금융 기획 ∣ 은행권 2016년 보안계획

즐겨찾기추가

2024.05.19 (일)

? Operation now in progress (115)
n

기상청 제공

금융 기획 ∣ 은행권 2016년 보안계획

해당된 기사를 공유합니다
- 가나다라마바사
- 가나다라마바사
- 가나다라마바사
- 가나다라마바사
- 가나다라마바사
- 가나다라마바사

NEWS

금융 기획 ∣ 은행권 2016년 보안계획

“사람에 대한 관리” 강화에 최우선

방창완 편집국장 기자
등록 2016.01.06 12:22
조회수 2,934

금융 기획 ∣ 은행권 2016년 보안계획

“사람에 대한 관리” 강화에 최우선

IBK기업은행, 위수탁 회사 보안관리 철저

우리은행, 정보역량 강화와 현장 점검

한국씨티은행, 당국 요구사항 준수와 교육 활성화

2016년 새해가 밝았다. 하지만 은행의 보안부서는 늘 긴장감을 갖고 업무에 임하고 있다. 보안의 속성상 만일의 사태에 항시 대비하는 것이 최선의 안전책이기 때문이다. 올해 다양한 보안정책을 수립한바 있는 은행들은 시스템 구축을 넘어서 사람에 대한 교육, 협력사 관리로 보안 범위를 넓혀가고 있다. IBK기업은행, 우리은행, 한국씨티은행의 보안 계획을 통해 보안 패러다임의 현재와 향후 방향에 대해 알아본다.

방창완 편집국장 bang@ciociso.com

Ⅰ. 개요: 2016년은 취약점 점검과 시스템 고도화에 주력

2016년 국내 시중은행들은 미연의 사태에 방지하기 위한 다양한 장치를 마련하고 있다. 국내 주요 은행인 IBK기업은행, 우리은행, 한국씨티은행 등은 내외부 물리적 보안장치를 마련하는 한편 취약점 점검과 시스템 고도화를 위한 모니터링 강화에 나서고 있다.

은행들은 ‘사람에 대한 관리’부분을 가장 우선적인 보안 관리로 꼽고 있다. 그만큼 어렵고 쉽지 않은 분야라는 것. 일반적인 계도성 교육으로는 안전을 꾀할 수 없기 때문에 직접 모니터링을 통해 취약점을 점검하고, 현장 방문교육으로 보안의 위험성을 알리고, 개선하는데 나서고 있다.


▲ 각 행별 2016년 보안계획

이외에 내부 직원 교육 및 현장점검, 협력사에 대한 보안교육등에 관심을 기울이고 있다. 아무리 내부적으로 보안 체계가 마련됐다고 해도 외부 협력사의 보안 상황이 취약하면 은행 자체에도 위협요소가 될 수 있기 때문이다.

따라서 기본적으로 업무를 수행할 때 기본절차를 마련하고, 이 기준에 의거해 업무를 수행하는 한편 상시점검 체계를 마련해 취약 부분에 대한 구멍을 촘촘히 하는데 많은 노력을 기울일 계획이다.

이와 함께 지금까지 구축했던 APT, 문서보안, DB암호화, APT(지능형위협), 네트워크 취약점 분석, 모니터링 등에 대한 고도화 작업에도 나선다. 개별적으로 구축했던 시스템들을 합리적으로 운영하고, 미진한 부분을 개선하기 위해서다.

이 같은 은행들의 보안을 위한 노력은 초기 개별 시스템 구축을 넘어서, 2016년도에는 보안 시스템 고도화와 통합 운영, 모니터링, 현장교육으로 그 범위가 점점 확대될 것으로 보인다.

Ⅱ. 각 행별 동향

1. IBK기업은행, 위, 수탁회사 철저한 보안관리 수행

IBK기업은행은 올해 첫 번째로 위수탁회사에 대한 철저한 보안관리에 우선적으로 주력할 계획이다. 현장에 나가서 직접 점검도 하며, 수준을 관리하고, 교육자료를 위수탁 회사 CEO에게 전달하는 적극적인 방법을 취하고 있다.

IT 시스템 규모의 특성상 위수탁업체가 많은 IBK기업은행은 상대적으로 중소기업들이 많은 점을 감안해 이에 대한 관리가 필요할 것으로 보고, 동영상 자료와 같은 교육 커리큘럼을 직접 위수탁 회사 CEO에게 전달하고 관리하는 방법을 앞으로 다양화 할 계획이다.

외부 침입 적극대처

두 번째는 외부해킹, 디도스 공격, 악성메일 등 외부침입에 대해 적극적인 대응방식을 취한다는 것이다. 과거에는 암호화 공격 방어에 취약한 부분이 있었지만 시스템을 정교화 해 이를 방어하는 기술을 향상시켰다. 해킹 시도로 인한 로그인 데이터를 빅데이터와 연계, 이를 분석하고 방어하며 새로운 방어 시스템으로 활용하는 방법을 취하고 있다.

과거에는 빅데이터를 활용한 접근법을 취하지 못하고 육안으로 파악하는 수준이었지만, 추출 기법을 도입하고, 자동화 솔루션을 통해 이를 사전에 잡아내는 노력을 기울일 계획이다.

