정진완號 우리은행, 시나리오 기반 FDS로 보안 강화...보이스피싱, 협업으로 예방 [은행권 IT·보안 전략]

정보보호본부 중심 전사 보안 컨트롤타워 구축
FDS·기관 협업 통해 금융사고·보이스피싱 예방

정진완 우리은행장

[한국금융신문 우한나 기자] 우리은행이 정보보호본부를 중심으로 한 전사 보안 체계와 시나리오 기반 이상징후 검사시스템(FDS) 도입을 통해 금융사고 예방에 나섰다. 여기에 고객 정보보호 강화, 국제 인증 취득, 유관기관 협업까지 더해 IT·보안 전략 전반에서 선제적 대응 체계를 구축하고 있다.

전사 보안 지휘하는 정보보호본부

정진완號 우리은행, 시나리오 기반 FDS로 보안 강화...보이스피싱, 협업으로 예방 [은행권 IT·보안 전략]

우리은행은 준법감시인 산하에 정보보호본부를 두고 전사적인 정보보호 업무를 총괄하고 있다.

임원급인 정보보호본부장이 정보보호최고책임자(CISO)와 개인정보보호책임자(CPO)를 겸임해 개인(신용)정보보호 업무까지 통합 관리하는 체계를 마련했다.

현재 정보보호본부는 윤태진 본부장(상무)이 이끌고 있다. 윤 본부장은 1971년생으로 선린상고와 숭실대 회계학과를 졸업했으며 2021년 우리은행 정보보호부 부장을 거쳐 본부장 자리에 올랐다.

정보보호본부는 정보보안 관련 내부감사 및 대내와 검사총괄을 담당하며 산하에 정보보호부를 두고 있다. 정보보호부는 ▲정보보호 전략 및 전자금융보안대책 수립 ▲이상금융거래(FDS) 및 보안서비스 기획·운영 ▲보안시스템 도입 및 정책관리 ▲보안성 심의 및 보안취약점 점검 ▲국외영업점 정보보호 전략·정책 수립 및 점검 ▲개인(신용)정보보호 관련 제도 실행 및 관리 등 업무를 맡고 있다.

부서 인력은 총 43명으로 부장 1명, 부장대우 2명, 부부장 5명, 차장 7명, 과장 6명, 대리 2명, 계장 8명, 사무행원 3명, 전문직 9명으로 구성됐다.

우리은행은 ‘전자금융감독규정’ 권고 기준을 상회하는 인력과 예산을 배정해 집행하고 있으며 정보 유출 방지를 위해 화이트해커 및 보안관제 전문인력을 운용 중이다. 또한 개인정보보호법, 신용정보법, 전자금융거래법 등 관련 법규를 철저히 지키며 정기적으로 준수 여부를 점검하고 있다.

고객정보보호 강화로 신뢰 제고

우리은행은 고객정보를 안전하게 보호하기 위해 PC 보안, 문서 암호화, 내·외부 네트워크 망분리, 지능형 지속공격(APT) 대응시스템 등을 구축해 운영하고 있다. 서버와 DB 접근 시에는 OTP 및 생체인증 등 추가 인증체계를 적용해 비인가자의 접근을 통제한다.

전산센터에는 X-Ray 검색대와 금속탐지기를 설치해 휴대용 저장매체 및 전산기기 반출입을 통제하고 PC 반출 시에는 포맷을 의무화해 정보 유출 및 보안사고를 예방한다.

또한 전 임직원을 대상으로 정기적인 정보보호교육과 캠페인 실시, 자가 보안진단을 통해 보안 인식을 제고하고 있다.

고객의 개인정보는 법에서 요구하는 최소한의 범위 내에서만 수집·암호화해 보관하며 이용 목적이 달성된 정보는 즉시 파기한다. 고객정보를 위탁하는 경우에는 수탁자의 관리 실태를 점검해 유출·변조·훼손을 방지하고 있다.

우리은행은 과학기술정보통신부 고시에 따른 기준을 충족해 금융보안원으로부터 국가공인 정보보호·개인정보보호인증 ISMS-P를 획득했으며 국제표준화기구로부터 ISO27001·ISO27701 인증도 취득했다.

아울러 만일의 사고 발생에 따른 재무적·비재무적 피해 가능성에 대비해 개인정보보호 및 전자금융거래 배상책임보험에 가입, 집단소송 등으로 발생할 수 있는 손실 위험을 최소화하고 있다.

FDS로 금융사고 예방 체계 고도화

우리은행은 선제적 금융사고 예방과 내부통제 혁신의 일환으로 금융사고 패턴을 활용해 이상징후를 탐지하는 ‘이상징후 검사시스템(FDS)’을 도입했다.

은행권 최초로 시나리오 기반 부정거래 검사시스템을 현업에 적용하게 됐으며 축적된 데이터를 바탕으로 지속적인 고도화를 추진하고 있다.

해당 시스템은 ▲대출 취급 시 연소득 허위 입력 ▲허위 자금용도 증빙자료 제출 ▲고객 모르게 정기예금 해지 후 편취 등 과거 금융사고 사례나 취약 유형을 분석했다. 이를 기반으로 영업점 업무 마감 시간 이후에도 특정 이상거래 징후를 포착할 수 있는 행동 패턴 시나리오를 생성해 동일 유형의 사고 재발을 효과적으로 방지할 수 있게 됐다.

행동 패턴 시나리오에 따라 이상거래가 탐지되면 검사시스템 모니터링을 통해 해당 거래가 즉기 식별되고 담당 검사역에게 알림과 자료가 전달돼 신속한 검사가 가능하다.

유관기관 협업으로 보이스피싱 예방 강화

우리은행은 유관기관과의 협업을 통해 보이스피싱 예방 활동을 강화하고 있다.

최근에는 LG유플러스와 보이스피싱 피해예방을 위한 업무협약(MOU)을 체결했다. 양사는 이번 협약을 계기로 ▲보이스피싱 수법 공유 및 협업사항 발굴·추진 ▲피해 예방을 위한 지원 체계 마련 ▲실무 협의체 운영을 통한 세부 실행계획 수립 등 보이스피싱 피해 예방을 위한 협력을 강화하기로 했다.

또한 향후 정기 협의체를 구성해 정보 공유 및 공동 대응 프로세스를 구체화하고 보이스피싱 피해 확산을 막기 위한 기술적·제도적 협업을 본격화할 방침이다.

아울러 우리은행은 보이스피싱 예방 전문기업 ‘씽크풀’과 손잡고 AI 기반 체험형 보이스피싱 예방 교육 서비스 ‘하마터면’을 WON뱅킹에 제공한다.

이 서비스는 실제 범죄 상황과 유사한 시뮬레이션을 제공해 고객이 사전에 위험을 인식하고 대응할 수 있도록 돕는다.

우한나 한국금융신문 기자 hanna@fntimes.com