김문석號 SBI저축은행, 인력·인프라 강화 정보보호 혁신 [저축은행 정보보호 돋보기 (2)]

[한국금융신문 김다민 기자] 최근 금융권에서 해킹 사고로 인해 대규모 개인정보 유출 사태가 속출하고 있다. 많은 금융사들이 디지털화를 이뤄낸 상황에서 기존에는 제1금융권에 공격이 집중돼 왔다.

그러나 최근 비교적 보안이 취약한 제2금융권에 사이버 공격이 집중되고 있다. 이같은 상황에서 저축은행들이 고객들의 정보보호를 위해 어떠한 노력을 기울이고 있는지 살펴본다. <편집자주>

SBI저축은행(대표이사 김문석)이 인력 영입과 책무구조도 선제 도입 등을 통해 정보보호 혁신을 본격적으로 가속화하고 있다. 회사는 기술 인프라 고도화를 진행함과 동시에 정보보호 조직 전문성도 제고하며 보안 리스크에 능동적으로 대응하겠다는 방침이다.

정보보호 솔루션 도입 및 전문 인력 확보로 정보보호 강화

SBI저축은행은 자체 전산을 사용하는 만큼 디지털 보안 강화를 위해 꾸준히 고도화와 다양한 솔루션을 도입해 정보보호 강화에 힘써왔다.

최근에도 이러한 노력은 이어져 오는 모습이다. 일례로 지난달 자사 모바일뱅킹 플랫폼 ‘사이다뱅크’에 에버스핀의 피싱 탐지 솔루션 ‘페이크파인더 iOS’를 도입했다.

페이크파인더는 에버스핀의 악성앱 탐지 솔루션으로, 전 세계에 유통되는 앱 정보를 수집해 구축한 방대한 화이트리스트(White List) DB를 기반으로 정상 앱과 악성앱을 정밀하게 구분한다. 이번 도입으로 금융거래 중 통화 상태를 탐지하고, 원격제어 앱 실행 여부나 VPN 구동 여부를 확인해 최근 급증하는 아이폰 대상 피싱·원격제어 범죄를 사전에 차단할 수 있게 됐다.

또한, 서버개인정보 탐지 솔루션을 도입해 DMZ 내 위치한 서버 내 개인정보 파일 유무를 검출하고 유출 사고를 예방했다. 이에 더해, 업무 프로그램 접근 통제 강화를 위해서 차세대 인증 솔루션도 적용했다. 생체인증, 스마트폰OTP 등 아이디와 비밀번호 인증에 추가로 소지 기반 2차 인증 솔루션을 적용해 내부적으로도 통제를 강화한 모습이다.

기술적인 강화 외에도 전문 인력 확보와 역량 강화를 위해 꾸준히 투자하고 있다. 매년 정보보호 경력직 채용을 통해 전문성을 갖춘 인력을 확보하고 있으며, 이를 바탕으로 내부 보안 체계를 지속적으로 고도화하고 있다. 또한 전사 임직원을 대상으로 정기적인 정보보호 교육을 실시하고 있다.
특히, 단순한 이론 교육에 그치지 않고 실제를 가정한 모의훈련을 병행해 임직원들이 보안 위협 상황에 즉각 대응할 수 있도록 하고 있다. 핵심 보안 인력에 대해서는 정보보호 전문가 교육 과정에 참여시켜 최신 보안 기술과 규제 환경에 대응할 수 있는 실질적인 역량을 키우고 있다.

SBI저축은행은 이와 함께 사외이사에 금융감독원 출신 보안 전문가를 영입해 정보보호 책임권한과 전문성을 강화했다.

지난 4월 SBI저축은행은 이사회와 정기 주주총회를 거쳐 소현철 전 금융감독원 정보화전략실장을 사외이사로 선임했다.