내부정보, 전문 계약·개발자 관리 철저히

세 번째로는 내부적으로 직원 및 외부개발자, 전문 계약직에 대한 보안 관리를 철저히 한다는 것이다. 마케팅 등 업무 특성상 전문직을 채용하는 경우가 많지만, 채용기간이 제한되어 있어 이직시 자료가 유출될 우려가 있다는 것. 따라서 PC의 입출력 장치를 통제하고, 필요에 의한 개인정보 출력시 반드시 책임자를 통해 결재 받는 방식을 취하고 있다.

사내 파일은 항상 암호화를 하고 있으며, 해제가 필요한 경우는 반드시 팀장 결재를 받는 등 꼭 보안 절차를 밟도록 하고 있다.

IT 개발자의 경우는 USB에 대한 원천적인 차단을 추진하고 있다. 물리적으로도 PC에 별도의 테이프를 붙여 내부의 하드디스크를 변용하는지를 파악할 수 있게끔 하고 있다. 직원들이 자리 이동시에도 PC 화면을 통해 자료가 유출될 수 있는 점을 고려해 화면 보안기능이 작동하도록 조치를 취하고 있다.

결국 외부 침입에 대한 세부 분석을 통해 적극적으로 방어하고, 사전에 침해될 수 있는 경로를 차단하며, 내부적으로는 자료 유출에 대한 가능성을 철저하게 통제한다는 것이 IBK기업은행 정보보호부의 내년도 보안사업의 핵심 골자이다.

IBK기업은행은 본점과 영업점을 망라해 직원들이 필요시 USB를 사용하게 되면 이에 대한 승인 절차, 문서암호화와 같은 다양한 보안툴을 현업에서 통합적으로 쉽게 사용할 수 있는 방법도 모색할 계획이다.

체계화된 보안관리시스템 필요

개별적으로 사용하고 있는 보안 아이콘들은 늘어날수록 사용하기에 복잡할 수 있으며 여러 아이콘을 사용하다보면 업무에 상당한 불편을 초래할 수 있다. 따라서 이를 매뉴얼 화 해 통합적으로 관리하고 사용하기가 쉬운 ‘보안관리시스템’체계를 마련할 계획이다.

또한 IBK기업은행은 보안 시스템들이 주로 DMZ 구간과 방화벽 등 주로 보안도구들로 구성되어 있지만, 향후에는 이를 통합해서 감시, 관리할 수 있는 통합 모니터링 체계에 대한 필요성을 인식하고 있다.

이와 관련해서 이를 자회사로 확장해 정보보호 체계를 공유하고, 사례를 학습하는 방법도 검토하고 있다. 상대적으로 시스템면에서 IBK기업은행이 규모가 크기 때문에 전체적인 그룹차원에서 자회사인 IBK투자증권, 저축은행, 연금보험 등에 대한 보안 통합관리 시스템에 대한 필요성을 인식하고 있는 것이다. 당장은 아니더라도 향후 이런 부분에 대해 장기적으로 검토하고 있다.

2. 우리은행, 정보역량 및 현장점검 강화

우리은행은 2016년에 체계적인 정보보호 및 보안통제 활동을 통해 고객이 신뢰하고 고객정보의 가치를 알아주는 은행으로 인식될 수 있도록 노력할 계획이다. 이에 대한 구체적인 실천방안으로 정보보호 역량강화와 컴플라이언스 적시대응, 현장 점검 및 지원강화, 보안적기 대응 등 4가지 부분에 대한 보안정책을 진행할 계획이다.

첫 번째로, 정보보호 역량강화는 외부적 위협요소에 대한 대응와 내부적 위협요소 대응으로 나뉜다. 외부적 위협요소 대응의 경우는 지능형 해킹위협으로부터 대응키 위해 기존 시스템과 구간별 APT 대응 시스템을 추가로 구축키로 했다.

또한 침해 발생시 사고 원인을 분석해 감염경로, 원인 및 대응방안을 수립하는 네트워크포렌식 시스템을 구축한다. 내부적 위협의 경우는 출력물이 생성, 인쇄, 유통, 보관 파기 될 때까지의 일련의 라이프사이클 관리를 통한 정보 유출방지를 위해 고도화를 진행키로 했다.

컴플라이언스에 적시 대응

두 번째는 컴플라이언스에 적시 대응하는 것이다. 보유기간이 경과된 고객정보를 삭제 하거나 분리 보관하는 시스템을 구현하고 고객이 자신의 정보를 이용하거나 다른 곳에 제공한 사실을 조회할 수 있는 시스템을 구축한다.

이와 함께 금융감독 방향에 적기에 대응하기 위해 자율점검을 상시적으로 실시하고, 문제 소지의 경우는 기획 점사를 실시하기로 했다.

