COVER STORY
interview | IBK기업은행 정보보호부 서일석 본부장(CISO)“정보보호 고도화 기초공사 마무리, 내년 각 부문별 고도화체계 추진할 것”
방창완 편집국장  |  bang@ciociso.com
폰트키우기 폰트줄이기 프린트하기 메일보내기 신고하기
[0호] 승인 2015.12.16  
트위터 페이스북 미투데이 요즘 네이버 구글 msn

interview | IBK기업은행 정보보호부 서일석 본부장(CISO)


“정보보호 고도화 기초공사 마무리, 내년 각 부문별 고도화체계 추진할 것”
IBK기업은행, 내부통제 및 외부 침입 선제적 대응체제 구축 최우선 
 
IBK기업은행 정보보호부 서일석 본부장은 부임 이후 올해를 돌아보면서, 은행 내에 정보보호 체계를 확고히 하는데 많은 노력을 기울인 한해라고 밝혔다. 물리적 망분리를 본부부서는 물론 전 영업점까지 적용했으며, 정보보호관리체계(ISMS) 획득, 철저한 내부통제로 정보유출 방어, 외부 사이버 공격에 대한 선제적 대응으로 정보침해 무사고를 달성했다. 그러나 아무리 완벽하고 다양한 보호장치를 갖춰도 인적유출 통제가 제대로 이뤄지지 않는다면 모든 노력들이 무용지물이 될 수 있다. 따라서 내년에는 전 직원은 물론 위수탁 업체 임직원에 대한 정보보호 교육에도 많은 노력을 기울일 계획이다.
 
방창완 편집국장 bang@ciociso.com
 
외부 침입방지는 기본이며 필수 
 
IBK기업은행이 보안에 있어서 첫 번째로 중요하게 생각하는 점은 외부 사이버공격에 대한 방어부분이다. 
 
 
   
▲ IBK기업은행 정보보호부 서일석 본부장(CISO)
 
 
IBK기업은행은 내년에 해킹분석 기법을 더욱 고도화할 계획이다. 해킹로그의 빅데이터 분석을 통해 지능적인 해킹공격도 실시간으로 탐지, 분석 및 차단할 계획이며, 이를 위해 현재 운영 중인 관제시스템을 최신 시스템으로 재구성할 계획이다. 
 
또한 탐지 못하도록 암호화되어 공격하는 각종 악성파일들과 링크들도 이를 사전에 탐지해  내부시스템으로의 접근을 원천 차단할 계획이다. 대량 디도스 공격에 대한 대응방안을 현재 절차보다 1단계 추가한 5단계 방어체계를 갖추고, 또한 노후화된 방어장비를 대용량 장비로 교체함으로써 성능개선은 물론 방어대상 시스템도 확대할 계획이다.
 
두 번째로는 보안 취약점에 대한 지속적 점검 및 개선이다. 서일석 본부장은 “해커들의 공격 기법은 수시로 변하고 꾸준히 발전하고 있다. 끈질기게 목표 타겟을 대상으로 취약점을 찾고 공격하기 때문에 운영시스템 및 패키지 소프트웨어는 물론 자체 개발 프로그램도 취약점을 지속적으로 분석해 수정하고 보완해야 한다. 소프트웨어 변경 내용을 추적해 취약점을 찾아내어 상시적으로 점검하는 체계를 만들겠다”고 말했다. 
 
내부시스템 통제 및 관리체계 강화
 
세 번째로는 내부시스템 통제 및 관리체계 강화 부분으로, 서버별 사용자별 접근통제와 로그 리뷰를 활용해 운영자 및 개발자들의 서버 사용내역 모니터링을 더욱 강화할 계획이다. 특히 개인정보보호와 관련해 고객정보 DB의 대량조회 등 특이한 작업의 모니터링은 중점 점검 대상이다. 
 
 
   
▲ “해커들의 공격 기법은 수시로 변하고 꾸준히 발전하고 있다. 끈질기게 목표 타겟을 대상으로 취약점을 찾고 공격하기 때문에 운영시스템 및 패키지 소프트웨어는 물론 자체 개발 프로그램도 취약점을 지속적으로 분석해 수정하고 보완해야 한다"
 
 
국외지점의 인터넷 환경도 현지 인터넷에서 은행 인터넷으로 전환함으로써 본국과 동일한 환경의 보안수준을 갖출 계획이다. 또한 외부로 반출되는 자료는 자동파기 기능을 설정함으로써 일정기간 경과시 자동 삭제토록 할 계획이며, 복사 및 출력도 제한된다. 
 
