종합 IT매체 CIOCISO매거진이 매주 금요일 주최하고 있는 CIOCISO 교육과정에 참여한 농협은행이 2023년의 보안 전략을 발표했다.

조형진 NH농협은행 보안기획팀장은 발표에 앞서 먼저 농협은행의 보안 부서의 체계를 소개했다. 농협은행의 보안 부서는 은행장(CEO) 직속에 있으며 정보보안부분 2부 1국 11팀, 정보보안부(CISO), 정보보호부(CPO)로 구성돼 있다.

NH농협은행은 2014년에서 2015년까지 정보보호 부분 종합 대책을 마련해 보안 시스템, 장비, 솔루션을 구축했다. 2016년부터 2018년까지는 정보보호 부분 고도화 계획을 세워 정보 보호의 고도화-효율화-정교화를 이뤘다. 최근 2019년부터 2022년까지는 비즈니스를 위한 보안, 데이터 기반 보안 등 인프라를 구축하기 위해 움직이고 있다.

이런 노력에 힘입어 NH농협은행은 금융위원회로부터 개인신용정보의 보호 수준이 매우 탁월하다는 평가를 받았으며, 금융 분야 5개 부문에서 3년(2019~2022) 연속 우수 평가를 받았다. 또한 ISO 등 국내외 다양한 정보 보호 관리 체계를 유지하고 있다.

아울러 조형진 보안기획팀장은 보안 관제 발전 상황을 언급하면서 NH농협은행이 현재 위치한 보안의 단계를 설명했다. NH농협은행은 현재 AI 기반의 SOAR을 필두로 한 제 4세대의 최신 보안 솔루션을 구축하고 있다. 

또한 NH농협은행은 최근 무차별로 발생하는 사이버 공격과 보안 경보에 대비한 사이버보안 종합 관제(SOAR)의 필요성을 느껴, 사이버 종합 관제의 자동화 시스템을 구축했다. 자동화된 보안 관제 시스템이 ▲위협탐지 ▲분류 ▲추가분석 ▲차단 ▲보고 등 모든 보안 프레임워크를 담당한다.

사이버보안관제센터를 통해 NG농협은행은 ▲위협정보 수집/분류 자동화 ▲보안 관제 프로세스 조직화 ▲이벤트 분류/워크로드 정교화 ▲보안사고 대응 표준 등이 한 번에 가능한 보안 시스템을 구축할 예정이다. 

또한 농협은행은 클라우드 전환을 위한 보안의 판도 다시 구축한다. 올해부터는 클라우드 네이티브의 기반을 확립하고 있으며, 이를 위해 보안의 새로운 패러다임인 제로트러스트로의 전환도 진행하고 있다.

이를 통해 ▲금융 컴플라이언스: 법령, 규정 ▲사람 보안: 계정 관리 ▲워크로드 보안: 보안 내재화 ▲위협 관리: 통합 가시성 확보 ▲보안 기술 적용 등 최신 보안의 5대 핵심 과제를 모두 해결할 계획이다.

조형진 보안기획팀장은 “금융 시스템의 클라우드로 전환이 급격히 이뤄지고  있다. 우리 NH농협은행은 클라우드 환경 안에서 유동적이고 효율적인 보안을 위해 기존의 폐쇄적인 경계보안의 시스템에서 탈피해 제로트러스트 기반의 종합 보안 관제 솔루션을 구축해가고 있다. 이를 통해 고객이 신뢰하는 최고의 정보보호 역량을 갖춘 디지털 뱅크로 도약하도록 하겠다”라고 말했다.