[금융CISO를 만나다] 박현식 대신증권 정보보호부문장 “IT-보안, 지향점은 같다”
상태바
[금융CISO를 만나다] 박현식 대신증권 정보보호부문장 “IT-보안, 지향점은 같다”
  • 김선애 기자
  • 승인 2021.07.23 13:31
  • 댓글 0
이 기사를 공유합니다

혁신적인 디지털 금융, 보안 전제 되어야 성공 … 편리하고 안전한 금융 서비스 지향
국내외 보안 동향‧사고 시 회사에 미치는 영향 분석‧보호해 임직원 보안 인식 제고

[데이터넷] 포스트 코로나 시대 금융 서비스는 보안이 생명이다. 다양하고 편리한 디지털 금융 서비스가 쏟아져나오고 있는데, 편리한 만큼 취약한 점을 노리는 사이버 공격이 급증하기 때문이다. 그래서 금융기관은 보안과 혁신을 모두 만족하는 서비스를 제공‧운영해야 한다. IT 전문 매거진 <네트워크타임즈>와 IT 전문 인터넷 언론 <데이터넷>, 그리고 IT 기업 인포시즈가 공동으로 진행하는 <금융 CISO를 만나다> 시리즈는 대신증권 정보보호부문장인 박현식 이사를 만나 ‘혁신’과 ‘보안’이라는 두 가지 과제를 성공시키는 방법에 대해 이야기 나눴다.<편집자>

IT와 보안은 종종 갈등을 빚는다. 생산성과 효율성을 높이기 위한 IT 프로젝트에 ‘보안’이 개입되면 프로젝트 기간이 길어지고, 비용이 많이 들며, 목표했던 생산성‧효율성 제고 효과를 거둘 수 없다는 우려가 있다. 그러나 보안을 배제한 사업은 심각한 위협에 노출될 수 있다.

대신증권 정보보호부문장(CISO)인 박현식 이사는 “IT와 보안은 기업의 효율성을 높이면서 보안위협에 직면하지 않도록 한다는 공통의 목표를 갖는다. 보안 정책을 강화하면서 불필요한 보안은 제거해 생산성과 보안성을 함께 높여 모든 직원이 즐겁게 일할 수 있도록 하는 것이 IT와 보안 조직이 추구해야 할 목표”라고 말했다.

디지털 혁신이 한층 가속화되는 포스트 코로나 시대에는 ‘보안 내재화된 IT’가 비즈니스의 핵심 경쟁력이 될 것이므로 IT와 보안은 서로 협력하면서 발전해 나가야 한다. 박현식 이사는 오랜 기간 IT 기획을 총괄해왔으며, 지난해 정보보호부문장으로 선임되면서 정보보호 업무를 책임지게 됐다. IT와 보안에 대한 깊은 이해를 바탕으로 보안을 전제로 한 디지털 트랜스포메이션을 이끄는데 중요한 역할을 하고 있다.

▲대신증권 정보보호부문장(CISO)인 박현식 이사는 “IT와 보안은 기업의 효율성을 높이면서 보안위협에 직면하지 않도록 한다는 공통의 목표를 갖는다. 보안 정책을 강화하면서 불필요한 보안은 제거해 생산성과 보안성을 함께 높여 모든 직원이 즐겁게 일할 수 있도록 하는 것이 IT와 보안 조직이 추구해야 할 목표”라고 말했다.

박현식 대신증권 CISO와 탁정수 인포시즈 대표의 대담을 아래와 같이 정리한다.

고객 보호 강화한 혁신 금융 서비스 제공

■ 탁정수 대표= 대신증권은 HTS를 가장 먼저 오픈하면서 업계에서 가장 앞선 디지털 서비스 인프라를 갖춰왔다.

