[데이터넷] 정보보호 담당자의 가장 큰 불만은 ‘권한 없이 책임만 있다’는 것이다. 이상근 DGB대구은행 CISO는 “보안조직의 위상이 높아져야 디지털 금융 혁신에 성공할 수 있다”고 강조한다. 장기적으로 지속 가능한 디지털 금융 서비스를 제공하기 위해서는 DNA를 바꿀 정도로 혁신에 집중해야 하며, 그 핵심에는 반드시 보안이 내재화 돼 있어야 한다는 설명이다. IT 전문 매거진 <네트워크타임즈>와 IT 전문 인터넷 신문 <데이터넷>, 그리고 IT 기업 인포시즈가 공동으로 진행하는 <금융 CISO를 만나다> 시리즈의 이번호에서는 이상근 CISO를 만나 보안 조직의 위상을 높이고 보안 중심 거버넌스를 추진할 수 있는 방법에 대해 이야기했다.<편집자>

DGB대구은행 CISO인 이상근 본부장은 조직 생활에서 가장 중요한 두 가지로 ‘역지사지’와 ‘자기계발’을 들었다. 상대의 입장에 서 보고 그 상황을 이해하려는 노력, 그리고 스스로 끊임없이 노력해 자신의 실력을 쌓으려는 노력, 이 두 가지가 가장 중요하다고 강조했다.

이상근 본부장은 업계 경력 31년 중 28년을 ICT 관련 부서에서, 3년은 영업점에서 근무했다. 개발자로 입사해 IT 총괄 부서장을 맡았고, 자회사 DGB데이터시스템과 영업점 경력을 쌓았으며, 지난해 말 상무로 승진하면서 CISO와 CPO를 맡게 됐다.

이상근 본부장은 다양한 부서 업무를 경험한 후 정보보호 총괄을 맡게 돼 현장과 밀착된 IT·보안 정책을 수립하고 집행할 수 있게 됐다고 강조한다. 특히 영업지점에서 근무한 경험을 통해 고객과 영업점 직원들이 느끼는 불편함과 개선점을 알 수 있게 돼 현장의 요구를 최대한 수용할 수 있게 됐다고 역설한다.

이상근 DGB대구은행 본부장과 탁정수 인포시즈 대표의 대담을 정리한다.

100년 DGB 위한 디지털 금융 전략 이행

■ 탁정수 대표= DGB대구은행에 대해 간략히 소개해 달라.

■ 이상근 본부장= DGB대구은행은 대구·경북 지역민과 함께 성장해 온 국내 최초 지방은행으로, 1967년 출범 후 50여년간 지역경제를 지켜왔으며, 서울, 경기권 진출과 함께 동남아시아 여러 지역에 지점을 개설하면서 글로벌 시장 개척에도 나서고 있다.

‘따뜻한 금융으로 모두가 꿈꾸는 세상을 만들자’라는 미션으로 금융 본연의 역할을 충실히 수행하는 한편, 100년 DGB를 이루기 위해 디지털 금융 핵심전략을 추진하고 있다. 최근 마이데이터 사업자 승인을 획득하고 12월 마이데이터 기반 맞춤형 개인자산관리 서비스를 IMBANK 애플리케이션에 론칭할 예정이며, 지역금융으로서의 장점을 살린 지역밀착형 플랫폼인 IM샵 애플리케이션에도 마이데이터와 연계하는 방안을 구상하고 있다.

현장과 괴리되지 않은 보안 정책 운영

■ 탁정수 대표= 마이데이터 사업은 보안이 무엇보다 중요하지만, 너무 지나치게 보안 중심 사업을 진행하면 경쟁력을 갖기 어려워질 수 있다. 이 문제를 어떻게 해결하고 있나.

■ 이상근 본부장= 마이데이터는 디지털 금융 혁신의 핵심이지만, 보안 문제가 해결되지 않으면 추진할 수 없다. 그래서 마이데이터 비즈니스 모델을 수립할 때 DGB대구은행의 정보보호 담당이 처음부터 함께 참여했다. 그래서 보안이 내재화된 데이터 기반 핵심 금융 서비스를 설계하고 서비스할 수 있도록 준비하고 있다.

■ 탁정수 대표= 설계 단계부터 보안을 내재화하면, 사업 추진 속도를 더디게 한다는 현업의 불만이 나오게 된다.

■ 이상근 본부장= 그래서 역지사지가 필요하다. 각자 서로의 입장에서 이해하려고 노력하면 가장 좋은 대안을 도출할 수 있다. 이를 위해서는 해당 부서에서 업무를 해 본 경험이 중요하다. DGB대구은행은 본인이 원하는 경우 다른 부서에서 다양한 경험을 쌓을 수 있도록 돕고 있다.

저의 경우 IT 개발자로 입사해서 여러 IT 사업을 수행하다 자회사인 DGB데이터시스템 설립·운영에 중요한 역할을 담당했으며, 영업점에도 근무하면서 현장의 고충을 두루 경험할 수 있었다. 그래서 정보보호 총괄 임원을 맡게 됐을 때 현장과 괴리되지 않도록 정책을 조정하게 됐다.

