하다고 지적했다.


▲ “취약점을 점검하다보면 분명히 관리 프로세스의 홀을 발견하는 경우가 있다. 이 경우 미흡한 부분을 재정비하고 보완하는 정책이 반드시 필요하다”

APT 고도화 실시

NH투자증권은 올해가 정보보호의 체계를 갖춰나가고 이를 첫 실행하는 단계였다면, 앞으로는 이를 정례화 하여 내부적으로 체득화하는 작업을 실행해 나갈 계획이다.

첫 번째로 정보보호 포탈을 운영해 실행하는 것으로, 데이터와 보안의 상관관계를 파악하고, 정보보호 지수를 각 임직원들에게 상시 개방해 정보보호가 잘 지켜지고 있는지 스스로 이를 파악할 수 있도록 할 계획이다. 수치화된 내용은 임직원들의 마인드 제고에 많은 도움이 될 것으로 보인다.

두 번째는 망분리 사업 진행이다. 현재 NH투자증권은 전산센터 망분리가 이뤄진 만큼 내년에 본사 및 지점망에 대한 망분리 방법에 대해 고민하고 있다. 논리적, 또는 물리적 방식을 모두 고민하고 있으며 효율적인 방법을 모색하고 있다.

세 번째는 항시 체크해야할 APT(지능형 공격)에 대한 고도화 작업이다. 신종 위협은 항시 있기 마련이기 때문에 트렌드를 파악하고 항시 대비하는 체계를 마련할 계획이다. 이와 함께 사내 중복되는 보안 기능이 오히려 사용자에게 불편을 줄 수 있다는 점을 감안해 이를 정리하고 체계화하는 작업도 진행할 계획이다.

백종우 상무는 “과거에 정보보호는 IT에만 국한된 소극적인 개념이었지만 현재는 개인정보를 비롯해 신용정보 등 전사적인 보안 개념으로 확산되고 있는 만큼 회사 전체에서 이를 관리하고 체계화하는 작업을 지속적으로 추진해 나갈 것”이라고 말했다.

방창완 편집국장 기자의 전체기사 보기