[데이터넷] 금융기관은 사이버 공격을 가장 많이 받고 있으며, 가장 강력한 규제를 준수해야 할 의무를 갖고 있다. 유럽에 본사를 둔 글로벌 금융기관 스탠다드차타드(SC)에 속한 SC제일은행은 이에 더해 글로벌 규제와 국내 규제를 모두 만족해야 한다는 요구까지 받고 있다. IT 전문 매거진 <네트워크타임즈>와 IT 전문 인터넷 언론 <데이터넷>, 그리고 IT 기업 인포시즈가 공동으로 진행하는 <금융 CISO를 만나다> 시리즈는 김홍선 SC제일은행 부행장을 만나 국내외 규제준수와 보안 요구에 대응하는 방법을 알아본다.
“사이버 보안이라는 제한된 시각에서 보안전략을 수립하면 급변하는 글로벌 금융산업에서 지속 가능한 서비스를 제공할 수 없다. 비즈니스 거버넌스 관점에서 리스크 관리와 데이터 프라이버시에 중점을 둔 보안원칙이 반드시 필요하다.”
김홍선 SC제일은행 부행장은 날이 갈수록 강화되는 국내외 컴플라이언스와 복잡해지고 지능화된 사이버 공격에 대응하기 위한 금융권 보안전략을 제안하면서 ‘거버넌스’와 ‘가시성’에 초점을 맞춰야 한다고 강조했다. 협소한 의미의 ‘보안’에만 집중하면 빠른 속도로 전개되는 디지털 트랜스포메이션을 따라가지 못하며, 진화하는 사이버 위협에도 제대로 대응하지 못한다는 얘기다.
급속도로 변하는 디지털 금융환경을 겨우 따라가는 보안전략은 하루 빨리 벗어나야 하며, 금융산업 전반의 트렌드를 읽고 이 환경에서 금융 비즈니스의 연속성을 보장할 수 있는 보안원칙과 정책, 세부전략을 수립하는 것이 중요하다.
김홍선 부행장은 “특정 기술과 위협대응 전략을 중심으로 한 기존의 보안 접근 방식에서 완전히 벗어나야 한다. 비즈니스 전반의 가시성을 확보하고 디지털자산 전반에 대한 적절한 통제와 접근제어를 적용하면서도 고객의 프라이버시를 보호할 수 있는 방안을 마련해야 한다”고 강조했다.
김홍선 SC제일은행 부행장과 탁정수 인포시즈 대표의 대담을 아래와 같이 정리한다.
국내외 규제⋅사이버 보안 필수 조건 만족해야
■ 탁정수 대표= SC제일은행은 글로벌 금융기관인 스탠다드차타드(SC)의 일원이면서 국내에서 금융 서비스를 제공하는 기관이기 때문에 다른 국내 금융기관과 다른 보안 접근이 필요할 것 같다.
■ 김홍선 부행장= 말씀하신 것처럼 SC의 글로벌 컴플라이언스와 국내 금융기관이 지켜야 할 규제준수 의무를 모두 충족하면서 진화하는 사이버보안 문제를 해결하는 것이 매우 중요한 일이다.
SC는 ‘코너스톤’ 이라는 대규모 프로젝트를 통해 전방위적인 보안의 기틀을 확보하면서, 금융보안 규제준수를 위한 기반을 마련했다. 한국의 금융산업은 매우 빠르고 광범위한 인터넷 서비스를 기반으로 한 혁신적인 서비스를 다양하게 제공하고 있는데, 이를 보호하기 위한 최신 보안기술도 필요하다. 또한 수시로 변하는 사이버 위협과 컴플라이언스에 대응할 수 있는 리스크 매니지먼트 프레임워크(RMF)를 마련해서 운영하고 있다.
■ 탁정수 대표= 국내 대표적인 보안기업 CEO를 역임했기 때문에 금융기관 정보보호 총괄임원 역할을 수행하는데 유리한 점이 있나.
■ 김홍선 부행장= 보안전문기업에 오랫동안 몸 담아왔기 때문에 기술의 중요성을 누구보다 잘 알고 있으며, 신기술을 어떻게 적용하고 운영해야 하는지 이해도가 높은 편이라고 자평한다. 그러나 보안은 기술만으로 해결할 수 있는 것이 아니며, 금융 서비스의 특수성에 맞춰 IT와 보안기술을 전략적으로 선택하고 운영하는 것이 중요하다.