■ 박현식 이사= 대신증권은 증권업계에서 IT 혁신을 선도해왔다. 2000년대 초반, 오픈 환경의 접속서버를 IDC에 직접 구축 했고, HTS도 가장 먼저 서비스해 증권거래의 HTS시대를 열었으며, 2009년에는 증권사 최초로 코어업무를 J2EE로 구축했다. 또한 시스템 개발, 운영 등 IT 업무를 직접 수행해 증권 IT 분야에서 가장 높은 전문성을 갖고 있다고 자신한다.

■ 탁정수 대표= IT 투자에 적극적이었던 만큼, 대 고객 서비스에 있어서도 차별화된 점이 있을 것 같다.

■ 박현식 이사= 대신증권은 핀테크 활성화와 비대면 금융 서비스가 확산되면서 고객 편의성과 보안성을 극대화할 수 있는 첨단 기술을 적극 도입하고 있으며, 고객이 원하는 서비스를 안전하게 이용할 수 있도록 적극적인 노력을 기울이고 있다.

최근 증권회사, 증권회사 임직원을 사칭, 투자방, 리딩방 등을 불법 개설하고 금전을 갈취하는 사기가 늘고 있어 고객 보호를 위한 노력에도 적극 나서고 있다. 대신증권은 고객에게 유의사항을 주기적으로 안내하는 한편 이상거래 탐지 시스템(FDS)을 통해 이상거래를 실시간 탐지하고 대응하고 있다. 또한 고객들이 피싱으로 인한 피해를 막을 수 있도록 피싱 앱 탐지 등의 보안 기능도 검토하고 있다.

대신증권이 자체 개발한 FDS는 빅데이터 분석 기술을 이용해 고객 접속정보와 거래내역 프로파일링, 일반행위 패턴 프로파일링을 기반으로 의심거래를 탐지하고, 거래를 차단하고 후속 조치를 즉각 취할 수 있도록 한다. 이상거래 탐지율을 높이기 위해 지난해 고객 프로파일링과 사고 사례 분석을 업그레이드 했으며, 탐지 시나리오를 고도화해 적중률을 높이고 고객의 자산을 철저하게 보호하고 있다.

■ 탁정수 대표= 고객정보 보호를 위한 특별한 방안을 마련하고 있나.

■ 박현식 이사= 고객정보는 핵심 자산인 만큼, 철저하게 보호하고 있다. 대신증권은 지난해 전사 고객정보 관리 업무 체계 정보보호 수준을 강화해 지난해 증권사 최초로 ISMS-P 인증을 취득했다. 이 외 관련 법규에서 정한 개인정보 보호 대책을 완벽하게 따르고 있으며, 이상행위 탐지 기술, 지능형 모니터링 기술, 개인정보 보호 기술 등을 적용해 고객정보를 안전하게 보호하고 있다.

고객정보 보호와 함께 고객이 원하는 서비스를 쉽게 이용할 수 있도록 돕기 위해 마이데이터 사업자 허가 신청을 했으며, 신용정보법에 따른 금융당국의 요구에 맞춰 표준 API 등 만반의 준비를 하고 있다. 연말 마이데이터 사업이 본격 시작되면 최적의 서비스를 제공한다는 계획이다. 이를 위한 시스템 취약점 점검도 진행하면서 서비스 계획‧설계 단계부터 취약점을 제거하고 있다.

 

IT, 보안 내재화된 혁신 추구해야

■ 탁정수 대표= 디지털 금융 혁신이 빠르게 전개되는 상황에서 CISO의 역할을 수행하는 것에 부담은 없나.

 

■ 박현식 이사= IT 기획 총괄 역할을 오래 수행하다 지난해 CISO로 선임됐기 때문에 이로 인한 부담이 상당했다. IT와 보안이 추구하는 ‘혁신’의 방향이 다르다고 생각했기 때문이다. 그러나 실제 보안 책임 역할을 수행하다보니, IT와 보안의 지향점이 근본적으로 다르지 않다는 것을 알았다. 시장과 고객의 요구에 맞춰 혁신적인 금융 서비스를 제공하기 위해서는 반드시 보안이 내재화 되어 있어야 한다. 이 원칙을 기반으로 IT 혁신 사업을 전개하면 IT 조직과 보안 조직의 갈등은 대부분 해결될 수 있다.

