[디지털데일리 박기록 기자] 파도가 잔잔하다고해서 모든 것이 평화로운 것은 아니다.

그것을 유지하기위해 누군가의 치열함이 24시간 365일 쉬지않고 가동되고 있기 때문이다. 최근들어 국내 금융권 보안 조직의 역할이 더욱 주목받고 있는 이유다.

비대면 금융플랫폼 기반으로 국내 금융권의 대고객 서비스가 크게 확장되면서 DDoS, 해킹 외에 보이스피싱, 딥페이크 등 신종 ‘보안 위협’의 수단도 더욱 교묘해지고 예리해졌다.

그에 대응해 국내 금융권의 보안 전략도 이전과 비교해 상당히 정교하고 다양하게 바뀌었다.

보안 이슈가 발생했을 때 실시간의 대응 체계를 갖춤으로써 금융회사의 위기로 확산되는 것을 즉각 차단하는, 이른바 ‘선제적인 보안 위험(위기)관리’ 구축이 국내 금융권 보안부문(CISO) 조직이 공통적으로 지향하는 핵심 목표다.

BNK금융그룹은 주력 계열사인 부산은행을 중심으로 강도높은 대응 전략을 통해 우수한 정보보안 위기관리 체계를 갖췄다.

관련하여 부산은행은 ▲취약점 점검의 강화 ▲통합 보안관제 ▲개인정보 유출 모니터링 ▲금융사고 예방 교육 등 총 4단계에 걸친 정보보안 위기관리 체계를 정착시켰다.

특히 부산은행은 전자금융서비스를 포함한 모든 정보 자산에 대한 실시간 위험 평가를 통해 리스크 수준을 점수화하고 있다. 산출된 위험점수가 ‘수용 가능한 위험수준’(DOA)보다 높을 경우 즉시 위험을 제거한다.

부산은행 CISO 조직을 이끌고 있는 배진호 상무(사진)은 “현재 부산은행은 DOA보다 높은 위험은 집중 분석을 통해 즉시 제거하는 체계를 갖추고 있다”고 소개했다.

이어 “100% 완벽한 보안이란 있을 수 없기 때문에 그 위협을 지속적으로 줄어나가는 것이 우리의 역할”이라고 강조했다. ‘실시간 보안위험 관리체계’를 탄탄하게 구축하는 것이 결국 금융 혁신의 핵심 전제라는 설명이다.

BNK금융그룹은 두 주력 계열사안 부산은행과 경남은행의 CISO를 겸직 체제로 운영하고 있다. 따라서 배 상무는 부산·경남은행의 CISO 역할을 동시에 수행하고 있다.

부산‧경남은행은 ‘IT 공동 개발’ 등 이미 다양한 분야에서 표준화 전략을 통해 비용절감과 최적화 개발 프로세스를 적용하고 있다. 보안도 예외가 아니다. 사실 보안은 부산‧경남은행의 긴밀한 협력이 더욱 필요한 영역이기도 하다.

관련하여 배 상무는 “현재 부산은행과 경남은행의 시스템, 프로세스, 양식 등 가능한 부분은 표준화를 진행하고 상시 업무 수행시 정보공유 등을 통한 시너지창출, 업무효율성 향상, 업무 및 인적 백업기능 강화를 위해 노력하고 있다”고 밝혔다.

이어 “매주 화요일에는 두 은행 부장 회의를 공동으로 진행하고 각행의 이슈나 사업에 대해 해당 담당자도 참여하여 정보를 공유함으로써 부산은행, 경남은행, KB에서의 경험과 지혜를 모아 최적의 해답을 찾아나가고 있다”고 말했다.

‘개인화인증 전직원 확대 적용’ 등 올해 진행되고 있는 중요한 보안 현안을 비롯해 BNK금융그룹내 은행 계열사들의 보안대책이 더욱 강화되고, 체계화될 것으로 기대되는 이유다.

다음은 배진호 상무와의 일문 일답

▶부산은행의 7년간 노하우를 응축한 백서(‘정보보호 통합관제를 성공적으로 구현하다’)를 최근 출간해 금융권의 관심이 큽니다. 금융 보안분야에선 매우 이례적인데 특별한 계기가 있었는지요?

