“정보시스템 개발 단계부터 정보보호를 철저히 적용해 시스템적인 정보보호 문제는 원천적으로 차단하고 있습니다.” 지난 5월 신한은행 최고정보보호책임자(CISO)로 선임된 서춘석 본부장의 말이다. 대부분 은행들이 최고정보책임자(CIO)가 CISO를 겸직하는 것에 반해 신한은행은 CISO를 별도로 선임했다. 그러나 특이한 점이 있다. CISO가 IT개발본부장을 겸직하고 있다.
서 본부장은 “개발과 정보보호는 동전의 양면 같은 속성을 지니고 있다”면서 “이러한 속성으로 각 영역별로 다른 사람이 맡아 총괄을 하게 되면 오히려 갈등만 커지게 돼 한 사람이 같이 맡는 것이 균형성을 유지하는 데 더 좋다”고 말했다. 자연스럽게 시큐어코딩이 가능해진다는 것이 서 본부장 설명이다.
신한은행은 정보시스템을 개발할 때 최종 검증 단계인 품질관리 이전에 정보보호팀을 반드시 거치게 돼 있다. 정보보호팀은 소스코드 등 개발된 시스템에 대해 다양한 정보보호 검증을 한다. 여기서 `오케이`가 떨어져야 후속 절차를 진행할 수 있다. 정보보호팀은 개발된 시스템에 대해서도 수시로 보안점검을 실시한다.
서 본부장은 개발 단계 정보보호만큼 중요하게 여기는 것이 또 하나 있다. 직원 대상 정보보호 교육이다. 서 본부장은 “영업, 마케팅 등 다양한 부서에서 업무를 진행하지만 일상에서 정보보호를 늘 생각하면서 업무를 처리하기는 현실적으로 어렵다”면서 “직원 대상 교육을 자주 실시해 자연스럽게 익숙해지도록 할 것”이라고 강조했다.
정보보호시스템도 대폭 강화한다. 연초 출력물 보안관리시스템을 구축해 지난 5월부터 IT본부 대상 시범 적용을 한 후 이달부터 본부와 영업부서 대상으로 확대 적용했다. 고객정보통합 모니터링 체계도 갖춘다. 직원 PC에 고객 정보가 저장돼 있는지를 파악, 꼭 필요한 것이 아니면 모두 삭제하도록 하는 시스템이다. 논리적 기반으로 망분리도 실시한다.
신한은행 정보보호실은 연초 정보보호팀이 승격된 조직이다. 인력도 34명으로 늘어났다. 정보보호실은 사내 관련 정책 수립은 물론, 교육과 연구개발을 담당한다. 정보시스템에 대한 정보보호는 물론, 보안시스템 관리, 관제 등도 수행한다. 서 본부장은 1960년생으로 신한은행 전산정보부 차장, 개인고객팀장, IT개발부장, IT총괄부장 등을 거쳐 현재 CISO겸 IT개발본부장을 맡고 있다.
신혜권기자 hkshin@etnews.com