■ 탁정수 대표= CISO로서 가장 주안점을 두고 있는 부분은 무엇인가.

■ 박현식 이사= 대부분의 금융거래가 온라인으로 이뤄지는 현재, 고객의 자산을 지키는 선량한 금융회사의 역할을 다하기 위해 불온한 외부 침입으로부터 고객 데이터 보호와 내부로부터의 부적절한 유출을 막아야 한다는 절박함이 있다. 저는 정보보호의 컨트롤타워로서 이러한 활동이 효율적이고 체계적으로 이뤄지도록 지휘하며, 시시각각 변하는 위협에 대응 할 수 있도록 최선을 다하고 있다.

■ 탁정수 대표= 최근 랜섬웨어, 피싱 등 심각한 보안 사고가 산업군을 가리지 않고 발생하고 있다. 이에 대한 대책은 어떻게 마련하고 있나.

■ 박현식 이사= 최근 전 세계적으로 피싱, 스미싱, 랜섬웨어, 정보유출 등의 사고가 심각한 수준으로 발생하고 있다. 이러한 사고로 고객이나 회사가 피해를 입지 않도록 고객과 임직원에게 지속적으로 보안 수칙을 당부하고 있으며, 매 월 정보보호의 날을 지정해 보안수칙 준수 여부를 점검하고, 임직원 대상 교육과 캠페인, 모의훈련을 전개하고 있다.

또한 공격자들이 사용하는 지능적인 공격도구와 전술‧전략을 빠르게 탐지하고 대응할 수 있는 시스템을 도입하고 있으며, 서비스 거부 공격, 서버 해킹 공격 등의 방어를 위해 전산센터를 다중화해 서비스 안정성을 높였다.

금융보안원과 연계 및 자체 24*365 보안관제 서비스를 운영하는 한편, 고객 이상 거래 방지 모니터링 시스템을 통하여 고객의 피해 예방을 위해 노력하고 있다.

속도 내는 클라우드 전환 … 규제준수 요건도 만족

■ 탁정수 대표= 금융기관의 클라우드 전환 속도가 빨라지고 있는데, 이와 관련한 로드맵이 있나.

■ 박현식 이사= 클라우드는 금융 혁신을 위해 반드시 필요한 전략이라고 믿고 있다. 특히 동학개미 운동, 공모주 청약 열기 등으로 주식 거래량이 급증하고 있어 안정적인 시스템 준비가 무엇보다 필요하다. 대신증권은 전산센터 다중화로 서비스 안정성을 보장하고 있으며, 향후 발생할 비즈니스 상황에 민첩하게 대응하기 위해 클라우드 전환 계획을 수립하고 단계적으로 진행하고 있다.

클라우드 도입 시 서비스의 중단‧지연 없는 안정성, 고객정보 보호, 해킹 및 디도스 방어 등의 보안 문제를 중점적으로 검토하고 있다.

■ 탁정수 대표= 코로나19가 장기화되면서 재택근무 확장도 고민될 것 같은데.

■ 박현식 이사= 금융권 재택근무 가이드라인에 맞춰 재택근무 환경을 구축해 운영하고 있다. 재택근무를 위한 사규 제정과 시스템 구축을 완료했으며, 최신OS 및 백신 상태 확인, 화면캡처 방지, 정보유출 방지, 안전한 원격접속 솔루션을 도입했다. 보안에 취약한 공공장소에서 접속하는 등 기술적으로 막지 못하는 부분에 대해서는 보안교육을 통해 임직원의 보안 체질을 강화했으며, ‘재택근무 보안 준수 서약서’를 통해 정보보호 중요성을 강조하고 있다.

