interview ∣ 우리은행 허정진 고객정보보호단 상무

즐겨찾기추가

2024.05.20 (월)

기상청 제공

해당된 기사를 공유합니다
- 가나다라마바사
- 가나다라마바사
- 가나다라마바사
- 가나다라마바사
- 가나다라마바사
- 가나다라마바사

ROUNDTABLE

interview ∣ 우리은행 허정진 고객정보보호단 상무

“고객정보 안정망은 정보보호 역량강화와 실질적 현장점검”

방창완 편집국장 기자
등록 2016.01.06 12:27
조회수 3,606

interview ∣ 우리은행 허정진 고객정보보호단 상무

“고객정보 안정망은 정보보호 역량강화와 실질적 현장점검”

우리은행 고객정보보호부 본부장에 재직하면서 실질적인 보안업무를 실행한 바 있는 허정진 상무는 올 12월에 우리은행 고객정보보호단 상무(CISO)로 승진하면서, 보안실무외에 우리은행의 보안 업무를 총괄하게 됐다. 올해까지 우리은행 보안 체계화를 위해 동분서주한 바 있는 허정진 상무는 앞으로 보안 체계화를 통해 고객정보를 완벽하게 보호하고, 고객에게 신뢰를 줄 수 있는 고객정보보호단이 될 수 있도록 매진해 나갈 계획이다.

방창완 편집국장 bang@ciociso.com

우리은행 신임 CISO로 취임한 허정진 상무는 앞으로 주요 보안 계획에 대해 △정보보호 역량강화 △컴플라이언스에 대한 적시 대응 △실질적인 현장점검 및 지원 등을 꼽았다. 이 같은 새로운 미션의 설정은 15년간 IT와 및 보안 업무를 맡으면서 체득한 경험을 체계화하기 위해서다.

그런 만큼 그동안 필요에 따라 부분적으로 보안 인프라를 구축했다면, 앞으로는 우리은행 보안이 체계화되고 고도화되는 중요한 기점이 될 것으로 보인다.


▲ 우리은행 허정진 고객정보보호단 상무

이와 관련 허정진 상무는 앞으로 첫 번째 보안 계획으로, 정보보호에 대한 역량 강화를 꼽았다. 그는 “기존에 보안 시스템이 적용되고 있지만 외부 해킹에 적극 대응하고, 보다 정밀한 탐지 및 방어를 위해 APT(지능형위협) 솔루션을 도입할 계획이다. 외부 침입의 경우는 손을 놓을 수 없는 부분이어서 사전에 적극적인 대응책이 필요하다”고 강조했다. 침해가 발생하게 되면, 사고에 대한 원인을 분석해 감염 경로와 원인 및 대응방안을 수립하는 시스템을 구축하겠다는 것이다.

APT, 출력물관리로 내외부 침해 대응

이에 대한 또 하나의 적극적인 대응책이 ‘네트워크 포렌식’ 에 대한 설계와 운영이다. 네트워크 포렌식은 네트워크 전체 트래픽에 대해 보안을 설정하고, 축적된 경험을 기반으로 사고 원인을 분석함으로써 사고를 미연에 방지할 수 있음은 물론 향후 발생할 수 있는 위협을 차단하기 위해서이다.

외부적인 위협요소와 함께 내부적 위협을 방지하기 위한 역량 강화도 중요 요소이다. 허 상무는 “내부 위협을 없애기 위해 출력물에 대한 관리에 신경을 쓰고 있다. 출력물에 대한 생성 및 인쇄, 유통, 보관, 파기에 이르는 전 과정에 대한 라이프사이클 관리를 비롯해 유출시 이를 추적할 수 있는 출력물관리시스템을 적용함으로써 정보 유출에 대한 사전 방어체계를 공고히 해 나갈 것”이라고 말했다.

내외부적인 위협요소를 제거함으로써 정보보호 역량을 강화하겠다는 것이 기본적인 우리은행의 보안전략이지만 컴플라이언스에 대한 대응도 무시할 수 없는 부분이다.

우리은행이 두 번째로 실행하는 보안 계획은 컴플라이언스에 대한 적시 대응체계를 구축하는 것이다. 허 상무는 “지난 2014년 보안 사고이후 금융당국에서 많은 정보보호 관련 대책이 쏟아져 나왔다. 이에 대한 법규를 준수하고, 대응하기 위해 많은 시스템을 설정해 놓고 있다”고 말했다.

구체적인 내용으로는 보유 기간이 경과된 고객정보를 삭제하고, 분리 보관하는 시스템을 구현하는 한편 고객이 자신의 정보를 이용하거나 다른 곳에서 제공한 사실을 조회할 수 있는 시스템도 구현하는 것이다. 이는 고객들이 은행에 대해 신뢰를 갖고 안정적으로 서비스를 이용할 수 있도록 하자는 취지가 담겨 있다.


