* 본 기사는 디지털데일리가 7월1일자로 발간한 <디지털금융 혁신과 도전>2020년 특별호에 게재된 내용중 일부를 요약한 것입니다. 편집 사정상 책의 내용과 일부 다를 수 있습니다.
<2020 금융 디지털 IT전략-⑧> 2020년 주요 금융사 보안투자 전략 분석
- AI 기반 ‘지능형 보안체계’ 강화 총력, “선제적 보안 대응 능력 확보”
- 금융그룹 통합 보안 전략, 글로벌 보안 대응도 현안으로 부상
[디지털데일리 박기록, 이종현기자] 올해 국내 주요 은행들의 보안투자 전략은 인공지능(AI)에 기반한 통합보안 인프라 체계의 지능화 또는 고도화로 요약된다. 복잡하고 광범위한 ‘디지털 리스크’(Digital Risk)에 효과적으로 대응하기위해선 기존의 테마별 보안 대응 전략으로는 한계가 있다는 판단때문이다.
‘디지털 리스크’란 기존의 전통적인 금융보안 위협외에 클라우드 환경 도입, 핀테크 기업들과의 협력, 비대면 기반의 디지털 금융혁신서비스의 증가, 국내외 컴플라이언스(규제대응)의 확대 등으로 초래될 수 있는 보안 위협을 통칭한다. 데이터3법의 시행으로 '마이 데이터'시대가 본격화되면 디지털 리스크의 범위는 더 넓어지게 된다.
주요 은행들은 이같은 상황으로 인한 보안위협에 선제적으로 대응할 필요가 있다고 보고 올해 보안 전략을 마련했다. 특히 대형 금융그룹들은 그룹 계열사를 대상으로 한 통합 보안전략을 수립하고, 글로벌 보안 표준화 노력도 강화하는 모습이다.
◆우리은행 “AI를 활용한 지능형 보안관제 구현”
우리은행은 머신러닝 기술을 활용한 '예측형 통합관제시스템' 구축을 통해 사이버 보안 위협에 대한 탐지 및 대응 체계를 더욱 고도화하겠다고 밝혔다. 또한 올해 기존 보안 인프라의 안정적인 업그레이드를 기반으로, AML(자금세탁방지)와 같은 컴플라이언스측면에서 선제적 대응에 나서고 있다. AI를 활용한 ‘지능형 관제 구현’이 주요 사업이다.
이를 위한 국제 규격 개인정보보호 인증(ISO27701) 획득과 함께 글로벌 수준의 개인정보보호 역량 확보에 나선다. 레그테그(Reg Tech), 섭테크(Sup Tech)에 대한 유연한 대응을 위해 내부통제, 리스크관리 자동화도 중점 추진하고 있다.
우리금융그룹 차원의 보안 대응도 강화한다. 우리금융그룹은 지난해 말, 고객 정보보호 강화 표준정책을 수립하고 그룹 차원의 표준화된 고객 정보보호 정책 수립 및그룹사 자율 점검체계를 확립했다. 금융권 최초로 ‘ITU-T’(국제전기통신연합 전기통신 표준화 부문)를 활용해 정보보호시스템 관리영역을 체계화했다.
우리금융그룹은 지난해 6월부터 우리금융지주, 우리은행, 우리카드, 우리에프아이에스, 우리종금, 우리신용정보가 공동 참여하는 TFT를 진행했다. 우리금융그룹은 4개의 정보보호 법규(개인정보보호법, 신용정보의 이용 및 보호에 관한 법률, 전자금융거래법, 금융지주회사법)에 기반하여 각 그룹사별 특성에 적합한 맞춤형 표준 체크리스트를 도출하고 이를 토대로 그룹 정보보호 표준정책을 수립했다.
