우리투자증권은 지난해 있었던 3·20, 6·25 사이버테러와 최근 우리 사회를 뒤흔든 카드사 개인정보 유출사고 등 각종 보안위험으로부터 고객의 금융자산과 개인정보를 보호하기 위해 다양한 대응전략을 마련했다.
보안위험을 임직원 및 외주직원에 의한 내부 보안위험(정보유출)과 해커 혹은 외부인에 의해 공격을 당하는 외부 보안위험(해킹, DDoS 공격 등) 등 두 가지 유형으로 구분하고 각 유형에 맞게 관리적·기술적·물리적 보안대책을 수립해 강화한다는 전략이다.
우선 내부로부터의 정보유출을 철저히 막기 위해 전산시설에 비인가 전산기기 및 저장매체의 반입을 금지하고 있다. IT센터에 보안검색대를 설치해 X레이 및 금속탐지기로 내·외부인 출입 시 비인가 물품에 대한 통제를 강화했으며 반출 시에는 모든 데이터를 완전히 삭제하도록 강제하고 있다.
하드웨어 기기뿐 아니라 소프트웨어 측면의 보안 정책도 시행 중이다. 회사 내 PC의 모든 문서파일에 대해 암호화를 적용해 외부에서 내용을 확인할 수 없도록 조치하고 있으며, PC보안시스템을 통해 업무 PC에서 이동형 저장매체(USB, CD·DVD 등)와 무선 네트워크(WIFI, 블루투스 등)를 사용할 수 없도록 차단하고 있다. 인터넷을 통한 유출을 막기 위해 외부 메일·메신저 서비스와 P2P, 웹하드, 블로그·카페 등 유출 가능 경로를 차단하고 있음은 물론이다.
정보보호의 날을 지정해 정기적인 전사 보안점검을 수행하고 전 임직원을 대상으로 연간 정보보호 교육과 다양한 보안 홍보활동도 수시로 실시해 내부 보안위험을 최소화하기 위한 노력을 지속하고 있다.
외부 보안위험을 방비하기 위해 시스템 개발 시 사전에 보안요건을 반영해 개발하도록 보안성 검토 절차를 수립하고 있다. 개발단계에서 외부의 공격을 방어할 수 있도록 기틀을 마련한다는 전략이다.
아울러 시스템 운영용 PC는 인터넷 및 개발서버에 대한 접속을 차단하고 개발용 PC는 운영서버에 대한 접속을 차단해 상호 네트워크 접근을 통제함으로써 악성코드 감염 및 해킹 발생 가능성을 최소화했다. 시스템 운영용 PC와 개발용 PC는 USB포트도 물리적으로 봉인해 외부 악성코드 감염 경로를 차단했다.
외주 직원의 경우 본인 소유 PC(노트북 포함) 반입을 금지하고 보안체계를 적용한 자사 PC를 제공해 사용하도록 통제하고 있다.
올해는 정보보안체계 강화에 더 많은 노력을 기울일 계획이다. 미래창조과학부 정보보호관리체계(ISMS) 인증 획득을 통해 보안 관리를 강화하고, 업무상 승인을 받고 사용하는 USB에 대해서도 암호화를 적용해 분실 시 비인가자가 자료 확인을 할 수 없도록 하는 보안 USB 시스템을 도입할 예정이다.
최근에는 보안 전문기업의 보안 솔루션을 도입해 자체 개발·운영 중인 웹 애플리케이션 기반 프로그램의 보안을 강화한 것으로 알려졌다.
우리투자증권 관계자는 “점차 증가하고 있는 각종 보안위험으로부터 고객의 소중한 금융자산 및 개인정보를 보호하기 위해 보안관리 강화, 보안의식 제고, 보안시스템 구축 등 다양한 대응전략을 마련하고 있다”며 “앞으로도 대내외적인 보안장치 강화를 통해 더욱 안전한 금융서비스를 제공해 고객과의 신뢰를 굳게 지켜나가겠다”고 밝혔다.
박정은기자 jepark@etnews.com
