금융분야 정보보호 강화와 선제적 보안을 추구하는 현업 실무자의 경험담이 공개됐다. KB국민은행 정보보호팀장이 산업분야 특성에 맞는 자신의 정보보호 활동 내역을 실무사례 중심으로 직접 소개해 눈길을 끈다.
KB국민은행 함창호 팀장은 19일 오후 서울 삼성동 코엑스 시큐리티넥스트컨퍼런스(SNC) 현장에서 '국민은행에서 적용하고 있는 정보보호 활동 및 효과(사례 중심으로)'라는 주제의 강연을 진행하며 금융분야 특성을 고려한 정보보호 조직 구성, 강화 방안을 제시했다.
함 팀장은 금융분야 정보보호 업무의 특성은 비금융권 IT보안에 비해 요구사항이 복잡하고 다양하다고 주장했다. 업무상 고려해야 할 보호대상 범위가 넓고 다양하며 보호해야 할 정보도 여러가지고 다양한 규제 영향아래 있다는 것이다.
그에 따르면 비금융권 기업들의 IT보안은 전산센터의 서버, DB, 메인프레임 등 인프라와 직원PC나 모바일 기기 정도를 보호대상으로 잡고 회사 기밀을 보호할 정보라 보며 개인정보보호법, 정보통신망법을 준수하며 행정자치부, 한국인터넷진흥원, 한국정보화진흥원 등의 방침을 따른다.
금융분야 정보보호 시나리오는 전산센터뿐아니라 전국 영업점과 본부 인프라까지 포함하고, 클라이언트 범주도 고객PC, ATM, 공과금수납기, 번호표순번기, POS단말기 등 다양하다. 고객정보뿐아니라 금융거래나 이체거래정보까지 보호해야 한다. 신용정보보호법, 전자금융거래법, 금융지주회사법, 전자금융감독규정, 금융소비자보호모범규준 등을 준수하며 금융감독원, 금융결제원, 금융보안연구원의 방침도 따라야 한다.
KB국민은행은 이런 환경 속에서 사이버 테러 등 위협 증가에 따른 대응과 피해 최소화를 위한 선제적 대응 체제로의 전환을 시도했다. 기존 보안시스템운영 중심 조직이었던 정보보안팀을 2011년 침해대응 중심 조직으로 키운 'IT보안관리부'로 확장한데 이어, 2013년 취약성 제거와 보안통제까지 맡는 '정보보호본부'로 확대 개편한 것이다. 정보보호본부는 내외부 통합보안관리와 컴플라이언스 권한 및 책임을 맡고 조직의 정보보안뿐아니라 개인과 고객 정보에 대한 정보보호까지 아우른다. KB국민은행의 정보보호본부는 최고정보보안책임자(CISO)아래 정보보호부(CPO)를 두고 보안기획, 보안점검, 보안대응, 개인정보보호, 전자금융보호 등을 비롯한 6개팀으로 조직됐다. 연간예산은 기존 수십억에서 세자리수 억대로 증액됐고, 투자방향은 인프라보다 인적자원 중심으로 바뀌었다.
정보보안팀은 시스템 개발과 운영, 서버 및 솔루션 운영, 유지보수 등을 주업무로 하는 15명 규모 조직이었다. KB국민은행은 2009년 7.7 DDoS 대란과 2011년 3.4 농협전산망마비 이후 IT보안인력 22명 수준의 규모로 주 역할을 침해대응 중심으로 전환한 IT보안관리부로 개편했다. 모의해킹, 취약성 점검, 침해사고 대응을 하다가 2013년 3.20 사이버테러 발생 시점 이후 통합로그분석, 통합모니터링, APT대응분석, 보안교육, 대내외보고서, 이상징후탐지 활동을 시작했다. KB국민은행은 이 부서를 2013년 11월 취약성 제거 및 보안통제 중심 업무 조직인 정보보호본부로 개편했다. 비IT보안인 개인정보보호, 전행고객정보 통합관리, 전자금융보안, 국외점포관리 등 업무도 담당한다.
이후 KB국민은행은 3대 정보보호 패러다임을 만들었다. 이는 단편솔루션이 아닌 '종합보안', 전 직원 보안문화 확산을 위한 '가르치는 보안', 부탁이 아닌 '통제하는 보안'으로 표현된다.
종합보안은 정보보호 대상 및 모니터링 방법에 따라 IT환경에 적정한 보안아키텍처 수립과 관리 추구를 뜻한다. KB국민은행은 그 일환으로 전자금융 이상거래, 개인정보 통합 관리 시스템을 빅데이터와 룰 기반으로 통합 구성했다.
가르치는 보안은 정보보호본부 조직내 제한된 정보보호 인력으로 2만2천여명에 달하는 조직내 사용환경의 보안 수준을 높이기 위한 전략이다. 본부는 전 임직원 대상 보안서약 및 정보보호 인식개선 캠페인과 보안교육, 단일화된 보안관련 상담전화 운영을 통한 영업점 업무지원, 악성이메일 모의해킹 훈련, 위수탁업체 보안교육 및 점검 등 활동으로 '전 행원의 정보보호 담당자화'를 추구했다.
통제하는 보안이란 당국의 2013년 7월 '금융전산보안강화 종합대책'에 따라 제재 및 통제 역할을 수행하고 있음을 의미한다. 기존엔 무선랜이나 USB기능 차단 등 솔루션기반의 보안정책을 적용하는데 그쳤다면 이제는 차단과 더불어 정책 공지, 준수여부 점검 등 보안관제활동을 통해 정책 위반시 사유서 청구, 정보보호위원회 회부 등 징계 프로세스를 진행하는 방식이다.
관련기사
- “개인정보, 제3자 제공-위수탁 구별기준 모호”2015.08.19
- "사이버 보안 위협, 보는 만큼 막는다"2015.08.19
- "핀테크발 자율보안, 간편인증으로 대응"2015.08.19
- "IT 시스템 최고권한계정...일회용 비밀번호 필수"2015.08.19
KB국민은행은 정보보호본부의 통제효과 견인을 위해 정보보호 관련 KPI 평가기준을 마련했다. 수행실적과 정보보호 관련 아이디어 제출 등 활동을 통해 가중치별 가점이 주어지는 방식이다. 매년 7월 '정보보호의 날' 행사시 정보보호관련 포상을 통해서도 이를 독려했다. 지속적인 통제를 통해 정보보호의식이 개선돼 고객정보 반출 및 악성코드 감염 사례가 감소했다는 게 내부의 평가다.
KB국민은행은 금융정보보호 조직을 구성하고 정보보호 의식수준을 높인 데 더해 선제적인 보안 조치로 전사적 망분리, '삼성 녹스'와 결합한 모바일 영역보안 도입, 고객 주민등록번호 보호를 위한 'KB-PIN'을 도입하기도 했다. KB국민은행의 망분리는 PC 하나를 업무영역과 인터넷영역으로 구분하고 환경간 교차된 파일 작업을 제한하는 방식으로 3만대 PC에 적용한 사례다. 삼성 녹스는 KB국민은행 스타뱅킹에 적용됐고 KB국민앱카드가 녹스를 적용한 삼성페이를 통해 서비스된다. KB-PIN은 고객정보수집 최소화를 위해 주민등록번호를 대체한 식별번호로 쓰인다.
