[금융 CISO 만나다] 박남규 BC카드 상무 “보안의 완성은 ‘사람’”
상태바
[금융 CISO 만나다] 박남규 BC카드 상무 “보안의 완성은 ‘사람’”
  • 김선애 기자
  • 승인 2021.02.24 09:00
  • 댓글 0
이 기사를 공유합니다

보안은 비즈니스 안정성을 위한 업무 … “자부심 갖고 전문성 높이길”
보안 내재화 된 보안 문화 만들어가 … 마이데이터 사업성·보안성 강화한다

[데이터넷] 금융산업은 그 어느 때 보다 혁신을 가속화 해야 하는 상황에 놓여있다. 빠르게 변하는 고객의 라이프 스타일과 경제환경에 맞춘 최상의 금융 서비스를 제공해야 하고, 강력한 컴플라이언스 이슈를 만족하면서도 직원들의 생산성을 향상시켜야 한다.

가장 중요한 것은 외부 공격과 내부 보안위협을 관리하면서 비즈니스 성장을 촉진해야 한다는 점이다. 특히 고객의 일상생활과 밀접한 카드사의 경우 고객정보를 안전하게 보호하면서 각 고객에게 맞춤형 상품을 지원해야 한다는 과제도 안고 있다.

IT 전문 매거진 <네트워크타임즈>와 IT 전문 인터넷 언론 <데이터넷>, 그리고 IT 기업 인포시즈가 공동으로 진행하는 <금융 CISO를 만나다> 시리즈는 BC카드 IT인프라본부장이며 CISO인 박남규 상무와의 대담을 준비했다. <편집자>

BC카드는 신용카드 업계에서 정보보안 거버넌스가 가장 체계화된 기업으로 꼽힌다. 2012년부터 CEO 직속으로 정보보안 조직을 운영해왔으며, 2013년 전사 정보보안 컨설팅을 통해 기업 전체에 보안 문화를 내재화하는 작업을 전개해왔다. 현재 모든 사업을 추진할 때 보안을 가장 먼저 고려하는 등 보안을 최우선 과제로 인식하고 수행하는 기업 문화를 만들어가고 있다.

강력한 컴플라이언스와 빠른 변화의 요구를 동시에 받고 있는 신용카드사에서 보안 내재화된 기업 문화를 조성할 수 있었던 요인으로 박남규 상무는 ‘사람’이라고 말했다.

박남규 상무는 “아무리 좋은 정책과 기술을 도입한다 해도 이를 지키지 않으려는 사람이 많으면 보안은 무너질 수밖에 없다. 유통사 랜섬웨어 사고의 예를 보면 잘 알 수 있다. 보안에 많은 투자를 한다해도 보안의 약한 고리를 찾아내는 공격자를 막을 수 없다. 전사 보안 의식과 습관이 기본이 된 보안 거버넌스가 가장 효과적인 보안 정책”이라고 강조했다.

▲박남규 BC카드 CISO는 “아무리 좋은 정책과 기술을 도입한다 해도 이를 지키지 않으려는 사람이 많으면 보안은 무너질 수밖에 없다. 전사 보안 의식과 습관이 기본이 된 보안 거버넌스가 가장 효과적인 보안 정책”이라고 강조했다.
▲박남규 BC카드 CISO는 “아무리 좋은 정책과 기술을 도입한다 해도 이를 지키지 않으려는 사람이 많으면 보안은 무너질 수밖에 없다. 전사 보안 의식과 습관이 기본이 된 보안 거버넌스가 가장 효과적인 보안 정책”이라고 강조했다.

탁정수 인포시즈 대표와 박남규 BC카드 상무의 대담을 정리한다.

■ 탁정수 대표= BC카드는 업계에서 보안체계가 잘 잡힌 기업 중 하나로 꼽힌다. 기업 문화에 보안을 정착시킬 수 있었던 배경은 무엇인가.

■ 박남규 상무= BC카드는 2012년 보안조직을 CEO 직속 체제로 전환하고, 전사 정보보안 컨설팅을 통해 중장기 마스터플랜을 수립하고 이를 단계별로 이행해 왔다. 이를 통해 보안 문화를 조직 내부에 체질화하고 있으며, 상당 수준으로 정착한 것으로 평가하고 있다.