우리금융그룹은 ‘PDCA(Plan-Do-Check-Act)’기법을 활용하여 그룹 표준정책을 자율적으로 점검하게 된다. PDCA기법은 수립된 그룹 정보보호 표준정책을 준수하기 위해 그룹별 정보보호 조직과 시스템이 유기적으로 운영되는 방식이다. 우리금융그룹은 향후 신규로 그룹에 편입될 자회사의 정보보호 수준 진단에도 이번 표준 운영체계를 적용하는 등 그 활용 범위를 넓혀 나갈 계획이다.
◆농협은행 “EDR 2단계 진행, 데이터 3법 시행따른 고객정보보호 규정 변화 대응”
NH농협은행은 올해 ‘정보보안이 기본이 되는 신뢰받는 농협은행 구현’을 목표로 보안분야에 오는 2022년까지 32개 과제를 선정, 4대 중점 전략을 제시하고 있다. 올해는 9개 과제가 완료될 예정이다.
2019년부터 중점 추진해왔던 EDR(단말이상행위탐지시스템)구축 사업은 올해 2단계 사업이 본격진행된다. 지난해 약 4000대 영업점 단말기를 대상으로 EDR 1단계 시범사업을 진행했으며, 내년 3단계 사업을 통해 EDR사업의 대장정을 마무리할 계획이다.
농협은행은 ‘리스크관리 기반 정보보호 점검’ 체계를 구축해 다양한 정보보호 지표 빅데이터 분석을 통한 이상행위 즉시 점검할 수 있도록 하고, 또 머신러닝 기술을 이용한 AI 기반의 ‘정보보호시스템 운영 및 관리 업무 자동화’사업을 통해서는 취약점 점검 등을 통한 운영 업무의 효율화를 확보한다는 방침이다.
또한 농협은행은 데이터 3법이 국회를 통과함에 따라 고객정보보호 관련 규제환경 변화에 체계적인 대응에도 적극적으로 대응에 나설 계획이다. 관련하여 고객 동의제도의 내실화, 고객의 자기결정권 강화에 따른 지원, 안전한 가명처리 확립 등을 보안 분야의 주요 수행과제로 꼽고 있다.
한편 농협은행은 오는 2022년까지 차세대 ‘보안관제 대응체계 SOAR’(Security Orchestration, Automation and Response) 구축을 위한 검토작업에 올래부터 착수한다. 특히 농협은행은 침해위협 분석 대상을 내부 시스템 뿐만 아니라 외부 시스템, 핀테크 관련 영역까지 대폭 확대시킴으로써 보안위협의 방어 범위를 최대한 높힌다는 방침이다. 현재 농협은행은 오픈API를 통해 많은 핀테크 기업들과 다양한 혁신 금융서비스 개발에 나서고 있다. 오픈API를 통해 제공되는 데이터까지도 종합관제의 틀속에서 관리해 보안 위협을 줄이겠다는 의도다.
◆국민은행 “클라우드 통합관리시스템 구축, 오픈 인증체계 도입”
KB국민은행은 올해 레그테크(RegTech) 기반의 사전 예방적 정보보호체계 구축을 핵심 과제로 채택했다. 무엇보다 사용자의 업무활동에 프로세스로 연결되는 예방적 법규준수 활동 준수, 개인(신용) 정보의 라이프 사이클에 따른 법규준수 활동 준수를 주요 대응 과제로 꼽고있다.
이와함께 디지털 신기술과 오픈 생태계 확장에 대응하는 새로운 정보보호시스템 구축도 중요한 과제다. 특히 국민은행은 수탁 및 제휴업체 대상 클라우드 통합관리시스템 제공, 오픈 생태계 확장에 따른 오픈 인증체계 기반환경 조성에도 힘을 쏟겠다는 방침이다. 현재 금융 감독 당국은 해당 금융회사가 외부 클라우드 업체와 1차적으로 보안에 관한 관리 감독이 용이하도록 계약서에 명시하는 등 적극적으로 대응할 것을 주문하고 있다.
이외에 국민은행은 보안정책 효율화 및 사용자 편의성 강화, 사용자행위를 기반으로 보안정책의 슬림화 및 효율성 확보, 비대면 금융업무 확산에 따른 모바일 앱 속도 개선, 사용자중심의 FDS(이상거래탐지시스템) 고도화 등을 보안분야 중점 사업으로 꼽았다.
