IBK기업은행 정보보호부 서일석 본부장은 부임 이후 올해를 돌아보면서, 은행 내에 정보보호 체계를 확고히 하는데 많은 노력을 기울인 한해라고 밝혔다. 물리적 망분리를 본부부서는 물론 전 영업점까지 적용했으며, 정보보호관리체계(ISMS) 획득, 철저한 내부통제로 정보유출 방어, 외부 사이버 공격에 대한 선제적 대응으로 정보침해 무사고를 달성했다. 그러나 아무리 완벽하고 다양한 보호장치를 갖춰도 인적유출 통제가 제대로 이뤄지지 않는다면 모든 노력들이 무용지물이 될 수 있다. 따라서 내년에는 전 직원은 물론 위수탁 업체 임직원에 대한 정보보호 교육에도 많은 노력을 기울일 계획이다.

 

방창완 편집국장 bang@ciociso.com

 

 

IBK기업은행이 보안에 있어서 첫 번째로 중요하게 생각하는 점은 외부 사이버공격에 대한 방어부분이다. 

 

 

 

 

IBK기업은행은 내년에 해킹분석 기법을 더욱 고도화할 계획이다. 해킹로그의 빅데이터 분석을 통해 지능적인 해킹공격도 실시간으로 탐지, 분석 및 차단할 계획이며, 이를 위해 현재 운영 중인 관제시스템을 최신 시스템으로 재구성할 계획이다. 

 

또한 탐지 못하도록 암호화되어 공격하는 각종 악성파일들과 링크들도 이를 사전에 탐지해  내부시스템으로의 접근을 원천 차단할 계획이다. 대량 디도스 공격에 대한 대응방안을 현재 절차보다 1단계 추가한 5단계 방어체계를 갖추고, 또한 노후화된 방어장비를 대용량 장비로 교체함으로써 성능개선은 물론 방어대상 시스템도 확대할 계획이다.

 

두 번째로는 보안 취약점에 대한 지속적 점검 및 개선이다. 서일석 본부장은 “해커들의 공격 기법은 수시로 변하고 꾸준히 발전하고 있다. 끈질기게 목표 타겟을 대상으로 취약점을 찾고 공격하기 때문에 운영시스템 및 패키지 소프트웨어는 물론 자체 개발 프로그램도 취약점을 지속적으로 분석해 수정하고 보완해야 한다. 소프트웨어 변경 내용을 추적해 취약점을 찾아내어 상시적으로 점검하는 체계를 만들겠다”고 말했다. 

 

 

세 번째로는 내부시스템 통제 및 관리체계 강화 부분으로, 서버별 사용자별 접근통제와 로그 리뷰를 활용해 운영자 및 개발자들의 서버 사용내역 모니터링을 더욱 강화할 계획이다. 특히 개인정보보호와 관련해 고객정보 DB의 대량조회 등 특이한 작업의 모니터링은 중점 점검 대상이다. 

 

 

 

 

국외지점의 인터넷 환경도 현지 인터넷에서 은행 인터넷으로 전환함으로써 본국과 동일한 환경의 보안수준을 갖출 계획이다. 또한 외부로 반출되는 자료는 자동파기 기능을 설정함으로써 일정기간 경과시 자동 삭제토록 할 계획이며, 복사 및 출력도 제한된다. 

 

현재 외부 방문객 출입시 휴대폰에 사진촬영 방지용 스티커를 부착중이지만, 스마트폰 앱을 활용해 촬영은 물론, 녹음, 데이터 전송 등의 기능도 작동되지 않도록 할 계획이다. 

 

보안의 핵심은 ‘직원들의 마인드’ 

 

네 번째로는 내부의 직원 관리 및 교육 부문이다. 

 

의무교육인 온라인교육 이외에도 공개형 와이파이의 위험성, 애드웨어 제대로 사용하기, 악성메일 감별방법, 랜섬웨어 예방 등 우리 주변에 노출된 많은 공격들로부터 스스로 보호할 수 있도록 예방법들을 이해하기 쉽게 애니메이션으로 제작해 직원들에게 배포 하는 등 많은 노력을 기울이고 있다. 

 

직원교육 이외에 추가로 위수탁 업체에 대한 관리 및 교육도 매우 중요한 부분이다. 현재 직간접적으로 IBK기업은행에는 80여개의 위수탁업체가 있으며 이들에 대한 보안 관리가 제대로 이뤄지지 않으면 예기치 않은 사고가 발생할 수 있다는 것. 

 

 

 

 

내년도에는 계약체결부터 사후관리업무까지 전산화를 할 계획이며, 업체의 자체적인 교육은 물론 대표자 및 직원들에 대한 교육도 기업은행에서 직접 실행해 이 부분을 더욱 강화할 계획이다.

 

서일석 본부장은 “비즈니스가 잘 이뤄질 때가 가장 위험한 시기라는 말이 있듯이 보안도 조용하고 아무일 없을 때가 더욱 조심해야 하며, 항상 긴장의 끈을 놓지 말아야 한다”고 강조했다. 정보보호부의 역할이 앞으로도 끊임없이 위험요소를 찾고 이를 방어하는 장치를 마련하는 것이며, 한시도 손을 놓을 수 없는 것이 보안 영역이라는 것. 

 

IBK기업은행 정보보호부는 올해 IT 보안 체계를 공고히 다지고 다양한 시스템을 준비하느라 보다 바쁜 한해를 보냈다. 내년에는 더욱 고도화된 보안 시스템 구축과 운영 노하우를 활용해 ‘신뢰하고 믿을 수 있는 보안은행’으로서의 목표를 위해 보안 강화에 더욱 박차를 가할 계획이다.