“수출입은행은 인적보안 관리를 최우선으로 고려합니다. 국내외 다양한 사업자가 업무에 참여하는 만큼 집합, 방문, 온라인 교육부터 해킹메일 상시 신고시스템을 운영해 보안을 내재화합니다.”
조영조 수출입은행 정보보호최고책임자(CISO)는 대외거래 전담 국책은행으로서 보안체계 마련에 '사람'을 가장 우선한다면 이처럼 말했다. 보안을 내재화하는 것이 보안 첫 걸음이라는 설명이다.
조 CISO는 “디지털 비즈니스 확대로 정보보호 대상 범위가 단순 PC를 넘어 클라우드, 사물인터넷(IoT), 모바일 등 복잡성이 증가했다”면서 “다양한 사건·사고에 민첩한 대응능력을 강화하기 위해 정보보호 조직 확대뿐 아니라 임직원 보안 인식 강화, 전담인력 전문성을 키운다”고 말했다.
수출입은행은 일반금융권과 달리 특수목적 은행으로 은행권 보안기준과 국가·공공기관 보안 기준을 모두 충족해야 한다. 대외거래를 전담하고 있어 세계 수많은 거점 법인, 사무소를 운영해 국가별 정보보호 컴플라이언스도 충족해야 한다.
조 CISO는 “지난해 뉴욕주 사이버보안규정, 유럽 개인정보보호법(EU GDPR)에 대응해 사이버 위험평가, 정보이전계약 체결, 내부지침 마련 등 조치를 취했다”면서 “올해 베트남 사이버보안법 제정, 홍콩 금융감독국 사이버 리스크 강화 등에 따른 정보보호 조치를 준비한다”고 말했다.
보안조직 확대와 교육, 시스템 정비 등이 일부에서는 불편함으로 다가온다. 이는 업무 효율성과도 직결된다. 외부망 PC에 대한 직관적인 사용자환경(UI)을 구축하고 자주 사용하는 기능에 대한 편의기능 설정, 보안성 확보 후 업무 편의 장치 마련 등 모든 보안과 편의성 모순을 해결하기 위해 다양한 시도를 한다.
최근 개인 모바일 기기를 업무에 활용하도록 하는 'BYOD(Bring Your Own Device)를 시행하는 혁신도 단행했다.
조 CISO는 “보안, 편의, 범용성을 동시에 충족하는 모바일 보안 플랫폼을 구축하기 위해 가상모바일(VMI)기술을 적극 도입했다”면서 “공공기관에서는 처음 국가·공공기관 보안 수준을 충족한 모바일 보안 플랫폼”이라고 말했다.
정영일기자 jung01@etnews.com