▲ “내부 위협을 없애기 위해 출력물에 대한 관리에 신경을 쓰고 있다. 출력물에 대한 생성 및 인쇄, 유통, 보관, 파기에 이르는 전 과정에 대한 라이프사이클 관리를 비롯해 유출시 이를 추적할 수 있는 출력물관리시스템을 적용함으로써 정보 유출에 대한 사전 방어체계를 공고히 해 나갈 것이다”

조회 시스템은 내년 3월에 완료할 예정이어서, 고객들이 믿음을 갖고 은행창구에서 서비스를 받을 수 있을 것으로 기대하고 있다. 이와 함께 현재 금융당국의 보안정책이 자율 점검을 독려하고 있는 만큼 은행 내에서 자율 점검을 상시적으로 실시하고 문제의 소지가 발생하게 되면 즉각적으로 검사하는 시스템도 도입하기로 했다.

은행 최초 보안 전문 진단팀 신설

우리은행 정보보호단이 세 번째로 가장 초점을 두고 있는 부분이 실질적인 현장점검 및 지원책을 마련하는 것이다.

우리은행은 은행권에서는 최초로 ‘보안 전문 진단팀’을 신설했다. 이는 허정진 상무의 의지가 방영된 것으로, 전문가 집단으로 이뤄진 진단팀을 운영해 모의해킹을 실행하고, 보안에 대한 사전심사를 실시하는 것이다. 앞으로 비대면 채널이 확대되는 점을 감안해 운영되는 모의해킹은 위험을 방어하는 데 있어서 실질적으로 경험을 쌓을 수 있는 방법이 될 수 있을 것으로 기대된다.

또한 우리은행 정보보호단은 영업점 현장 방문을 통해 개인정보와 문서보관에 대한 직원들의 보안의식을 점검하는데도 주력할 계획이다.

개인정보유출시스템을 통한 모니터링과 영업점 PC 정밀 진단을 실행하고, 국외점포에 대한 현장 점검과 지도를 통해 보안 사고를 미연에 방지할 계획이다. 특히 영업점의 자율교육 신청과 함께 요주의 영업점, 수탁업체 등에 대해서는 보안의식을 고취하기 위해 모니터링과 함께 현장교육도 병행할 계획이다.

허정진 상무는 “중소기업 및 병원, 학교 등 주요 거래처에 대해서는 정보보호자문서비스를 실행하고, 보안교육에 대한 요청이 있을 때 보안 부서에서 현장 지원에 나설 것”이라고 말했다.

우리은행의 이 같은 다양한 보안정책은 허상무의 그동안 경험이 상당 부분 반영된 것이기도 하다. 허 상무는 ‘편안한 시기에 항상 위험을 생각하자’는 것이 CISO 취임 당시 직원들에게 당부한 내용이라며, 우리은행에서는 정보유출 사고가 없지만, 타사의 사례를 비추어 볼 때 항상 긴장을 늦추지 않고, 미리 방어를 하는 것이 사고를 없애고 직원들의 수고를 덜 수 있는 지름길이 될 수 있다는 것이다.

보안 전문인력 채용, 인센티브 강화한다

우리은행은 올해 들어 다양한 보안 방어책을 설정하고, 실제 운영에 들어가고 있지만, 내년에는 이를 더욱 체계화하고, 미비한 부분은 고도화 해나가는 방법을 취하기로 했다. 하지만 허상무는 아무리 최신의 시스템을 적용한다고 해도 무엇보다 사람에 대한 관리가 우선임을 강조했다.

허 상무는 “적극적인 보안을 위해 보안진단팀을 출범시키고 APT와 모의해킹, 악성코드, 포렌식 분석 작업을 펼치고 있지만 올해 두드러진 변화는 전문 인력을 채용한 점”이라고 말했다.

우리은행은 적극적인 보안을 위해 최근 최고고위 보안인력을 채용했다. 앞으로는 상황에 따라 전문 인력을 매년 단계적으로 늘리는 한편 계약직보다는 정식직원을 채용해 로열티와 함께 책임 의식을 강화해 나갈 계획이다.

기업에서 핵심 업무를 맡고 있는 이상 보안 전문가는 정식 직원을 채용하는 것이 맞다는 것이 그의 견해이다. 새로운 보안 전문가를 육성해 시스템적인 측면과 상호 보완하고, 상생 및 발전해 나갈 수 있는 방법을 모색해 나갈 생각이다.

허정진 상무는 “보안은 시스템만으로 해결할 수 없는 부분인 만큼 앞으로 보안 인력이 최고 전문가가 될 수 있도록 교육, 해외연수, 컨퍼런스를 통해 역량을 강화할 수 있는 방법을 모색할 것이다. 승진에 대한 기회도 제공하는 등 사기를 진작할 수 있는 방안을 꾸준히 모색할 것”이라고 말했다.

방창완 편집국장 기자의 전체기사 보기