정길호 OK저축은행 대표, 조직 재정비 정보보안 강화 박차 [저축은행 정보보호 돋보기 (1)]

[한국금융신문 김다민 기자] 최근 금융권에서 해킹 사고로 인해 대규모 개인정보 유출 사태가 속출하고 있다. 많은 금융사들이 디지털화를 이뤄낸 상황에서 기존에는 제1금융권에 공격이 집중돼 왔다. 그러나 최근 비교적 보안이 취약한 제2금융권에 사이버 공격이 집중되고 있다. 이같은 상황에서 저축은행들이 고객들의 정보보호를 위해 어떠한 노력을 기울이고 있는지 살펴본다. <편집자주>

OK저축은행(대표 정길호닫기정길호기사 모아보기)이 최근 조직 재정비에 속도를 내면서 정보보호 역량 강화에도 박차를 가하고 있다.

최근 일어난 연이은 금융사고와 정보보안 사고로 금융당국의 점검과 규제가 강화되는 상황에서, OK저축은행이 정보보호 내실화와 내부통제 시스템 고도화에 무게를 두는 모습이다.

대표이사 직속 정보보안부 독립 운영...임직원 보안 교육 강화

OK저축은행은 정보보안의 중요성을 반영해 별도의 독립부서인 정보보안부를 대표이사 직속으로 두고 있다.

이와 동시에 정보보호위원회도 대표이사 직속으로 운영하고 있다. 정보보안부는 회사의 보안사고 예방을 위한 감사와 점검, 교육, 업무 위수탁 관련 개인신용정보보호 실태 현장 점검을 맡아 진행하고 있다.

OK저축은행의 정보보호최고책임자는 김민호 이사다. 그는 1969년생으로 오레곤주립대학교 대학원에서 컴퓨터공학박사를 취득했다. 이전에는 OK금융그룹의 계열사인 아프로파이낸셜대부에서 정보보안부장을 역임했었다.

지난 2023년에 OK저축은행으로 자리를 옮겨 정보보호최고책임자를 맡았으며, 지난 2월 7일 재선임돼 내년 1월 31일까지 임기를 부여받았다.

정보보호최고책임자는 회사의 정보보호 정책 및 계획을 수립하고, 보안 로드맵을 제시한다. 전사적 정보보호 관리체계(ISMS) 구축·운영하는 동시에, 금융감독 규정에 따른 점검과 보고체계까지 총괄하고 있다.
아울러, 보안리스크 요인을 분석하고 대응 시나리오 수립하며, 조직 전반의 보안 의식 제고를 위해 임직원 대상 정기 교육을 진행한다.

이와 함께 금융감독원, 금융보안원 등 외부 기관의 점검 및 보고 의무를 수행하고 있다.

OK저축은행은 정보보호를 핵심 경영과제로 인식하고 있다. 정보보호 강화를 위해 정보보호 현황과 주요 정책들을 정기적으로 논의하며, IT·정보보호 전문인력 확보에도 힘쓰는 중이다.

회사는 정보보호 및 보안 전담 조직을 운영하며 전문 인력을 지속 확보하고 있다. 기존 임직원을 대상으로 보안 교육 및 보안 인력 전문 교육을 진행하며 최신 위협에 대응할 수 있는 역량을 강화하는 전략도 병행 중이다.

OK저축은행 관계자는 "당사는 향후 정보보호 부문 강화를 위해 관리 감독 강화, 보안 교육 강화, 전사 보안 문화 장착 등을 지속적으로 추진해 나갈 방침"이라고 밝혔다.

다만, 자체 전산의 정보보안을 더욱 강화해야 하는 상황에서 정보보호 예산이 줄어든 점은 부정적이다. OK저축은행은 타 저축은행과 달리 독특한 전산 체계를 보유하고 있다.

현재 국내 저축은행 79곳 중 67곳이 공동 전산망을 사용하고 있는데, OK저축은행은 절반만 자체 전산을 사용하고 있다.

여신은 독자 전산을 보유하고 있지만, 수신 등 기본 계정계 업무는 저축은행중앙회의 통합 전산망을 이용하고 있다. 같은 대형 저축은행인 SBI저축은행과 웰컴저축은행 등이 여·수신 독자 자체 전산망을 구축한 것과는 상반된 행보다.

지난 2023년 차세대 시스템을 오픈하며 자체 수신 전산망 구축을 검토했으나, 이후 추가로 진행된 것은 없다.

이러한 상황에서 회사는 정보보호 예산을 지난해 81억원에서 올해 57억원까지 줄인 것으로 알려졌다.

이와 함께 정보보호 인력 비율도 줄어든 것으로 전해진다. 개인정보 유출이나 해킹 사고가 최근 제2금융권에서 빈발하는 상황에서 내년에는 정보보호 예산과 인력 확대가 필요할 것으로 보인다.

내부통제 강화해 정보유출 방지…준법감시인도 교체해

OK저축은행은 내부통제 및 임직원 정보유출 방지를 위한 노력도 이어가고 있다. 전 직원 대상 보안 의식 제고 및 정기 교육을 진행 중에 있으며 접근 권한 제한, 로그 모니터링 등과 함께 모든 문서를 암호화해 보관 운영 중이다. 내부통제 제도도 병행 운영 중이다.

회사가 지난 7월 준법감시인을 교체한 점도 눈길을 끈다. 지난해 재선임 됐던 김영삼 이사의 임기는 오는 2026년 7월까지였지만, 임기를 채우지 못하고 자리에서 물러나게 됐다. 새 준법감시인으로는 김진영 OK캐피탈 이사가 선임됐다.

김진영 이사는 1965년생으로 하나은행과 하나금융지주에서 준법지원부장을 역임했다.

그는 OK홀딩스에서 준법지원부 담당 임원을 역임했으며, OK캐피탈에서는 자문위원을 지냈다. 하나금융에서의 준법지원 경험을 통해 OK저축은행의 내부통제를 한층 강화할 수 있을 것으로 기대된다.

이와 동시에 OK저축은행은 위험관리위원회의 역할을 강화하기도 했다.

지난 2월 20일 지배구조 내부규범 제정을 통해 이사회의 내부통제 감시 역할에 중점을 두고 위험관리위원회의 역할을 강화했다.

이에 따라 이사회 내 설치된 위험관리위원회는 당국의 가이드라인에 맞춰 기존 내부통제위원회가 수행했던 내부통제의 기본 방침 및 전략 수립 등 내부통제 관련 전반을 심의, 의결하는 상위 기관이 됐다. 향후 위험관리위원회 내 내부통제위원회를 별도로 분리해 운영할 예정이다.

책무구조도 도입을 위해 본격적인 준비에도 나섰다. 저축은행 중앙회가 지난 6월 발족한 책무구조도 도입을 위한 태스크포스(TF)에 OK저축은행도 참여했다.

OK저축은행은 자산규모 7000억원 이상으로, 내년 6월까지 금융당국에 책무구조도를 제출해야 한다.

해당 TF를 통해 저축은행은 공통으로 표준안을 마련할 계획이다. 다만, 비슷한 규모의 대형사인 SBI저축은행이 조기 도입을 위해 지난 5월 컨설팅 업체로부터 관련 자문을 구하고 있다.

이에 OK저축은행도 표준안 제작 이후 회사의 상황에 맞게 변형해 도입할지 관심이 집중된다.

김다민 한국금융신문 기자 dmkim@fntimes.com