■ 탁정수 대표= 금융 환경이 빠르게 변하다보니, 혁신을 위한 과제와 규제를 위한 과제를 모두 만족하는 것이 쉽지 않을 것 같다. 이 문제는 어떻게 풀고 있나.

■ 박현식 이사= 금융회사는 자산을 다루는 기관인 만큼, 다양한 규제준수 의무를 갖는 것이 당연하다. 따라서 규제를 준수하면서 혁신을 이어가는 방법을 찾는 것이 매우 중요하다. 대신증권은 관계 법 준수 여부를 상시 점검하고, 경영진에 보고하고 있다.

이를 효과적으로 하기 위해 정보보호 컴플라이언스 시스템을 구축해 전자금융거래법, 신용정보법, 개인정보보호법 등에서 요구하는 컴플라이언스 요구사항에 대해 법적 준수 사항을 실시간으로 준수하고 있는지 한눈에 볼 수 있도록 하고 있다. 여러 감독기관의 다양한 자료 요구에 기존에 작성된 자료를 재활용하고, 변경관리를 함으로써, 업무의 효율성을 확보했다. 

■ 탁정수 대표= 클라우드, 재택근무와 같은 새로운 업무 형태로 인해 공격면이 증가하고 그만큼 보안 대응이 어려워지고 복잡해진다. 이 문제는 어떻게 해결하고 있나.

■ 박현식 이사= 복잡한 보안 문제는 단순하게 푸는 것이 가장 현명한 방법이다. 자동화를 통해 보안조직의 업무를 줄이고 보안팀은 더 고도화된 위협에 대응할 수 있도록 준비해야 한다. 그러나 아직 보안분야 자동화는 실제 업무를 효과적으로 줄일 수 있는 수준은 아니다. 국내에 공급되는 자동화 보안 관제 시스템을 지속적으로 확인하고 검토하면서 보안관제 시스템을 개선하는 노력을 진행하고 있다.

대신증권은 현재 운영중인 통합보안관제 시스템에 보안관제 채널을 추가해 분석 범위를 넓히는 한편, 분석엔진을 개선해 지능화되는 공격에 대응하고 있다. SIEM, AI, NDR‧EDR, SOAR와 연계를 통해 더 정확하고 효과적인 보안 탐지 및 대응 시스템을 완성해 나갈 계획이다.

전사 임직원 보안인식 고취 노력 전개

■ 탁정수 대표= 보안 조직이 갖고 있는 난제 중 하나가 경영진을 설득하는데 어려움을 겪는다는 것이다. 경영진이 보안에 적극적인 의지를 가질 수 있도록 하는 방법이 있나.

■ 박현식 이사= 대신증권 경영진은 IT 투자에 적극적인 편이었기 때문에 보안 문제에 있어서도 상당히 높은 인식 수준을 갖고 있다. 정기적으로 경영진에게 최근 사이버 보안 동향과 주요 이슈, 사고 사례를 공유하고, 정보보호가 회사에 미치는 영향을 지속적으로 알려 정보보호 필요성과 투자 필요성을 이해할 수 있도록 적극 노력하고 있다.

경영진의 이해를 구하는 것만큼 중요한 것이 전사 임직원의 보안 인식을 갖는 것이다. 보안은 조직의 가장 낮은 수준만큼 보호된다는 말이 있다. 보안 시스템을 잘 갖추고 모든 직원이 보안 정책을 지킨다 해도, 단 한 명이 단 한 번 실수해 랜섬웨어 공격을 당할 수 있다.

정보보호부문에서는 전체 임직원이 보안 인식을 가질 수 있도록 지속적으로 대화하고 캠페인을 진행하고 있다. 여러 협업 부서와 IT 조직의 원활한 소통을 위해 RM조직 역할을 활성화하고 있으며, 개발 절차에 3개 조직이 참여해 보안을 고려한 사업이 전개될 수 있도록 하고 있다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.