전 직원 보안 인식 제고 위해 노력

■ 탁정수 대표= 30여년 IT와 보안업무를 맡으면서 많은 일이 있었을 것 같다. 가장 기억에 남는 이슈와 어떻게 해결했는지 말씀해달라.

■ 이상근 본부장= 그동안 겪은 사건·사고를 다 말할 수는 없지만, 대표적인 경험을 이야기한다면 2015년 인터넷뱅킹 구간이 디도스 공격을 당해 서비스 장애를 겪은 아찔한 일이 있었다. 이후 은행 자체 디도스 장비로 1차 방어, 통신사 디도스 대응 서비스로 2차 방어, 금융보안원 디도스 대피소로 3차 방어하는 시스템을 구축해 2017년 국내 전 금융권에 대규모 디도스 공격이 발생했을 때 성공적으로 막을 수 있었다.

■ 탁정수 대표= 정보보호 총괄로서 가장 중요하게 생각하는 것은 무엇인가.

■ 이상근 본부장= 정보보호는 ‘통제’하는 부서이기 때문에 현업과 갈등이 생길 수밖에 없으며 보안 담당자들의 사기가 꺾이는 경우가 많다. 정보보호 조직의 위상을 높이고 전 직원과 현업부서들이 보안의 중요성을 충분히 이해해야 한다.

디지털 트랜스포메이션을 넘어 데이터 트랜스포메이션 시기에 사이버 보안 리스크와 데이터 프라이버시 관리 체계를 정립하는 것은 금융 서비스의 연속성 확보를 위해 매우 중요하다는 점을 전 임직원에게 각인시키는 것이 필요하다. 그래서 CISO가 먼저 비즈니스를 이해하고 혁신적인 사고를 기반으로 한 보안 정책을 정비하는 것이 필요하다.

DGB대구은행 경영진은 디지털 금융 혁신에서 보안이 얼마나 중요한지 충분히 이해하고 있기 때문에 보안을 통한 혁신을 추진하는데 상당한 도움을 받고 있다.

현재 ▲빅데이터 기반 AI, 마이데이터, 빅테크·핀테크, 클라우드 등 최신 기술 ▲도전적이고 창의적인 아이디어를 통해 혁신적이고 경쟁력이 있는 금융 비즈니스 ▲이를 뒷받침하는 사이버 보안과 데이터 프라이버시를 위한 장기적이고 체계적인 전략을 수립하고 진행하고 있다. 단지 IT 보안 관점의 리스크와 관리체계에만 중점을 둔 것이 아니라 데이터 거버넌스를 통한 전체 비즈니스 보안을 마련하고 있다.

■ 탁정수 대표= 다른 금융기관과 차별성 있게 DGB대구은행이 추진하는 정보보호 전략을 소개해달라.

■ 이상근 본부장= 금융기관은 강력한 규제준수 의무가 있기 때문에 타 금융사와 완벽하게 다른 전략을 펼치기 쉽지 않다. 그래서 DGB대구은행은 컴플라이언스를 지키면서 혁신과 보안을 함께 달성하기 위한 노력을 지속하고 있다.

일례로 ISO27001 인증에 이어 올해 ISMS, ISMS-P를 동시 취득했고, 개정 예정인 전자금융거래법에서 요구하는 금융회사의 전자적 금융보안체계에 대응하기 위해 프로세스를 추가 또는 정비하고 있다.

다각화되는 고객 채널, 여러 제휴기관의 연계 및 IT환경의 발전에 발맞춰 정보보호 수준도 적정하게 유지되도록 지속적으로 관리하고 있으며, 계열사 전체 임직원을 대상으로 피싱·스미싱 대응 훈련을 매월 실시해 그 결과를 계열사로 피드백 하고 있다. 이를 통해 지능화되는 랜섬웨어와 APT 공격으로부터 서비스를 보호할 수 있게 한다.

또한 정보기술분야 예산 대비 정보보호 분야 예산 편성 및 집행률을 은행권 최상위 수준으로 투자하는 등 정보보호 강화와 효율화에 투자를 아끼지 않고 있다.

■ 탁정수 대표= 정보보호 담당자들이 토로하는 문제가 보안은 권한은 낮고 책임은 높으며, 승진에도 제약이 있어 미래가 밝지 않다는 것이다. 업무에 대한 보람을 느끼기 어려운 현재 보안 현장의 담당자들에게 조언을 한다면.

■ 이상근 본부장= 끊임없는 자기계발이 필요하다. 자신에게 주어진 ‘보안’이라는 업무에만 천착하지 말고, 비즈니스 전체의 큰 그림을 볼 수 있어야 한다. 비즈니스 중심적인 IT와 보안 전문성을 키운다면 일에서 보람을 느낄 수 있고 승진이나 다른 좋은 기회를 가질 수 있을 것이라고 확신한다.

