'보안부문 BA 조직' 별도 구축해 사업부서 요구사항 반영 등 소통
“보안과 효율성 두 마리 토끼를 잡기위해 IT부서와 보안부서 조직 간 협업을 강조하고 있습니다. 앉아있는 보안이 아니라 찾아가는 보안으로 개발부터 보안이 함께하도록 합니다.”
나완집 NH농협은행 최고정보보호책임자(CISO)는 IT에서 몸담았던 경험을 살려 보안과 IT개발 부서 간 협력을 강조한다며 이처럼 말했다.
농협은행은 과거 해킹공격으로 업무용 PC가 파괴되는 등 크고 작은 사이버 보안 사고가 있었다. 사고 후 업무에 보안이 강화됐다. 일부 직원은 보안 강화에 불만을 드러내기도 했다.
나 CISO는 “모든 것이 갖춰진 상태에서 보안을 급하게 추가하다보니 편리한 기능은 축소되고 불편은 늘었다”면서 “보안부서가 개발부터 함께해 서로 견제하지 않고 보안을 강화하고 효율은 높이는 방향으로 발전하는 것이 필요하다”고 말했다.
농협은행은 IT보안부 내 디지털 금융 부문 대응을 위한 디지털 금융 보안 조직을 운영한다. 내부 모안 업무 협조, 소통강화를 위해 보안부문 BA(business analyst)조직도 별도 구축했다. BA는 사업부서의 보안 요구사항 접수 등 창구역할을 담당하고 IT보안관련 제반사항 협의, 보안가이드를 제공한다. 과거 IT부서에서 느꼈던 보안부서와 업무 칸막이를 없애고 효율을 높이기 위한 대책이다.
농협은행은 최근 빠르게 증가하는 사이버 위협에 사전대응뿐 아니라, 사후 신속 복구 등을 강조했다. 사전 대응을 위해 빅데이터 기반 위협 모니터링을 구축해 위협정보를 공유한다. 사고 발생시 2차 피해로 이어지지 않도록 하는 것이 핵심이다.
나 CISO는 “보안위협을 100% 막겠다고 확신하는 것은 불가능하지만 2차 피해가 발생하지 않도록 사이버 위협정보를 실시간 수집해 보안점검, 관제에 이용한다”면서 “단순히 매뉴얼만 만드는 것이 아니라 실제를 방불케 하는 모의 훈련으로 실전에 대비한다”고 말했다.
나 CISO는 직원이 즐겁게 일할 수 있는 분위기가 중요하다고 강조했다. 침해사고 대응은 유기적으로 조직이 움직이고 대응해야 한다. 자기주도형이 아닌 수동적인 자세로는 방어가 어렵다.
농협은행 내부부터 보안조직이 제대로 평가받을 수 있도록 독려하고 자동화 시스템을 도입해 업무량을 조절하고자 한다.
나 CISO는 “보안업무는 결국 사람이 하는 일이기 때문에 업무 생산성을 향상을 위해 직원자존감을 어떻게 높일 수 있을지가 항상 고민이며 숙제”라면서 “올해부터 직원 교육 기회를 늘려 자신의 커리어를 쌓을 수 있도록 지원하고 자동화 시스템 도입으로 인적·물리적 보안시스템 전체를 강화한다”고 덧붙였다.
정영일기자 jung01@etnews.com