◆하나은행 “글로벌 보안 고도화, 국제규격에 맞는 보안관리체게 구축”
하나은행은 올해 디지털 보안 강화와 함께 ‘글로벌 부문의 정보보호 체계 마련’이 보안 전략의 핵심 과제다. 특히 디지털 보안 강화와 관련, 하나은행은 은행의 디지털전환 전략과 4차 산업혁명에 맞춰 ‘하나원스(Hana One Security), 3S(Safe, Speedy, Simple) 정책 기반의 강하고 편리한 보안 프레임워크)’이라는 하나은행만의 보안체계를 마련해 운영중이라고 밝혔다.
관련하여 하나은행은 개방형 인증 플랫폼을 개발했으며, 이를 보안 신기술과 바이오 인증 기술을 접목했다. 하나은행은 이를 기반으로 금융 서비스의 안전성과 손님의 편의성을 동시에 충족시키는 신개념의 비대면 인증 플랫폼으로써 모바일 뱅킹에 적용하고 있으며, 고객 모바일 전자금융 서비스에도 적용할 계획이다.
이와함께 하나은행은 글로벌 시장 비중이 높아짐에 따라 글로벌 보안 강화를 전한 ‘표준화, 현지화, 통합화’ 추진 전략도 마련했다. 이에따라 하나은행이 영업 중인 24개 국가의 현지 금융보안 규제를 분석한 글로벌 정보보호 표준 거버넌스 수립과 국제 보안 규격에 맞는 관리체계와 보안 인프라를 구축 중이라고 밝혔다.
하나은행은 이같은 글로벌 정보보호 체계를 올해 4월 베트남에서 1차로 적용 완료하였으며 나머지 국외점포에도 계속 적용할 계획이다. 또한 현재 구축 중인 글로벌 정보보호에 대한 객관적 입증을 위해 본국 및 국가별 시스템에 대해서도 국제적인 정보보안 인증(ISO27001) 취득도 함께 추진중이라고 밝혔다.
◆신한은행 “디지털서비스 안정성 확보위한 AI기반 보안 지능화 강화”
신한은행은 ‘디지털 서비스 안전성’과 ‘데이터(Data)보호 신뢰성’이 중요 요소로 부각됨에 따라 이와 관련한 종합적인 보안 대책을 마련해 보안 강화에 나서고 있다.
관련하여 신한은행은 올해 ‘디지털서비스 안전성 강화’와 관련한 보안투자로, ▲보안 신기술(AI 등) 적용 확대, ▲사이버보안 전문인력 육성 지속, ▲지능형 사이버 위협정보 수집 및 사전 보안진단 체계 강화를 꼽고 있다. 아울러 신한은행 뿐만 아니라 신한금융그룹 전 계열사들은 최근 디지털 기반의 혁신 금융서비스를 대폭 강화하고 있는 상황인데, 이를 안정적으로 지원하기위한 보안체계가 필요하다고 보고 있다.
신한은행은 국내 최초의 셀프뱅킹용 디지털 키오스크를 선보이는 등 전자금융 분야에서 도전적인 시도를 많이했는데 보안에서도 과감한 투자에 나선다. 이미 신한은행은 지난해 2월, 통합 앱인 쏠(SOL)에서 안면인증을 통한 비대면 실명확인 서비스를 시작했다. 계좌가 없는 고객이 비대면으로 실명 확인을 하려면 상담원과의 영상통화 과정을 거쳐야 했으나 신분증과 얼굴 영상 촬영만을 통해 연중무휴로 서비스가 가능하다.
한편 신한은행은 올해 ‘데이터 보호 신뢰성 강화’ 와 관련한 보안 투자로 ▲최적의 데이터 보호 시스템 구축 ▲데이터관리 프로세스 고도화, ▲정보보호 컴플라이언스 수준 향상, ▲4차 산업혁명시대의 정보보호 인식제고 등을 중요 과제로 꼽았다.