인재양성 위한 다양한 노력 경주

■ 탁정수 대표= 임원으로서 매우 중요한 역할 중 하나가 인재를 발굴하고 키워내는 것이다. 인재양성을 위한 전략이 있나.

■ 이상근 본부장= 인재양성은 DGB대구은행의 차세대 성장을 위한 핵심 전략이라고 판단하고 있다. 금융산업은 혁신의 물결 한 가운데 있지만, 이미 IT 기술로 무장한 빅테크 기업이 주도하고 있어 전통적인 금융산업은 이를 따라가기 어려운 상황이다. 이들과 같은 파괴적 혁신을 통해 디지털 금융 시장을 리딩하려 하지만, 복잡하고 까다로운 규제와 인력 풀의 한계로 인해 어려움을 겪고 있다.

그럼에도 불구하고 혁신의 노력은 끊임없이 이어져야하며, 그 선봉에 CIO와 CISO가 있다고 본다. DGB대구은행의 장기적이고 지속적인 성장을 위한 노력에 매우 강한 책임을 갖고 있기 때문에, 그만큼 더 많이 공부하고 노력하면서 앞으로 시장의 변화를 이끌고 갈 금융사로 발전하는데 기여하고자 한다.

이와 함께 후배들을 성장시켜 빅테크 기업 못지 않은 혁신적인 비즈니스를 만들어내야 한다는 막중한 책무도 있다. 클라우드를 도입해 비즈니스 유연성을 높이며, 다양한 인력의 창의적인 아이디어를 모아 고객 맞춤형 서비스를 만들어내는 한편, 직면한 문제를 현명하게 해결하려고 한다.

이를 위해 사내 직원을 대상으로 다양한 교육과 프로모션을 전개하는 한편, 지역의 인재를 발굴하고 영입해 성장시키는데 적극 노력하고 있다. 더불어 서울·수도권 비즈니스와 디지털 금융 서비스 개발 및 운영을 위해 서울 사무소도 설립해 운영하고 있다.

디지털에 강한 금융권 도약에 기여할 것

■ 탁정수 대표= 제 1금융권에서 사원으로 시작해 임원으로 승진하기까지 많은 일이 있었을 것 같다. 어떻게 스스로 계발하면서 성장해왔다고 평가하나.

■ 이상근 본부장= 신입사원으로 입사해서 20년간은 인프라 개발과 운영 실무를 맡아 전문성을 닦아왔으며, IT 사이버 보안 업무를 맡으면서 여러 사이버 공격을 성공적으로 막아내면서 실력을 인정받았다. 여러 부서에서 업무를 수행하면서 DGB대구은행의 많은 비즈니스를 이해하면서 성장해왔다고 본다. 현업에서뿐만 아니라 지금도 여러 교육과 세미나에 참여하면서 새로운 기술과 트렌드를 이해하고 디지털 금융 혁신을 위한 전략에 반영하려고 노력하고 있다.

■ 탁정수 대표= 앞으로의 목표는 무엇인가.

■ 이상근 본부장= 전 직원의 정보보안 생활화와 ICT + 디지털 + 사이버보안 + 데이터 프라이버시 융합을 통해 디지털에 강한 세계 최강의 DGB(Digital Global Banking) 대구은행이 되는데 밀알이 되고 싶다.

디지털에 강한 금융기관으로 도약

■ 탁정수 대표= DGB대구은행이 디지털에 강한 금융기관으로 도약하기 위해 구체적으로 어떤 노력을 하고 있나.

■ 이상근 본부장= DGB금융그룹 지주는 그룹 공용 클라우드 센터 구축을 위해 클라우드 전략 컨설팅을 진행하고 있다. 내년 구축을 목표로 하며, 컨설팅 TFT에 정보보호 인력이 참가해보안 아키텍처와 관련 프로세스 수립 활동 등을 하고 있다.

DGB금융그룹은 아무리 혁신적인 사업이라도 보안성이 확보되지 않으면 상품을 출시하지 않는다는 원칙을 철저히 지키고 있다. 그래서 사업 계획과 분석, 설계에서 철저한 보안성 검토를 수행하며 전체 보안 리스크를 제거하고 안정성을 도모하고 있다.

끊임없이 이어지는 사이버 공격에 대비하기 위해 AI 기반 지능형 보안관제 고도화 사업을 진행하고 있다. 능동적인 지능형 관제를 통해 보안 탐지 정밀도를 높이고 자동화된 관제 서비스로 관제인력의 업무를 줄이면서 효과적으로 보안 위협을 낮추도록 하고 있다.

또 재택근무와 같은 다양한 형태의 근무 방식이 요구되면서 보안이 보장되면서 유연하게 업무를 할 수 있는 방안도 마련하고 있다. 씬 클라이언트를 이용해 내부 VDI에 접속할 수 있도록 하며 투팩터 인증으로 내부망과 동일한 사용자 보안이 유지될 수 있도록 한다. 재택근무 환경에 대한 취약점 분석 평가도 실시해 알려지지 제거되지 않은 위협으로 비즈니스가 위험에 빠지지 않도록 적극 노력하고 있다.