= 주지하다시피 AI(인공지능)까지 가세함으로써 금융 보안 위협의 수준과 범위가 상당히 넓어지고 있습니다. 금융권 전체가 대응해야할 상황이라고 생각합니다. 부산은행이 직접 현장에서 쌓은 경험과 노하우를 공유할 필요가 있고, 사회공헌 측면에서도 의미가 있다고 보았고, 또한 ESG 실천을 강조하는 은행장님의 ‘바른경영’ 기조에도 부합한다고 생각합니다.

▶KB금융그룹에서 오랫동안 IT 및 정보보호 책임자로 근무하신 후 BNK금융그룹으로 오셨는데, 그간 행보와 함께 BNK금융그룹에서 근무한 소감 및 향후 계획은 어떻습니까?

= 30여 년을 KB금융그룹 등에서 근무하면서 IT와 정보보호 업무를 담당했고 6년간 KB금융지주에서 CISO 임무를 수행했습니다. BNK금융그룹에선 비록 짧은 시간이지만 보안 정책과 보안시스템 운영 측면에서 효율성과 효과성에 대해 많이 고민하고, 업체와 협업을 통해 시스템 개선을 주도하는 등 직원들의 열정과 노력으로 이룬 많은 성과를 발견했습니다. 그동안 부산은행 정보보호부가 이룬 성과에 KB금융에서 오랫동안 근무한 경험과 지식을 녹여서 더욱 스마트하고 강력한 조직과 보안체계를 만들어갈 계획입니다.

▶올해 부산은행과 경남은행의 보안정책 방향과 중점 사업은 무엇입니까?

= 정보보호 위기관리를 사전에 준비함으로써 정보보호 이슈 자체가 발생하지 않도록 예방하는 것에 중점을 두고 있습니다. 무엇보다 보안사고가 회사의 위기로 확대되지 않도록 회복탄력성(Resilience)을 갖춰 대응함으로써 회사와 고객의 피해를 최소화한다는 전략입니다.

구체적으로 두 은행 모두 서버, 네트워크, 보안시스템 등에 대한 ‘취약점 점검’ 절차를 강화하는 한편 통합보안관제시스템과 24시간 365일 보안관제시스템을 운영해 표적형 공격 랜섬웨어의 효율적 방어, 랜섬 디도스의 공격도 지속적으로 모니터링하고 있습니다. 특히 ‘개인정보 유출’ 흐름을 실시간 파악하기위한 개인신용정보 보호체계 강화도 중요한 과제입니다.

대포통장 인출 사기, 보이스피싱 등의 금융사고에 대응해 빅데이터 분석과 AI를 활용해 적극적으로 방어하고 있으며, 금융사기 예방 교육 및 캠페인 등을 통해 금융사고 예방에도 중점을 두고 있습니다.

▶최근 부산은행은 ‘챗GPT 보안 수칙 10계명’을 수립했습니다. 어떤 목적으로 추진하게 되었는지 알고 싶습니다.

= ‘챗GPT’는 훌륭한 도구지만 사용자의 부주의가 기업의 중요정보 및 개인정보 유출 등으로 이어져 법적책임까지 받을 수 있습니다. 따라서 챗GPT로 발생할 수 있는 위험에 사전 예방하고자 기획했습니다.

앞서 부산은행과 경남은행 임직원 대상으로 한 달여간 교육을 실시했으며, 오프라인 교육은 제가 직접 진행하고 온라인 교육은 은행의 유튜브 채널을 통해 전파했습니다. 교육자료를 준비하다 보니 챗GPT와 관련한 보안 자료가 많이 없고, 대다수의 기업들이 보안상 위험하다는 이유로 챗GPT 사이트의 접속 차단 조치로만 해결하려고만 합니다.

이는 근본적인 해결 방안이 아니라고 생각합니다. 직원들은 회사가 아닌 곳에서 얼마든지 사용 가능해 오히려 회사 내부자료를 반출하여 활용하는 계기를 만들어 주게 됩니다. 따라서 내부 사용을 권장하고 제대로 활용할 수 있는 방법인 올바른 보안 가이드를 제공하는 게 우리의 역할이라고 봅니다. 부산·경남은행은 이번 가이드라인을 통해 ‘챗GPT 보안 수칙 10계명’을 생활화할 계획입니다.