이동욱 국민카드 CISO

 

 

금융산업의 IT기술이 빅데이터 기반으로 변화를 촉발하는 '데이터 자본주의 시대'를 열면서 금융 산업은 어떤 산업 분야보다 정보보호가 더욱 중요해졌다. 금융사들이 추진하고 있는 디지털 혁신이 성공하기 위해서는 무엇보다 안전한 금융보안 환경이 전제돼야 한다. CIOCISO매거진에서는 이동욱 국민카드 CISO(Chief Information Security Officer 최고정보보호책임자)를 만나 고객 데이터 보호를 위한 보안 전략을 주제로 이야기를 나눴다.

Q. 고객 데이터 보호를 위해 금융권이 가져야할 핵심 역량은?

금융권이 고객 데이터를 보호하기 위해 갖추고 지켜야할 부분이 상당히 많다. 우리나라는 금융권 보안을 위해 전자금융거래법, 신용정보법, 개인정보보호법 등 여러 법규정에서 중요한 기준을 정하고 있다. 한 가지 한 가지가 굉장히 중요한 것들이다. 

그중에서 특히 망분리, 암호화, 접근통제 등을 꼽을 수 있다. 이 중요한 기준들을 하나라도 소홀해서 고객정보가 유출되면 상당히 큰 위험에 처할 수 있다. 

금융권은 법 규정에서 수많은 기준들을 ‘얼마나 실질적으로’ 충실하게 수행하고 있느냐가 중요하다고 생각한다. 그 기준들을 하나하나 따져가면서 중요도에 따라 검토하고 모자란 부분을 보완해간다면 고객정보 보호는 저절로 이뤄지리라 본다.

Q. 고객 데이터 보호를 위한 기준들 중에서 가장 중요하다고 생각하는 부분은?

기준을 두 가지로 나눠볼 수 있다. 하나는 내부의 데이터를 얼마나 안전하게 보관하고 있느냐와 둘째로 그 보관한 데이터가 외부로 함부로 유출되는 것을 얼마나 잘 통제하느냐 이다. 

얼마나 고객 데이터를 안전한 상태로 보관할 수 있느냐는, 정보 암호화로 보호할 수 있다고 본다. 개인정보의 중요한 고객 정보가 내부 망에 평문으로 존재하는 것이 없는지 지속적으로 점검하고 제어해야 한다.

또한 데이터가 함부로 유출되지 않도록 하기 위한 내부 통제는 반출승인 절차를 엄격히 운영하는 것과 USB 접속 통제하며, 직원들이 함부로 고객정보를 조회하지 않도록 권한을 최소화하고 그 권한을 남용하지 않도록 모니터링 하는 것이 중요하다.

이외 무엇보다 중요한 것은 임직원들의 정보보호에 대한 인식이다. 직원들이 자신의 업무를 수행하며 고객정보가 유출될 위험이 있는지를 늘 살피며 부족한 부분은 보충해간다면 안전한 고객 데이터 보호는 유지될 수 있다. 

Q. 국민카드가 보안 부문 투자 중 최근 시도하고 있는 사업은?

중요한 보안시스템은 거의 다 갖추고 있다고 생각한다. 새로운 위협에 대응하고 내부 시스템을 강화시키기 위해 업그레이드를 해오고 있다. 최근에는 기존의 보안 시스템을 효율적으로 운영하는 데에 관심과 중점을 두고 운영하고 있다. 보유한 보안 시스템을 얼마나 효율적으로 운영하느냐가 중요하다고 생각한다.

그 일환으로 방화벽 통합 관리 솔루션을 도입하기 위해 추진 중에 있다. 국민카드는 현재 3종류의 70여 대에 달하는 방화벽 시스템들을 운영하고 있다. 정책을 변경 시 수작업으로 반영하다보니 중복되거나 누락될 수 있어 보안 허점이 생길 수 있다. 사람의 실수를 줄이면서 업무를 효율적으로 운영하기 위해 도입을 추진 중이다. 

이동욱 국민카드 CISO

· 국민카드 정보 보호 부장 역임