현재 금융산업은 ‘금융 르네상스’로 일컬어질 만큼 역동적으로 변하고 있다. 핀테크·테크핀이라는 새로운 서비스가 쏟아지고 있으며, 경계 구분 없는 다양한 협력을 통해 고객과 산업을 위한 혁신을 이어가고 있다. 이러한 상황 전반의 리스크를 관리하면서 필요한 보안기술을 적용하는데 집중하고 있다.
■ 탁정수 대표= 금융 르네상스는 ‘데이터 경제’로 인해 가속화되고 있다. 하반기 마이데이터 사업이 시작되면 이러한 혁신의 시도가 더 적극적으로 전개될 것으로 보이는데, 이에 대한 대책을 마련하고 있나.
■ 김홍선 부행장= SC제일은행은 마이데이터를 위한 준비를 일찍부터 진행하고 있다. 오픈 API 연계를 마쳤으며, 여러 금융기관과 함께 금융권 최초로 비식별화된 개인정보를 퍼블릭 클라우드에서 활용하는 프로젝트를 진행하고 있다. 이는 보안이 갖춰지지 않으면 절대로 진행될 수 없다. 다양한 방안으로 보안성과 편의성을 동시에 만족할 수 있는 방안을 찾고 있다.
진화하는 공격 대응 방안 마련 필요
■ 탁정수 대표= 코로나19가 금융권의 혁신을 더 가속화 한 측면이 있다. 다양한 비대면 금융 서비스를 출시하게 했으며, 금융기관 임직원의 재택·원격근무를 도입시켜 유연한 근무환경을 만들기도 했다. 이러한 변화에 수반되는 보안 문제를 어떻게 해결하고 있나.
■ 김홍선 부행장= 우선 코로나19 감염과 확산 방지를 위해 재택근무와 순환근무를 도입하면서 임직원의 안전을 관리해왔다. 집, 원격지, 사무실 등 분산된 환경에서 근무하는 임직원의 업무 환경을 지원하면서 보호할 수 있도록 적절한 보안기술을 도입했으며, 모든 환경을 가시화하고 일관적으로 통제할 수 있는 체계를 만들어 운영하고 있다.
SC는 본사 차원에서 보안 모니터링과 분석 대시보드를 강화해 재택·원격근무와 클라우드의 분산된 환경에서 지능적으로 진화하는 보안 공격에 대응하고 있다. 실제와 같은 환경의 사이버 공격 모의훈련과 교육을 통해 임직원 보안인식 정립에 힘쓰고 있으며, 고객자산보호를 위해 사기거래 탐지, 비정상적인 결제 프로세스 변경요청 탐지 및 대응정책을 마련하고 있다.
또한 사회 전체의 사이버위협 대응과 완화를 위해 여러 공공·민간 기관과 협력하고 있다.
■ 탁정수 대표= 최근 랜섬웨어 공격이 전 산업군을 위협하고 있다. 공격자가 좋아하는 정보와 금전을 다루는 금융기관에 특히 랜섬웨어 공격이 집중되고 있는데, 이에 대한 대응책은 무엇인가.
■ 김홍선 부행장= 기존 랜섬웨어는 데이터를 인질로 잡아 돈을 요구했지만, 지금 랜섬웨어는 비즈니스를 중단시키면서 돈을 요구한다. 랜섬웨어는 비즈니스 연속성을 위협하는 매우 심각한 리스크다. 랜섬웨어 대응을 위한 엔드포인트 보안, 악성코드 탐지 역량을 강화하고, 침투테스트와 보안훈련을 통해 시스템과 서비스의 취약점을 제거하고 임직원의 보안인식을 높이는 것은 기본이다. 나아가 랜섬웨어로 서비스가 중단되지 않도록 지능형 방어정책과 전략을 수립하고 있으며, 섬세한 리스크 관리를 통해 비즈니스 연속성을 지킬 수 있도록 하고 있다.
지능형 보안관제로 보안인력 피로도 낮춰
■ 탁정수 대표= 진화하는 공격 대응을 위해 금융권에서 지능형 보안관제 시스템 도입에 관심이 많은 편이다. SC제일은행은 어떤가.