보안문화가 깊이 뿌리내렸다고 판단하고 현재 보안조직은 IT 부문에 두고 사업을 추진 시 IT와 협의할 때 보안 담당자가 참여하도록 했다. 업무 설계가 완료되면 정보보안과 보호 관련 사항이 적절하게 반영됐는지 살펴보고, 보안성 심의 및 개인정보 영향 평가를 한다. 시스템 구축이 완료되면 오픈하기 전에 보안취약점 점검을 하는 등 데브섹옵스(DevSecOps) 기반 비즈니스 프로세스를 완성했다. 이를 통해 모든 서비스가 보안을 기반으로 제공되도록 했다.

또 보안인식 제고를 위해 다양한 온·오프라인 교육과 외부 보안 전문가 초청 특강, 사내 정보보안 강사 특강, 보안사고 피해와 영향도 등을 안내하는 교육으로 경각심을 일깨우고 있다.

보안 기반 마이데이터 사업 성공시킬 터

■ 탁정수 대표= 마이데이터 사업자 선정으로 보안에 대한 관심이 더 높아졌을 것 같다. 어떤 전략으로 마이데이터 사업과 보안을 성공시키고자하는가.

■ 박남규 상무= 정보보안 총괄 책임자로서 강조하고자 하는 것은 법을 지키는 것만으로 보안 책임을 완료했다고 할 수 없다는 사실이다. 그래서 마이데이터서비스팀 TF에 정보보안과 개인정보 보호 담당자를 참여시켜서 보안을 반영할 수 있는 아키텍처 구축을 추진하고 있다.

마이데이터 사업의 근간이 되는 데이터 3법은 개인정보 활용도를 높이고 안전하게 관리·보호될 수 있도록 하는데 방점이 있다. 정보주체의 권리를 보장하면서 신규 사업을 확장할 수 있도록 내부 규정을 정비하고 시스템에 반영할 예정이다.

■ 탁정수 대표= 개인정보 보호와 관련 BC카드가 특별히 강조하는 보안 정책이 있나.

■ 박남규 상무= 신용카드사는 다양한 개인정보를 취급하는 만큼, 고객정보 보호와 정보보안 관리체계 마련에 각별한 투자를 해 왔다. BC카드는 경쟁사보다 앞서 개인정보 보호 체계를 만들어왔는데, 2003년 9월 현재 국제 정보보안 인증 ISO27001의 전신 BS7799(영국 정보보호 표준 규격)에 대해 카드사 최초로 인증을 획득해 현재까지 매년 갱신, 유지하고 있다.

2009년 11월 ISMS 인증을 취득하고, 2017년 11월에는 글로벌 카드결제 산업 상황에 맞게 PCI-DSS 보안 인증도 취득했다. 2010년 방송통신위원회 주관 정보보호대상을 수상하는 등 정보보안과 개인정보 보호를 위해 최선의 노력을 다하고 있다.

고객정보 인가자 제도를 두어 허가 받은 사람만 철저한 통제하에 취급하고, 사내 파일은 모두 DRM으로 암호화 관리하고 있다. 개인정보 검출 솔루션과 모니터링으로 혹시 모를 개인정보 오·남용 및 유출에 대해 통제하고 있다.

마이데이터 사업에도 이 기조를 계속 이어가 안전하고 편리하게 고객정보를 보호하고 활용할 수 있게 하겠다.

안전하고 효율적인 재택근무 시행

■ 탁정수 대표= 코로나19 기간 동안 금융권 재택근무가 이슈였는데, 어떻게 대응했나.

■ 박남규 상무= BC카드는 이미 재택근무자를 위한 준비가 되어있는 상황이어서 금융감독원 가이드에 따라 신속하게 재택근무를 시작할 수 있었다. 2019년 사옥을 이전하면서 전사 망분리를 구축하고 고성능 스위치를 사용해 업무 생산성 저하 없이 일할 수 있게 했으며, 통신 네트워크의 물리적 망분리와 이메일 망분리도 선도적으로 구축, 운영했다. 또한 업계에서 가장 먼저 전 직원 업무망과 인터넷망의 VDI를 구축·운영해 코로나19로 인한 재택근무도 원활하게 실시할 수 있었다.

재택근무자는 별도의 에이전트를 설치하고 VPN을 이용해 접속하게 했으며, 접속 후에는 업무망 외의 업무는 아무것도 할 수 없게 해 보안 이슈를 제거했다. 또한 업무시간 외에 망에 접속할 때 어떤 업무를 위한 것인지 결재 후 접속하도록 했으며, 업무 기록을 남겨 사고 시 감사자료로 사용할 수 있게 했다.

■ 탁정수 대표= 금융권 망분리 개선안에 대한 다양한 의견이 나오고 있다. 주로 망분리가 혁신의 발목을 잡는다는 내용인데, 이에 대해 어떤 견해를 갖고 있나.

