금융권, 자율 보안 제대로 대응하고 있나

박선 기업은행 정보보호센터장

컴퓨팅입력 :2015/06/04 18:01

손경호 기자

올해 초 금융당국이 사전규제에서 사후감사를 강화하는 방식으로 규제 패러다임을 전환하면서, 그동안 각종 규제준수에 집중해왔던 은행 등 금융회사들이 이제는 스스로 보안문제를 해결해야하는 상황에 놓였다. 공인인증서 의무사용규정이 폐지되고, 보안성 사전심의, 인증방법평가위원회 등이 사라지면서 달라진 환경이다.

4일 서울 여의도 전경련 회관에서 개최된 2015 금융정보보호세미나에 참석한 기업은행 정보보호센터 박선 본부장(CISO)은 "보안부서에서 보안점검사항을 IT부서, 본부부서, 영업점 등에 내리는 톱다운(Top-Down) 방식 대신 해당 부서들이 보안부서로 자체보안점검을 수행한 결과를 보내 취합, 총괄점검하는 형태의 바텀업(Bottom-Up) 방식의 대응이 필요해졌다"고 밝혔다.

박 본부장에 따르면 금융사 입장에서 자율보안을 위해 필요한 사항들은 크게 4가지로 정리된다.

먼저 자율보안의 핵심으로 보안부서에서만 주도하는 것이 아니라 전사참여형 보안점검시스템이 운영돼야 한다고 박 본부장은 설명했다. 기존 톱다운 방식은 IT부서, 본부부서 등에서 수동적으로 대응할 수밖에 없는 구조였다면, 이제는 각 부서에 보안에 대한 개별적인 역할과 책임을 부여하는 방식으로 전환될 필요가 있다는 것이다.

기업은행 정보보호센터 박선 본부장

두번째는 공인인증서를 대체해서 쓸 수 있는 다른 인증기술을 적용하는 일이다. 스마트OTP, 생체인증, 유심인증, NFC방식 등의 기술이 그것이다. 물론 현재 공인인증서 기반 인프라를 바꾸지 않으면서 지문이나 IC칩 내에 인증서와 개인키를 저장해 인증을 수행하는 기술에 대한 개발도 진행 중이다.

박 본부장은 "이러한 새로운 인증방식에 대해 은행들이 개별구축에 힘쓰기보다는 공동인프라를 조성해 비용을 줄이면서 민감정보를 통합관리할 수 있도록 할 필요가 있다"고 밝혔다.

관련기사

세번째로 이상거래탐지시스템(FDS) 고도화다. 이미 여러차례 강조된 것처럼 거래내역, 신용도 등 빅데이터 분석을 통해 고객등급을 분류하고, 이를 기반으로 차등화된 보안수단을 요구하며, 비정상 거래를 판별할 수 있도록 해야한다는 것이다. 은행 등 금융사들 간에는 내부DB는 물론 공통DB를 분류해 공통DB 공유체계를 마련하고, FDS를 운영하기 위해 IT보안담당자들보다도 전자금융업무를 맡고 있는 전문조직이나 인력이 필요하다고 박 본부장은 설명했다.

끝으로는 핀테크 스타트업들과 금융서비스 제휴를 위한 보안적정성 검토절차를 운영하는 일이다. 기업은행의 경우 3단계로 분류한 자체 보안적정성 검토 프로세스를 갖추고 있다. 1단계는 ISMS, ISO27001, PCI-DSS 등 정보보호관련 인증을 받은 기업들의 경우에 해당한다. 만약 이런 인증이 없을 경우 2단계로 넘어가 외부 평가기관을 통해 보안점검을 진행한 결과를 바탕으로 적정성을 검토한다. 이마저도 여의치 않은 경우 자체 마련한 20개 항목의 제휴, 위탁회사 보안점검 체크리스트를 활용해 현장점검을 마친 뒤 계약을 진행한다. 박 본부장은 "올해 5개 핀테크 스타트업들과 협력을 검토 중인데 현재로서는 1단계는 한 곳도 없었고, 3단계 수준에 머물러 있는 경우가 많았다"고 말했다.