최우형號 케이뱅크, CISO 직속 정보보호팀 강화…금융사기 예방 보안망 탄탄 [은행권 IT·보안 전략]

[한국금융신문 우한나 기자] 케이뱅크가 차대산 CISO를 중심으로 정보보호 전담 조직을 운영하며 최고 수준의 보안 체계를 강화하고 있다.

ISMS-P 인증과 금융위원회 정보보호 상시평가 S등급 획득 등 관리·기술적 보안 역량을 입증했으며 은행권 최초로 ‘명의도용 전액보상’ 서비스를 출시했다. 여기에 피싱 방지 기능까지 추가해 고객 금융안전을 위한 탄탄한 보안 서비스 체계를 구축한다는 방침이다.

차대산 CISO 중심 정보보호 전담 조직 운영

케이뱅크의 개인정보보호 전담 조직은 Tech실 산하 정보보호팀이다. 해당 팀은 차대산 Tech실장(CTO·CISO) 직속으로 운영되며 ▲정보보호 정책 수립 ▲전자금융 취약점 점검 및 분석 ▲고객정보 보호체계 운영 ▲정보보호 인증 관리 및 규제 준수 ▲정보보호기술 시스템 운영관리 등을 수행하고 있다.

차대산 Tech실장은 1974년생으로 포항공대 컴퓨터공학과를 졸업한 뒤 2011년 EY한영 금융사업부 상무, 2015년 AT커니 Digital Group Associate Partner, 2017년 SC제일은행 정보시스템운영부 이사대우 등을 거쳤다.

2021년에 케이뱅크에 합류해 Tech 조직을 총괄하며 정보보호 전략과 기술 혁신을 함께 이끌고 있다.

ISMS-P 인증 유지…최고등급 보안 체계 구축

케이뱅크는 출범 첫 해 은행권 최초로 PIMS 인증을 획득한 이후 지속적으로 ISMS-P 인증을 유지해 왔다. ISMS-P는 기업의 정보보호 및 개인정보보호 관리체계가 정보통신망법과 개인정보보호법 등 관련 법률에 부합하는지 심사 인증하는 제도다. 또한 금융위원회 주관 정보보호 상시평가제에서 최고 등급인 S등급을 획득했다.
내부적으로는 개인정보보호 전담 인력이 상품·서비스별 개인정보 영향평가를 상시 수행하고, 기술적으로는 취약점 점검과 모의해킹을 통해 대고객 서비스 안전성을 확인한다.

매년 금융보안원 주관 버그바운티 프로그램에 참여해 외부 보안 전문가와 함께 서비스 안전성을 검증하고 있다.

더불어 외부 전문업체를 통한 개인정보 관리현황 점검, 고객정보 분리보관·파기 시스템 고도화 및 확대 적용을 추진 중이며 향후 가명처리 시스템 구축도 계획하고 있다.

은행권 최초 ‘명의도용 전액보상’ 서비스 출시

케이뱅크는 고객 금융사기 피해 예방을 위해 ‘명의도용 전액보상’ 서비스도 선보였다.

이 서비스는 모바일 기기 변경 시 본인 확인 절차를 강화하고, 이후 명의도용으로 인한 피해가 발생할 경우 피해 금액을 전액 보상하는 것이 특징이다. 여러 금융사가 금융사기 피해 보상 제도를 운영 중이지만, 전액 보상은 케이뱅크가 최초다.

명의도용 전액보상 서비스는 케이뱅크 고객이라면 누구나 무료로 가입할 수 있다. 케이뱅크 앱 하단의 ‘전체’ 탭에서 ‘인증/보안’ 혹은 ‘금융안심’ 메뉴를 통해 신분증 확인과 영상통화를 거치면 된다.

다만 가족·지인에 의한 명의도용, 휴대전화 양도·분실, 오픈뱅킹·펌뱅킹 등 타사 앱을 통한 피해는 보상 대상에서 제외된다.

이처럼 케이뱅크는 금융사기 예방을 위한 다층적인 안전망을 구축하고 있다. KT의 ‘AI 보이스피싱’ 실시간 탐지 기술과 명의도용 전액보상 서비스를 비롯해 한층 강화된 보안 서비스 체계를 마련할 계획이다.

케이뱅크 관계자는 “앞으로도 관리적 측면에서는 신뢰도 제고를 위해 ISMS-P 인증 유지, AI시대에 적합한 개인정보관리체계를 고도화하고 기술적 측면에서는 당행 전반의 데이터 거버넌스 고도화에 맞춰 자동화된 개인정보 라이프사이클 관리 시스템 구축, 가명화·익명화 시스템의 고도화 등을 추진할 예정”이라고 말했다.

우한나 한국금융신문 기자 hanna@fntimes.com