■ 박남규 상무= 망분리로 인해 업무가 불편해진 것은 사실이지만, 그만큼 보안이 강화된 것도 인정해야 한다. 예를 들어 대부분의 공격은 이메일을 통해 시작되는데, BC카드는 이메일 시스템에 대해서도 망분리를 해 공격이 업무망에 쉽게 닿지 못하도록 했다.

이러한 방식은 제로 트러스트 보안 원칙도 충실히 따른다고 본다. PC부터 서비스, 서버, 네트워크 등 정보처리 자원에 접근하기 위해 인증된 사용자만, 인증된 망을 통해 접근하는 것은 업무 효율성과 정보유출·침해방지라는 두가지 목적을 달성할 수 있다고 본다. 현재 환경에 맞지 않는 부분을 개선해나가는 방향으로 망분리 정책을 운영하는 것이 맞다고 생각한다.

보안 전제된 퍼블릭 클라우드 전략 구축 중

■ 탁정수 대표= 신용카드사는 다양한 온·오프라인 간편결제 서비스와 다양한 고객 맞춤형 서비스를 제공하는 등 혁신기술을 사용한 변화 요구를 받고 있다. 그러면서 한층 더 진화한 사이버 위협에 직면해있는데, 변화와 위협이라는 두가지 큰 과제를 어떻게 해결해나가고 있나.

■ 박남규 상무= BC카드는 보안을 기업 문화에 체질화해 모든 사업이 보안을 기반으로 설계되도록 하면서 사이버 리스크에 대응한다. 이와 함께 빠르게 변하는 환경에 대응하기 위해 AI와 클라우드를 적극 수용하면서 유연성과 민첩성을 높이고자 한다.

여러 금융기관이 보안을 이유로 프라이빗 클라우드를 선택하는 경향이 있는데, 프라이빗 클라우드는 클라우드의 장점을 제대로 발휘하기 어렵다.

금융보안원의 ‘금융권 클라우드 서비스 이용 가이드’를 준수하면, 일정 수준 이상의 보안 기준을 설정할 수 있다. 필요하다면, 더 높은 기준을 만드는 것도 중요하다. 글로벌 사례를 보면 클라우드 사업자로 인한 보안사고가 상당히 많은데, 보안가이드가 없어서 사고가 난 것이 아니라 가이드를 충실히 지키지 않았기 때문인 경우가 많다.

BC카드는 마이데이터 시스템을 클라우드 기반으로 구축할 예정인데, 클라우드를 기반으로 한 시스템 설계와 서비스 제공 시 보안요건을 충실히 따르는지, 클라우드 사업자의 보안성 심의 여부와 이를 잘 지키고 있는지 등을 점검하면서 추진할 계획이다.

AI 보안 시스템, 사람의 개입 반드시 필요

■ 탁정수 대표= 많은 금융기관이 AI 사업을 하면서 단순히 AI 기술을 도입하는 것이 아니라 전체 프로세스를 만들어야 한다는데 방점을 찍고 있다. BC카드의 상황은 어떤가.

■ 박남규 상무= AI를 사용한다 해서 담당자의 업무가 줄어드는 것은 아니고, AI 시스템 설치만으로 모든 이상행위를 탐지할 수 있는 것도 아니다. AI 보안 시스템을 사용하면 AI를 역이용하는 해킹 시도가 늘어난다. 탐지되는 이벤트는 물론이고 탐지되지 않은 행위도 반드시 분석해야 한다.

BC카드는 몇 년 전 AI를 이용한 보안 이벤트 분석 툴을 도입해 운영했는데, 기대 수준보다 효율성 지표가 높지 않아서, 모든 트래픽을 전수검사하고 탐지 시나리오를 개선해 AI에 학습시키는 과정을 6개월 정도 진행했다. 그 과정에서 전사 직원을 대상으로 교육과 인식개선 프로그램을 꾸준히 진행했다. 그 결과 현재 상당한 수준의 이상행위 탐지 효과를 보고 있다.

비즈니스가 복잡해지고 사이버 위협이 늘어나면서 시스템이 증설되고 지능형 위협 대응 시스템이 계속 추가된다. 보안업무는 폭증하는데 그에 맞춰 보안 인력을 ‘충분히’ 채용한다는 것은 매우 어려운 일이다. 따라서 보안 자동화는 반드시 필요한 일이며, AI가 확실히 효과가 있다. 그러나 AI를 도입하고 운영할 때 일정 수준으로 사람이 개입해야 하며, 운영자의 전문성이 확보되어야 한다.

■ 탁정수 대표= SOAR 도입에도 관심 있나.

