대규모 개인정보 유출 사고를 일으킨 금융기관이 정보보안 강화를 위한 대책마련에 직접 나섰다.
금융정보보호협의회와 금융보안연구원이 12일 개최한 ‘제8회 금융정보보호 컨퍼런스’에서 롯데카드, 부산은행, 삼성생명 등 금융기관의 정보보안 책임자가 나서서 개인정보 보호, 이상거래 탐지 시스템, 아이덴티티 거버넌스 프레임 구축 등 성공사례를 발표했다.
롯데카드 정보보호최고책임자(CISO)인 최동근 상무는 보안을 IT 뿐 아니라 비IT 조직에서도 높은 관심을 갖고 접해야 한다는 점을 강조하며 “비IT 조직에서는 비즈니스에만 집중하면 된다고 하지만, 보안은 현업에 밀접한 관심을 가져야 하는 사항이다. 직원과 조직의 R&R을 분명히 해 보안사고를 막아야 한다”고 강조했다.
최 상무는 대부분의 보안사고가 내부 직원이나 퇴사자, 기업 내에서 근무하는 아웃소싱 직원 등 내부자에 의해 발생한다는 점을 지적하며 “모든 사람이 보안에 대한 책임을 져야 하며, 보안조직에 전문성 있는 인력을 배치해 비즈니스 결정에 제대로 영향력을 발휘할 수 있도록 해야 한다”고 주장했다.
이어 그는 “보안 담당자들은 모든 직원과 친밀성을 유지하면서 직원들이 보안정책을 이해하고 제대로 지킬 수 있도록 설득해야 한다”고 덧붙였다.
빅데이터 기술 기반 FDS 구축
부산은행에서는 이상거래탐지 시스템 구축 사례를 소개하면서 금융사기를 방지할 수 있는 방법을 제안했다. 전성인 부장은 “지난해 금융감독원에서 사기방지시스템(FDS) 구축을 의무화하고 있어 금융권의 FDS 구축 사업이 활발하게 이뤄지고 있다”며 “부산은행의 FDS는이상거래를 실시간 혹은 실시간에 가깝게 판단할 수 있도록 빅데이터 분석 기법을 적용했다”고 말했다.
FDS는 탐지 기술이 가장 중요한 요건인데, 오탐이 발생했을 때 고객의 불편을 초래할 수 있고, 미탐이 발생하면 금융기관에 직접적인 피해가 있기 때문에 정확도가 매우 중요한 고려사항이다. 또한 사기행위를 너무 늦게 발견하게 된다면 사기꾼은 이미 금전을 손에 넣고 잠적한 이후이기 때문에 피해를 막을 수 없다. 실시간 혹은 실시간에 가깝게 사기행위를 탐지해 차단해야 한다.
이러한 요건에 맞추기 위해 부산은행은 빅데이터 기술을 접목한 사기방지 시스템을 선택했다. 과거 고객의 거래형태, 접속기록, 기타 정보를 묶어서 분석하며, 실시간 거래에 적용했을때 시스템 속도에 영향을 주지 않고 정확하게 이상거래를 탐지할 수 있도록 했다.
전 부장은 “이상거래 탐지는 은행이 갖고 있는 모든 정보를 활용하기 때문에 방대한 분량의 데이터를 분석해야 하며, 정확한 정책을 적용할 수 있어야 했다. 정확도 높은 시스템을 통해 은행의 신뢰도를 높이고, 피해를 줄일 수 있게 됐다”고 말했다.
정보보호 거버넌스 체계 진입해야
한편 이날 행사 개회사에서 김영린 금융보안연구원 원장은 “최근 정보보호 패러다임은 기술적 관점에서 관리적 단계를 지나 정보보호 거버넌스 체계로 진입하고 있다. 국제표준 및 우수사례 분석 등을 통해 금융회사에 실질적으로 도움이 되는 금융보안 거버넌스 확립방안을 연내 마련할 예정”이라고 밝혔다.
또한 “간편결제 서비스 도입 및 활성화에 따른 정보탈취, 결제오류와 같은 역기능에 선제 대응하기 위해서는 전자금융결제기관과 대행기관 등의 책임분담, 손해배상 구조 등이 우선 설정되어야 하며 또한 이상거래탐지시스템(FDS)의 고도화도 필요하다”고 강조했다.
최종구 금융감독원 수석부원장은 축사를 통해 “공인인증서를 요구하는 관행을 지속적으로 개선하여 지급결제 산업 육성을 저해하는 규제를 혁파해 나갈 것”을 다짐하고 “국내 전자지급결제대행사(PG사)의 글로벌 경쟁력 제고를 위해 금감원에 보안성심의 전담 TF를 구성·운영하고, 장기적으로는 외부보안전문기관을 활용해 보안성심의를 하는 등 규제를 완화할 방침”이라고 밝혔다.
이어 그는 “카드정보를 보유하게 되는 PG사에 대해서는 검사 주기를 단축하고 IT실태평가를 실시하는 방안도 검토”중이라고 말했다.