세 번째는 현장점검과 지원을 강화하는 것이다. 우리은행은 전문가 집단으로 이뤄진 진단팀을 운영해 모의해킹을 실행하는 한편 영업점 PC에 대한 정밀진단, 국외점포에 대한 현장점검과 지도롤 통해 보안사고 예방에 나서기로 했다. 이와 함께 복잡한 각종 서버를 효율적으로 진단하기 위한 자동 진단시스템도 구축한다.

상시 현장점검으로 사고 방지

또한 영업점의 자율교육 신청과 요주의 영업점, 수탁업체에 대한 보안의식을 고취하기 위해 입점 모니터링과 현장교육도 실행하기로 했다. 네 번째로 보안 경쟁력을 높이기 위한 적기 대응책으로 차세대시스템에 대한 보안 컨설팅을 진행하는 한편 주요 거래처에 대해 정보보호 자문 서비스도 수행하기로 했다.

3. 씨티은행, 당국요구사항 준수와 교육 집중

한국씨티은행은 2016년에 당국의 법적인 충족요건을 맞추는 것이 주요사안인 만큼 감독규정에 의거한 요구들을 충족하는데 많은 부분 프로젝트를 진행하고 시스템을 고도화해 나갈 계획이다.

따라서 신용정보법, 개인정보법 등 요구 충족을 위한 추가 프로젝트를 비롯해 실제 계획대로 이행되는지의 여부와, 모니터링, 점검 및 교육 분야에 집중한다는 것.

한국씨티은행은 문서에 대한 분리보관이 의무화됨에 따라 올해 이를 분리 보관하는 시스템을 체계화했다. 또한 예금거래 신청시 주민번호를 스캔하게 되는데 지문 및 번호 부분을 일괄 삭제하는 방법을 취한 바 있다. 이밖에 망분리 프로젝트도 진행해 사내 및 외부적으로 침해받을 수 있는 요인을 모두 차단하는데 많은 노력을 기울였다.

또한 씨티은행은 물리적인 출입통제를 비롯해 프린터물 인쇄시 보안내부 규정에 의거해 실행하도록 이를 체계화 하는 한편 외부메일을 보내는데 있어서의 다양한 보안규칙을 적용했다.

보안 집합교육 상시 운영

비즈니스 요구에 따라 새로운 시스템이 구축될 때마다 이에 대한 보안성을 검토하는 방법도 만들고 예방 및 사후보안점검 방법에 대한 프로세스를 갖춰나간 바 있다. 2016년에는 우선적으로 한국씨티은행 고객정보보호부가 앞으로 가장 집중하는 분야가 보안교육 부분을 강화하는 것이다.

한국씨티은행은 앞으로도 전 직원을 대상으로 집합교육 및 사이버 교육을 확대해 나갈 계획이다. 현재 전 직원을 대상으로 직원별로 연간 6시간의 교육을 실행하고 있다. 보안부서의 경우는 12시간의 교육 커리큘럼을 마련하고 있다.

보안사고가 사람에 의해 이뤄지는 부분이 많을 수 있기 때문에 실제적인 교육을 통해 중요성을 각인시키고 체득화 하는 작업이 중요하다는 생각이다.

특별히 내부 직원 교육을 위해 이메일 및 물리적 보안에 대한 지침을 전달하고, 사고시 이에 적극적으로 대응하는 방법에 대한 4시간 정도의 강의를 진행할 계획이다. 현장 교육을 통해 흔히 벌어질 수 있는 사고를 예방하고, 대응해 나가기 위한 작업의 일환인 것이다.

외주, 협력사 별도 보안교육 실행

또한 내부 직원뿐만 아니라 외주관리도 특별히 신경을 쓰는 분야다. 씨티은행은 외주 및 협력사에 대해서도 보안 점검을 체계화하는 한편 별도의 교육 프로그램도 가동하고 있다. 내부적으로 보안시스템이 아무리 잘 갖춰져 있다고 해도 협력사와 긴밀히 협력하는 작업이 많기 때문에 특별히 신경을 쓰고 있는 부분이다. 협력사와 작업시 보안순서를 적용하고, 이에 대한 이행여부를 점검하는 절차를 체계화해 나갈 계획이다.

이와 함께 씨티은행은 감독 규정에 따른 추가 프로젝트의 경우, 오는 2017년 까지 실행하도록 되어있는 DB암호화와 프로젝트를 비롯해 FDS(사기방지시스템) 고도화 작업에도 나설 계획이다. DB암호화에 따라 저하될 수도 있는 성능부분을 보정하고, FDS를 위한 다양한 패턴을 쌓아 시스템을 정교화 해나가기로 했다. 이런 작업들은 항시 본사의 글로벌 네트워크 시스템과 균형을 맞춰 실행해 나가는 부분이어서 세심한 시스템 구축작업이 필요하다.

또한 씨티은행은 오는 2018년까지 주민번호 뒤에 기재된 지문을 삭제하는 것이 의무화된 만큼 이에 대한 실행에도 나설 계획이다. APT의 경우는 전 세계 글로벌 시스템에서 최신 침해 기법을 공유하고 있는 만큼 새로운 침해정보를 실시간으로 습득하고 방어하는 체계를 갖춰나가고 있다.

방창완 편집국장 기자의 전체기사 보기