■ 김홍선 부행장= 보안관제의 핵심은 ‘오·미탐을 줄이면서 신속하고 정확하게 탐지하고 대응하는가’이다. 이를 위해 자동화가 필요한데, 사실 보안관제는 정형화된 영역이 많아 자동화하기 쉬운 편이다. 자동화된 보안 관제 시스템에 AI·머신러닝을 접목해 지능형 보안관제 시스템을 완성하면 오·미탐 없이 정확하게 위협을 탐지하고 대응할 수 있다.
이러한 노력은 관제인력의 축소가 아니라 관제인력의 고도화로 이어져야 한다. 아직도 보안관제 시스템은 노동집약적으로 운영되는 경향이 있어 근무하는 사람들을 지치게 한다. 자동화·지능화를 통해 보안관제 인력이 단순반복적인 업무에서 벗어나게 해야 한다.
20년 이상 보안관제센터를 운영하고 관리해 온 경험을 바탕으로 진단하면, 금융기관의 보안관제는 이미 많은 부분 표준화·정형화 되어 있기 때문에 지능형 보안관제로 전환하는데 무리가 없다. 문제는 입체적으로 사이버공격이 진행되는 상황에서 데이터를 수집해서 실시간으로 분석하는 플랫폼 역량이 중요이다. 보안제품은 물론 모든 서버, 어플리케이션, 단말기 등에서 접근로그나 행위를 종합적으로 분석해서 위협의 맥락(context)을 판단할 수 있어야 한다.
SC제일은행은 SIEM과 SOAR를 기반으로 전반적인 보안 아키텍처와 표준화된 프로세스를 구축해서 SOC를 체계적으로 관리하고 있으며, AI·머신러닝을 통해 고도화하고 있다.
■ 탁정수 대표= 지능형 보안관제, SOAR는 궁극적으로 보안 성숙도를 높이기 위한 것이다. 보안 성숙도 관점에서 SC제일은행의 보안 전략을 설명한다면.
■ 김홍선 부행장= 단순·반복적인 보안 업무는 기계에게 맡기는 것이 실수를 줄이고 틈 없는 보안 환경을 만들 수 있는 방법이다. 보안인력은 단순⋅반복적 업무에서 벗어나 전 세계 위협 동향을 파악하고 조직의 리스크를 제대로 관리하면서 보안 성숙도를 높이는데 집중해야 한다. 또한 보안인력이 새로운 기술과 툴을 익히면서 보안 전문성을 제고하는 것도 필요하다. SC제일은행은 보안인력 전문성을 높이기 위해 적극적으로 노력하고 투자하고 있다.
비즈니스 연속성을 위한 보안을 실현하기 위해 현업 부서와 다양하게 협력하고 있으며, 개발·운영부서와도 긴밀하게 논의해 개발 단계부터 취약점을 제거해 서비스 전체에서 보안 리스크를 제거하고 있다. 아무리 급한 서비스나 아주 작은 서비스라도 보안 점검을 통과하지 못하면 출시하지 못한다. 이것이 비즈니스 연속성을 보장할 수 있는 근본적인 방법이다.
또한 보안은 경영 리스크로 설명할 수 있어야 하며, 이를 위해서는 비즈니스 모델을 알아야 한다. 사고에 대응하는데 급급해서는 보안 성숙도를 높일 수 없다. 보안 담당자가 경영진의 일원으로 참여할 수 있도록 경영 환경에 적용 가능한 보안 전략을 수립하고 운영할 수 있도록 전문성을 높여야 한다.
■ 탁정수 대표= 보안업무를 담당하고 있는 후배들과 보안 담당자들에게 조언을 한 말씀 해 주신다면.
■ 김홍선 부행장= 우리나라는 지능형 사이버공격이 많아 현장에서 발휘하는 보안기술력은 다른 나라보다 뛰어난 편이다. 그러나 경영 리스크 관점에서 설계하고 통제하는 영역에서는 부족한 면이 있다. 현업 부서와 고객, 파트너 등 여러 수요자의 입장을 고려하고 좋은 기술과 정책을 적절하게 적용할 수 있는 프로세스를 만들고 지속적으로 관리하는 것이 필요하다.