현재 외부 방문객 출입시 휴대폰에 사진촬영 방지용 스티커를 부착중이지만, 스마트폰 앱을 활용해 촬영은 물론, 녹음, 데이터 전송 등의 기능도 작동되지 않도록 할 계획이다. 
 
보안의 핵심은 ‘직원들의 마인드’ 
 
네 번째로는 내부의 직원 관리 및 교육 부문이다. 
 
의무교육인 온라인교육 이외에도 공개형 와이파이의 위험성, 애드웨어 제대로 사용하기, 악성메일 감별방법, 랜섬웨어 예방 등 우리 주변에 노출된 많은 공격들로부터 스스로 보호할 수 있도록 예방법들을 이해하기 쉽게 애니메이션으로 제작해 직원들에게 배포 하는 등 많은 노력을 기울이고 있다. 
 
직원교육 이외에 추가로 위수탁 업체에 대한 관리 및 교육도 매우 중요한 부분이다. 현재 직간접적으로 IBK기업은행에는 80여개의 위수탁업체가 있으며 이들에 대한 보안 관리가 제대로 이뤄지지 않으면 예기치 않은 사고가 발생할 수 있다는 것. 
 
 
   
 
 
 
내년도에는 계약체결부터 사후관리업무까지 전산화를 할 계획이며, 업체의 자체적인 교육은 물론 대표자 및 직원들에 대한 교육도 기업은행에서 직접 실행해 이 부분을 더욱 강화할 계획이다.
 
서일석 본부장은 “비즈니스가 잘 이뤄질 때가 가장 위험한 시기라는 말이 있듯이 보안도 조용하고 아무일 없을 때가 더욱 조심해야 하며, 항상 긴장의 끈을 놓지 말아야 한다”고 강조했다. 정보보호부의 역할이 앞으로도 끊임없이 위험요소를 찾고 이를 방어하는 장치를 마련하는 것이며, 한시도 손을 놓을 수 없는 것이 보안 영역이라는 것. 
 
IBK기업은행 정보보호부는 올해 IT 보안 체계를 공고히 다지고 다양한 시스템을 준비하느라 보다 바쁜 한해를 보냈다. 내년에는 더욱 고도화된 보안 시스템 구축과 운영 노하우를 활용해 ‘신뢰하고 믿을 수 있는 보안은행’으로서의 목표를 위해 보안 강화에 더욱 박차를 가할 계획이다.
 
< 저작권자 © CIOCISO 무단전재 및 재배포금지 >
방창완 편집국장의 다른기사 보기  
폰트키우기 폰트줄이기 프린트하기 메일보내기 신고하기
트위터 페이스북 미투데이 요즘 네이버 구글 msn 뒤로가기 위로가기
이 기사에 대한 댓글 이야기 (0)
자동등록방지용 코드를 입력하세요!   
확인
- 200자까지 쓰실 수 있습니다. (현재 0 byte / 최대 400byte)
- 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
이 기사에 대한 댓글 이야기 (0)
최근인기기사
1
CIOCISO매거진 주최 제2회 IT 로드쇼 / 나주
2
interview ∣ 김상철 텔스트라코리아 지사장
3
Cover story ∣ AIA생명 김대일 부사장(운영본부장)
4
interview ∣ 송상엽 한컴시큐어 이사, 사이버시큐리티 사업1팀
5
interview ∣ 임종혁 에이치투오시스템테크놀로지(H2O) 대표이사
6
interview ∣ 구자동 케이사인 부사장
7
interview ∣ 박대성 라임라이트네트웍스코리아 지사장
8
interview ∣ 김계관 그리드원 대표이사
9
Cover story ∣ 강민석 흥국생명 IT실 상무
10
제15차 CISO컨퍼런스
신문사소개기사제보광고문의불편신고개인정보취급방침청소년보호정책이메일무단수집거부
121-220 서울시 마포구 합정동 354-18 삼성전기 빌딩 별관3층  |  대표전화 : 02-2632-7561  |  상호명 : (주)씨미디어그룹
사업자등록번호 : 107-81-57633  |  대표자명 : 김영춘  |  통신판매업신고번호 : 제2008-서울마포-01059호  |  인터넷신문 등록번호 : 서울, 아03158
등록연월일: 2014년 5월 16일  |  제호: CIOCISO  |   발행·편집인: 김영춘  |   청소년보호책임자: 김영춘
Copyright © 2012 CIOCISO. All rights reserved. mail to webmaster@ciociso.com