윤호영號 카카오뱅크, 제로트러스트 보안 고도화…임직원 교육·모의해킹 점검 병행 [은행권 IT·보안 전략]

PIS·기술팀 투트랙, 민경표 CISO 총괄
자체 보안통합분석시스템 기반 위험 관리
보안 전문가 조직 화이트햇과 협업도

윤호영 카카오뱅크 대표

[한국금융신문 우한나 기자] 카카오뱅크가 글로벌 보안 패러다임인 ‘제로트러스트(Zero Trust)’ 전략을 앞세워 선제적 보안 체계 구축에 속도를 내고 있다.

민경표 정보보호최고책임자(CISO)를 중심으로 정보보호 컨트롤타워를 운영하며 디지털 환경에 대응하는 최신 기술 도입과 내부 교육, 모의해킹 점검을 병행해 전사적 보안 역량 강화에 나서는 모습이다.

민경표 CISO 체제, 정보보호 컨트롤타워 운영

윤호영號 카카오뱅크, 제로트러스트 보안 고도화…임직원 교육·모의해킹 점검 병행 [은행권 IT·보안 전략]

카카오뱅크는 전문화된 정보보호 조직을 바탕으로 신뢰받는 관리체계를 운영하고 있다.

관련 법령에 따라 자격 요건을 갖춘 임원을 정보보호최고책임자(CISO)와 개인정보보호책임자(CPO)로 지정했으며 정보보호의 독립성을 확보하기 위해 최고정보관리책임자(CIO)와는 역할을 분리하고 있다.

또한 정보보호최고책임자를 위원장으로, IT와 준법 업무 관련 임원 등을 위원으로 하는 정보보호위원회를 구성했다. 정보보호위원회는 카카오뱅크의 주요 정보보호 사안을 심의·의결하며 보안 정책의 컨트롤타워 역할을 맡고 있다.

정보보호 부문은 PIS(Privacy & Information Security)팀과 정보보호기술팀으로 나뉘어 개인정보보호 내부통제 기준 및 정보보호 정책 수립, 사이버 침해 시도 및 위협 대응 등의 업무를 수행하고 있다.

카카오뱅크 CISO는 민경표 정보보호실장이다. 1970년생인 민 실장은 1997년부터 2012년까지 한국투자증권 IT전략 담당자로 근무했으며 2012년부터 2016년까지는 한국투자증권 정보보호 담당을 맡았다. 2016년 카카오뱅크에 합류한 뒤 정보보호기술팀장을 거쳤으며 2022년부터는 CISO로서 전사 보안 전략을 총괄하고 있다.

관련기사 #카카오뱅크 #정보보호실 #민경표 #내부통제 #모의해킹

카카오·뱅크·페이 셋 모였다...코인 사업 ‘재시동’카카오뱅크, 코인원 실명계좌·CBDC 모의실험 노하우로 디지털자산 사업 채비 [인뱅 스테이블코인 전략]윤호영號 카카오뱅크, 소상공인 포용금융 '진심'…개인사업자 대출 누적 4조 육박 윤호영號 카카오뱅크, 상반기 순익 14%↑…비이자수익 증가로 성장 우려 '불식' [금융사 2025 상반기 실적]윤호영號 카카오뱅크, AI로 잡아낸 스미싱 3.7만건 분석…대응 체계 강화

카카오뱅크 정보보호 조직 체계 / 사진=카카오뱅크

제로트러스트 기반 선제적 보안체계 구축

카카오뱅크가 AI, 클라우드, 오픈소스 등 기술 활용이 확대되는 환경 변화에 맞춰 지능화되는 외부 침해 시도에 대응하기 위한 최신 보안 체계를 강화하고 있다.

자체 개발한 보안통합분석시스템을 통해 내외부 시스템 로그의 상관관계를 분석하고 고객정보 이상 접근 징후, 내부 정보 유출 시도 등 다양한 위험 시나리오를 적용해 리스크를 관리한다.

외부 솔루션 의존도를 낮추기 위해 자체 기술연구 역량도 강화하고 있다. 보호 로직을 직접 개발해 보안위협 대응에 활용하고 있으며 고객정보와 뱅킹시스템이 위치한 네트워크는 외부 통신망과 물리적으로 분리해 침해 위험을 차단한다. 업무상 연결이 필요한 경우에도 기술적 보호조치와 책임자 승인을 의무화하고 데이터 중요도와 사용 용도에 따라 네트워크 존을 분리해 피해를 최소화하고 있다.

또한 보안사고 대응 지침과 개인정보 유출사고 대응 매뉴얼에 기반해 비상 연락체계를 운영하고 있으며 금융보안원 등 전문기관과 연계한 통합보안관제센터를 통해 24시간 365일 실시간 보안 모니터링을 수행한다.

특히 카카오뱅크는 글로벌 보안 패러다임으로 주목받는 ‘제로트러스트(Zero Trust)’ 전략을 중장기 계획으로 추진 중이다. 제로트러스트는 ‘누구나 보안을 위협할 수 있다’는 원칙에 따라 내외부를 막론하고 모든 정보체계 접근 요청을 철저히 검증하는 최신 보안 모델이다.

올해는 제로트러스트 정책에 따라 비인가 단말기 또는 상태 변경 단말기의 접속 차단, 데이터 접근 요청 모니터링 강화 등의 프로세스를 도입하며 내부 보안을 한층 강화했다. 카카오뱅크는 앞으로도 제로트러스트 기반의 보안 기술 연구와 신기술 도입으로 새로운 보안위협에 선제적으로 대응한다는 방침이다.

임직원 역량 강화·보안 문화 확산 주력

사내 보안 문화 확산과 전사적 정보보호 인식 제고에도 나섰다. 전 임직원을 대상으로 개인정보보호 교육을 의무화하고 있으며 정기 교육뿐 아니라 상시 외부 교육 참여를 장려해 보안 역량을 꾸준히 강화하고 있다.

또한 최신 랜섬웨어 공격 사례와 대응 방안을 담은 랜섬웨어 주의 공지를 전사에 안내해 임직원들의 경각심을 높이고 있다.

정기적 교육 과정에서는 직군별 특성을 반영해 개발·비개발 직군으로 나눠 맞춤형 교육을 진행한다. 서면 교육자료와 퀴즈 풀이 방식으로 운영해 실질적인 이해도를 높이고 있다.

매년 1회 정보보호 관리체계 운영 전반과 전사 정보자산을 대상으로 취약점 분석 및 평가를 실시한다. 더불어 연 3회 이상 모의해킹을 통해 외부 침해 가능성을 점검하는 등 정기적인 보안 점검을 이어가고 있다.

최근에는 보안 전문가 조직인 화이트햇과 협업해 실제 공격자 관점에서의 모의해킹 점검을 준비 중이다. 이를 통해 취약점을 선제적으로 발견하고 보안 체계를 한층 강화한다는 방침이다.

우한나 한국금융신문 기자 hanna@fntimes.com