Cover Story ∣ KB국민은행 정보보호본부 안영엽 상무(CISO)

즐겨찾기추가

2024.05.20 (월)

기상청 제공

해당된 기사를 공유합니다
- 가나다라마바사
- 가나다라마바사
- 가나다라마바사
- 가나다라마바사
- 가나다라마바사
- 가나다라마바사

ROUNDTABLE

Cover Story ∣ KB국민은행 정보보호본부 안영엽 상무(CISO)

통합관제시스템 통한 관리적 보안, 영업점과 균형 맞춘 보안정책 펼친다

방창완 편집국장 기자
등록 2016.03.07 13:39
조회수 3,644

Cover Story ∣ KB국민은행 정보보호본부 안영엽 상무(CISO)

통합관제시스템 통한 관리적 보안, 영업점과 균형 맞춘 보안정책 펼친다

관리적 보안, 선제적 보안, 보안성 심의 및 직원교육이 올해 핵심

4~5년간 현업으로, 영업점에서 업무를 했던 KB국민은행 정보보호본부 안영엽 상무(CISO)는 현업 이전에 보안부서 실장으로 재직했던 시절을 회고하면서, KB국민은행 정보보호본부장으로 취임하면서 다시 친정에 온 느낌이라고 말했다. 하지만 현재 보안환경이 훨씬 복잡하고 다양해짐에 따라 보다 체계적인 관리가 필요함을 실감하고 있다. 안영엽 상무는 올해 새로운 보안과제로, 개인정보보호 강화를 통한 관리적 보안과 선제적 보안, 보안성 심의 및 직원교육을 꼽았다.

방창완 편집국장 bang@ciociso.com


▲ KB국민은행 정보보호본부 안영엽 상무(CISO)

KB국민은행 정보보호본부 안영엽 상무는 현업에 있을 당시 영업점에서 카드정보 유출사태를 한몸으로 겪은 바 있다. 안 상무는 “카드정보 유출사태를 바라보면서 영업점은 당시에 큰 혼란에 빠졌다. 분신실고와 재발급 과정을 겪으면서 그야말로 전쟁터를 방불케 했다”고 당시를 회고 했다.

그는 카드 고객정보 유출사태 이후 개인정보에 대한 리스크가 크다는 점을 실감하며, 이번에 정보보호본부 본부장으로 취임하면서 개인정보보호 부분에 있어서만큼은 빈틈없는 방비책을 마련해야겠다고 결심했다. 따라서 안 상무는 IT 기술 보안외에 보안체계를 바로잡고, 점검을 강화하는 관리적 보안이 무엇보다 중요하다는 점을 강조했다.

프로젝트 초기단계부터 취약성 점검 상시화

안 상무는 구체적인 실천방안으로“최근 들어 비대면 채널이 중요해지고 있는 만큼 통제도 중요하지만, 사전에 위협에 대응할 수 있는 보안 체계를 마련하는 것이 필요하다”고 말했다.

프로젝트 추진시 초기 단계부터 보안 취약성에 대한 점검을 상시화 하는 방법을 취하고 있다. 핀테크와 같은 사업을 진행하게 되면 사전에 보안 취약성 검증을 거쳐야만 서비스가 오픈이 된다.

자체적인 테스트 외에도 금융보안원과 같은 기관을 통해 보안성에 대한 부분을 테스트 한다. 승인이 이뤄져야 서비스가 개시된다. 초기에 이런 절차가 진행돼야만 큰 위험을 막을 수 있다는 견해이다. 그런 의미에서 이런 절차는 선제적 보안 개념이라고 할 수 있다.

따라서 보안 취약성에 대해 예상하고 미리 준비하며, 요건부터 가이드라인을 정한다. 개발자들도 애초 프로세스 설계시에 이를 반영할 수 있도록 하고 있다.

하지만 보안이 프로젝트 추진에 발목을 잡아서는 안되기 때문에 이를 적절하게 보완해줄 수 있는 장치를 마련해야할 필요가 있다. 안영엽 상무는 “현업에서 보안을 준수하기 위해서는 적절한 절충점을 찾을 필요가 있다. 애로 사항과 의견도 적극 반영해 보안정책을 수립하고 있다. 또한 금융보안원 및 은행연합회와 협업을 통해 새로운 정책을 제안할 수 있는 창구도 마련하고 있다”고 말했다.

이에 대한 한 가지 일례로, 현재 생체인증이 금융거래를 위한 새로운 대안으로 떠오르고 있지만 무엇보다 표준화가 중요하다. 표준화가 이뤄져야만 은행간에 자유로운 이체와 같은 서비스를 손쉽게 진행할 수 있다. 따라서 타은행과 거래시에도 손쉽게 교환이 가능할 수 있는 제도적 장치가 마련돼야 한다고 그는 강조했다. 현재 당국에서도 이런 방향을 고민하고 있다고 안상무는 전했다.