소 이사는 1964년생으로 서강대 컴퓨터공학과를 졸업하고 일리노이 대학교 대학원 경영학 석사를 취득했다. 그는 1991년 증권감독원(현 금융감독원)에 입사해 IT감독국 검사지원2팀장, 기업제도공시실 전자공시팀을 역임하고 정보화전략실장을 지냈다.

2020년에는 BNK부산은행으로 자리를 옮겨 최고정보보호책임자(CISO)를 지냈으며, 2021년부터는 경남은행 CISO를 겸직한 정보보호 전문가다.

아울러, 정보보호위원회를 정기적으로 운영해 보안 관련 주요 정책과 실행 과제를 논의하고 있다. 위원회에서 결정된 사항은 이사회 및 최고경영진에 보고되고 있다.

또한, 월간 CEO 보고를 통해 당월의 보안 현황과 주요 이슈를 공유하고 있다.

특히, 중요도가 높은 사항은 별도로 주요 정보보호 현안에 대한 CEO 직접 보고 체계를 갖추고 있다. 더불어, 관련 법규 준수를 위해 개인(신용)정보보호 활동 내역 역시 최고경영진 및 이사회에 주기적으로 보고하고 있다.

책무구조도 선제적 도입해 내부통제 강화…향후 보안 체계 고도화 지속

SBI저축은행은 정보보호 강화를 위해 선제적으로 책무구조도를 도입해 내부통제를 강화할 계획이다.

저축은행의 책무구조도 제출 기한은 내년 7월 2일까지다. 그러나 SBI저축은행은 사전에 책무구조도를 마련해 시범 운용을 진행하고 금융당국에 제출할 계획이다.

이에 지난 6월 30일 삼일회계법인과 책무구조도 도입을 위한 자문용역 계약을 체결했다. 준비 과정을 거쳐 지난 8월 29일부터 본격적으로 책무구조도를 도입하고 내부통제시스템 구축 사업을 시작했다.

또한, 책무구조도 도입과 별개로 내부통제 거버넌스 체계와 영업점 자체 점검을 비롯한 각종 내부통제 활동을 진단해 발견된 문제점을 개선해 나간다는 계획이다.

이와 함께 본 프로젝트를 통해 내부통제시스템을 구축해 책무 식별 및 배분의 변화 관리, 책무에 따른 관리 조치, 영업점 자체 점검 등 각종 점검 활동을 효율적으로 수행할 수 있도록 해 내부통제 수준을 획기적으로 개선해 나갈 예정이다.

이번 프로젝트는 오는 11월 초까지 컨설팅을 마무리하고, 내년 초 내부통제시스템 구축을 완료할 예정이다. 이후 시범운영을 거쳐 책무구조도를 금융당국에 제출하게 된다.

SBI저축은행은 향후 안정적인 금융서비스 제공을 위해 전산 업그레이드와 인력 충원을 지속적으로 추진할 방침이다.

이에 더해 관제 기능을 고도화하고 전문성을 강화해 점점 정교해지는 보안 위협에도 더욱 신속하게 대응할 수 있는 체계를 구축할 계획이다. 또한, 최신 보안 위협 동향을 지속적으로 분석하고, 필요 시 신규 솔루션 도입을 적극적으로 검토하고 구축할 예정이다.

SBI저축은행 관계자는 “안정적인 금융서비스 제공을 위해 매년 전산 시스템에 대한 업그레이드와 보완 작업을 꾸준히 진행하고 있다”며 “또한 대규모 업그레이드의 필요성에 대해서도 내부에서 지속적으로 검토하고 있으며, 시장 환경과 업무 상황에 맞춰 적절한 시점에 추진할 계획”이라고 밝혔다.

그는 이어 “정보보호 부문은 단발성이 아닌 지속적인 투자와 개선이 필요한 분야인 만큼, 앞으로도 예산·인력·기술·프로세스 전 영역에서 보안 체계를 고도화해 나갈 계획”이라고 덧붙였다.

김다민 한국금융신문 기자 dmkim@fntimes.com