■ 박남규 상무= BC카드는 ‘인텔리전트 시큐리티 플랫폼(Intelligent Security Platform)’ 구축 사업을 전개하고 있는데, 이 사업의 궁극적인 목표가 SOAR다. 플랫폼을 통해 침해위협을 즉시 파악·대응하고 내부통제에 대한 사후 감사를 강화해 직원의 업무 편의성을 확대하면서 이상행위 통제를 강화하고자 한다.

AI를 이용한 보안관제 시스템을 구축, 운영하면서 AI와 자동화를 보안에 어떻게 구현할 것인지 충분히 검토한 후 보안관제 플랫폼을 SOAR로 고도화 할 계획을 세웠다. 올해 그 첫번째 사업으로 빅데이터 처리용 플랫폼을 구축하고, 머신러닝 기반 데이터 패턴 도출과 실제 사용자 행동 기반 사례를 적용해 내부통제를 고도화할 계획이다.

향후 SIEM 고도화와 EDR 도입으로 내부 정보자산에 대한 모니터링과 대응을 정교화하고 자동화 할 예정이다. 또 다양한 이벤트 속에서 위협에 대한 유의미한 단서를 찾아 해당 위협에 대처할 수 있도록 정교한 데이터 분석 역량을 높이고자 한다.

최소권한 정책 기반 보안 운영 지원

■ 탁정수 대표= 카드사는 다양한 규제준수 의무를 갖고 있어서 이를 이행하는데에도 상당한 어려움이 있다. BC카드의 컴플라이언스 전략은 무엇인가.

■ 박남규 상무= 카드사가 반드시 지켜야 할 규제를 충실히 이행하는 것은 당연한 일이다. 또한 자체 컴플라이언스 검증 프로세스를 통해 주기적인 자가점검을 수행하고 있으며, 24×365 통합보안관제를 운영하며, 정보보호시스템과 정보처리 시스템의 로그를 취합 분석하는 상관관계 분석을 통해 내·외부 위협 사항에 선제 대응하고 있다.

정보보호 인증과 외부 감사도 적극 활용하면서 보안 통제가 적절하게 되어 있는지 검증한다. 또한 업무 효율성을 유지할 수 있도록 다양한 노력을 전개하고 있으며, 보안 개선 제안 제도를 통해 좋은 아이디어나 개선 노력을 한 직원에게 보상하는 등의 프로그램도 운영하고 있다.

■ 탁정수 대표= 파트너사, 외주직원 등 제 3자에 의한 위협에 대응하는 방안도 필요하다.

■ 박남규 상무= 제3자 위협에 대응하기 위해 별도의 망과 계정을 부여하고, 최소권한 정책에 따라 통제하고 있다. 모든 정보는 사내에서만 유통될 수 있게 하며, 외부 메일 전송 시 반드시 승인을 거치도록 한다. 또한 고객정보·민감정보를 취급하는 담당자에게는 일부 정보를 마스킹해 보여주는 등의 조치를 통해 고객정보의 유출을 차단한다.

개인정보 위수탁사 관리에도 철저히 보안을 지키도록 한다. 데이터의 종류별, 사업 목적별로 구분해 외부로 전송된 데이터를 열람할 수 있는 사람, 기간, 횟수 등을 정하고 목적을 달성하면 파기하도록 하며, 관리하는 중에는 불법적으로 유출되지 않도록 상시 점검하고 확인한다. 혹시 모를 실수에 의한 개인정보 유출 사고도 방지하기 위해 정기적으로 수탁사에 대한 개인정보 보호 점검을 실시한다.

■ 탁정수 대표= BC카드에 신입사원으로 입사해 30여년 장기근속하고 보안 총괄 책임자까지 올랐다. 그 동안 많은 어려움과 도전이 있을 것 같은데, 후배들에게 당부하고 싶은 말씀이 있나.

■ 박남규 상무= 보안은 회사의 안정성을 위한다는 사명을 갖고 담당 직원들이 이에 대한 자부심을 가졌으면 한다. 특히 BC카드 보안 담당 직원 중에는 관련 분야를 전공하지 않은 직원들도 많은데, 일을 하면서 보람을 느껴 스스로 공부해서 석박사 학위를 받고 전문성을 높여가고 있다. 아울러 BC카드는 이러한 공부하고 노력하는 직원들을 적극 독려해 고급 전문가로 성장할 수 있도록 지원하고 있다.

이외에 보안 조직 책임자로서 보안은 IT의 어떤 분야보다 높은 성장을 이룰 수 있는 업무라는 사실을 강조하고 싶다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.