▲ “최근 들어 비대면 채널이 중요해지고 있는 만큼 통제도 중요하지만, 사전에 위협에 대응할 수 있는 보안 체계를 마련하는 것이 필요하다”

최근 금융당국이 자율보안을 강조하면서, 은행들은 학습과 인력양성의 중요성도 실감하고 있다. 안 상무는 이런 점 외에도 무엇보다 자율보안을 위해서는 보안성 심의가 정보보호본부의 가장 중요한 업무사항임을 강조했다.

보안성 심의가 제대로 이뤄져야 올바른 자율보안과 보안대책을 세울 수 있다는 견해이다. 보안성 심의는 과거에는 당국의 가이드라인에 따라 이를 준수하면 됐지만, 이제는 각 은행이 알아서 공부하고 지켜야하기 때문에 많은 노력이 요구된다.

통합관제시스템 통해 개인정보 완벽방어

따라서 KB국민은행은 어떤 프로젝트라고 하더라도 취약점이 있는 상태에서는 서비스 오픈이 절대로 이뤄질 수 없는 프로세스를 실행하고 있다. 안 상무는 “미리 취약점을 찾게 되면 보안을 강화하는 것이 쉬워지며, 업무도 빠르게 진행할 수 있다”고 강조했다.

KB국민은행은 지난 1월 27일에 통합관제시스템을 새롭게 오픈한 바 있다. 일명 개인정보통합관제시스템으로 이름 지워진 관제시스템은 영업점에서 주고받는 개인정보가 반출시스템을 통해 제대로 이뤄지고 있는지 통제하는데 주력하고 있다.

각 영업점에서 내부 통제자가 필요한 개인정보 업무에 대해 통제를 하고, 사후관리가 이뤄지면 이를 센터에서 보고 제대로 파기와 같은 과정이 이뤄졌는지 파악한다. 예를 들어 약정서와 같은 일련의 서류가 제대로 등록이 됐는지 꼼꼼하게 확인한다. 혹시나 정해진 절차에 의해 진행되지 않은 부분이 있다면 이를 파악하고 수정을 지시하게 된다.

전국에 흩어져 있는 각 영업점에는 별도의 내부 통제자가 상주해 있어서 개인정보에 대해 책임감을 가지고 관리를 진행하고 있다. 중앙 센터에서 이를 재차 확인하는 2중 보안구조 시스템을 가동함으로써 개인정보보호 부분에 실질적인 안정장치를 마련하고 있는 것이다.

안 상무는 정보보호본부의 직원들이 자긍심을 갖고 생활할 수 있도록 사기를 진작하는데도 노력하고 있다. 안 상무는 “성과에 대한 보상 부분도 있지만, 본인이 발전을 하고 있다는 느낌을 줄 수 있고, 조직에서 필요한 사람이라는 것을 느낄 수 있는 동기부여가 중요하다”고 말했다.

이를 위해 안상무는 직원들이 자기개발을 위한 부분에 대해서는 앞으로 적극적으로 지원할 생각이다. 화이트해커 양성 및 해킹대회를 통한 실전 체험, 그리고 다양한 보안 기술을 학습할 수 있는 교육프로그램도 지원할 생각이다.

차세대 프로젝트 돌입 전에 보안 아키텍처 설계한다

오는 2020년에 차세대시스템 오픈을 계획하고 있는 KB국민은행은 조만간 정보화전략수립(ISP) 작업에 들어갈 예정이다. 차세대시스템을 추진하기 위해서는 무엇보다도 보안부분이 미리 설계가 돼야 한다. 이미 국민은행은 차세대TFT를 조직한 바 있으며, 보안 핵심 인력들을 TFT에 합류시켰다.

안영엽 상무는 “차세대 프로젝트를 위해서는 보안에 대한 아키텍처가 프로그램 설계 전에 세워져야 한다. 이를 애플리케이션 아키텍처에 반영해야하는 만큼 앞으로 정보보호본부의 역할이 무엇보다 중요하다”고 강조했다. 보안에 있어서 가장 중요한 축인 관리적 보안, 물리적 보안, 기술적 보안을 놓고 봤을 때 모든 것이 중요한 요소들 이지만, 관리적 보안이 보안에 있어서 가장 핵심적인 역할을 담당한다는 것이 안 상무의 견해이다.

안상무는 관리적 보안을 강화하기 위해 정보에 대해 주기적으로 이를 습득하고 학습하며, 영업점을 통해서 보안 취약성을 점검하고, 보안 개선점에 대한 아이디어도 받고 있다. 이런 다양한 관리적 보안을 위한 실행 방안이 마련돼야만 현업과 조화를 이룰 수 있는 안전하고, 현실적인 보안이 이뤄질 수 있을 것이라고 그는 강조했다.

<학력>

1987년 부산대학교 계산통계학과

<경력>

- 은행 차세대 시스템 2회 구축 수행(1997년, 2010년)

- 은행 Y2K 전환 이행 IT총괄 실무PM 수행(1999년)

- 국민은행 정보보안 차세대 시스템 구축 수행(2007년)

- IT그룹 부서장 직무 수행(시스템운영부장, 정보개발부장)

- 은행 지점장 직무 수행(남가좌동지점, 목동지점)

방창완 편집국장 기자의 전체기사 보기