신한은행 최종현 팀장(부서장 대우)

 

 

[CIOCISO매거진 홍상수 기자] 은행 등 금융권의 새로운 경쟁력으로 보안 역량이 부상하고 있다. 코로나19 사태 후 디지털 금융이 확산되면서 금융에서 사이버보안이 차지하는 역할이 더욱 중요해지고 있는 것이다. 최근들어 은행권에서 직원 횡령 등의 사건이 줄지어 발생하면서 국내외 송금 보안 등의 이슈가 불거졌다. 신한은행 최종현 팀장(부서장 대우)를 만나 신한은행의 보안 전략에 대해 들었다. 

 

신한은행이 글로벌 사업을 확장하고 있다. 국가별 보안 감독 기준을 충족하고 해외 거래 보안에 대해 어떤 전략과 해결책을 마련하고 있는가

글로벌 사업 진출 초반에 비해 많은 국가들이 기존과는 차원이 다른 정보보호 관련 법안과 체계 준수를 요구하고 있다. 이에 따라 글로벌 정보보호관리체계를 수립하여 정보보호 도메인별 수행가이드 및 프로세스가 정립될수 있도록 추진하고 있다.

 

또한 각국가별 현지의 컴플라이언스 기준을 포함한 모행의 정책/절차서등을 반영하여 정보보호정책을 수립해, 위의 정책을 추진을 위하여 글로벌 정보보호전담조직을 구성하고 글로벌 상황에 맞게 대응하고 있다. 또한 해외점포를 대상으로 보안관제시스템을 별도 구축하여 외부의 침해공격에 적극적으로 방어 할수 있도록 체계를 갖춰 운영하고 있다.

고객 데이터 보호를 위해 금융권이 가져야할 역량은 무엇이라고 생각하는가

가장 중요한 것은 고객 정보가 외부로 유출되지 않도록 하는 것이다. 대부분의 금융권에서는 이를 목표로 많은 정보보안 예산을 계획하고 투자하고 있어, 이에 대한 성과를 일정 수준 이상 보고 있다고 판단된다.

하지만, 단출 유출방지가 아닌 데이터가 수집되는 순간부터 파기되는 순간까지 동의되지 않은 목적외 사용으로 부터 철저하게 관리하는 것이 중요하다.

이를 위해 고객정보의 흐름 및 불필요한 노출이 발생하지 않도록 고객 데이터의 모든 과정을 통제하고 관리할 수 있는 역량이 매우 중요하다고 생각한다.

 

 

신한은행의 보안 정책의 주 방향과 강점은 무엇인가

정보보안 솔루션 및 장비에 대한 과감한 투자, 보안 전문인력 확충, 보안 신기술의 선제 도입 등  고객들이 안전하고 사용하고 신뢰할수 서비스를 구현하고 있다고 자부한다.

CEO께서 정보보호에 많은 관심과 지원을 보내주시고 정보보호 중요성을 항상 강조해주시면서 정보보호본부가 보다 강력한 보안정책을 실현할 수 있도록 든든한 지원을 해주고 계신다.

그 영향으로 정보보호에 대한 중요성이 전사적으로 인식되고 있다.

보안관제는 빅데이터기반에 SIEM을 운영하고 있으며, 신한금융그룹의 공동으로 운영하여 효과적인 대응을 하고 있다.

신한은행 보안부문 투자 중 최근 시도하고 있는 사업은

클라우드 서비스 이용에 확대에 따라 관련 보안부문에 투자를 하고 있다. 사이버공격 대응을 위해 확대되고 있는 보안인프라에 대한 통합과 자동화에 주력해 플레이북을 정교화하고 SOAR 기술을 활용해 위협 탐지와 분석을 자동화시스템화를 구축하고 있다.

또한 기존 방식으로 탐지가 어려운 공격을 인지하고 정오탐의 식별 등을 위해 인공지능을 다양한 영역에 적용하여 검증하는 작업을 지속적으로 추진 중이다.

전사의 보안 역량을 강화하기 위한 전략은

 

모든 회사가 유사한 전략을 가지고 추진한다고 생각한다. 무엇보다 새로운 위협에 신속하게 대응하기 위해선 직원들의 지속적인 역량강화가 필요하다. 새로운 기술(클라우드, ZTA, AI)에 빠르게 대응할수 있도록 내부의 역량 강화가 중요하다.

특히, 클라우드를 이용한 서비스 확대를 대비해 솔루션 및 인력양성을 추진하고 있다. AI를 통한 위협식별 자동화, ZTA아키텍처 도입을 위한 기반설계을 다지면서 디지털전환이 급속하게 이루어짐에 따라, 사업의 초기부터 개인정보, 보안리스크를 선제적으로 검토하여 보안의 위협의 발생하지 않도록 프로세스를 정립하고 있다.

정보보안을 담당하시면서 하고 싶은 말씀은

 

보안은 오늘 완벽하다고 내일도 완벽하다고 할 수 없다. 수시로 보안의 새로운 위협은 없는지, 현재 수립된 프로세스가 완벽하게 동작하고 있는지 점검이 필요하다.

이러한 프로세스를 위해 최대한 자동화를 구현해서 직원들의 업무부담을 줄여야 한다. 

또한 새로운 위협의 발굴하고, 보안의 프로세스를 통합적으로 운영할 수 있는 자동화시스템에 대한 많은 투자가 필요하다.

직원들도 단순반복적인 업무가 아닌, 새로운 위협과 기술에 대한 역량강화를 위한 교육투자가 필요하다.

마지막으로, 보안은 항상 불편한것으로만 인식돼 있다. 하지만 안전하고 편리하게 디지털을 사용할 수 있도록 보안은 더 강력하게 운영되도록 새로운 기술과 아이디어의 접목이 지속적으로 필요해보인다.