“국민은행 정보보호본부는 '보안의 시작과 끝은 사람' 이라는 목표를 갖고 일합니다. 기술, 장비로 막는 것은 한계가 있습니다. 결국 이를 운용하고 대책을 만드는 것은 '사람' 입니다.”
권혁운 국민은행 최고정보보호책임자(CISO)상무는 보안 사고를 일으키는 사람과 이를 막는 것 모두 사람에게 달렸다면서 '인적 인프라 강화'를 강조했다.
권 CISO는 “매년 4회 이상 이메일 해킹 훈련을 실시하고 금융보안원, 한국인터넷진흥원(KISA)등에서 실시하는 훈련에도 참가한다”면서 “매번 훈련마다 강도를 높이고 이들 훈련에 대한 피드백을 주도록 하는 등 개별 직원 모두 사이버위협에 대응에 참여하게 독려한다”고 말했다.
실제 최근 발생하는 다양한 사이버 공격은 첨단기술보다는 사회공학적 방법이 앞선다. 휴가철을 이용해 비행기 티켓을 예매한 사람을 대상으로 항공권을 위장하고 수출 관련 담당자에 선적비용에 관한 메일을 보낸다. 촘촘한 기술장벽을 뚫고 들어온 이들 공격은 계정탈취, 정보유출 등 사이버 공격의 시작이 된다.
국민은행은 최근 글로벌 진출 강화 움직임과 함께 교육강화뿐 아니라 기술 조치도 향상시킨다. 국민은행은 지난해 인도네시아 최대 은행 지분투자부터 베트남, 캄보디아, 미얀마 등 진출 지점수를 늘리는 등 공격적 해외시장 공략에 나선다. 이에 대한 대비로 지난해 정보보호 통합 플랫폼을 만들어 국내뿐 아니라 해외서 유입되는 각종 악성 행위 정보를 한곳에서 확인할 수 있도록 했다. 가시성 확보와 업무 효율성 두 마리 토끼를 모두 잡았다.
권 상무는 “동남아 보안현실은 굉장히 열악할 뿐 아니라 운용체계(OS) 등 소프트웨어(SW) 정품사용에 대한 인식도 많이 부족하다”면서 “정보보호 통합 플랫폼을 통해 이상행위 등을 확인하고 직접 해외와 연결해 확인해 조치한다”고 말했다.
이어 “국내와 달리 유지보수 등도 쉽지 않아 현재 중앙이나 일부 거점에서 가교 역할을 해 곧바로 패치 등을 내려 보내는 시스템을 구축 중”이라고 덧붙였다.
보안이 체계마련, 보안 유지 등을 위해 '전사적 노력'이 더해져야 한다고 강조했다.
권 상무는 “정보보호는 특정 보안 부서에서만 노력해서 되는 것이 아니라 전사적 차원에서 함께 노력해야 위협을 줄일 수 있다”면서 “5G 시대 더 많은 기기가 인터넷과 연결 돼 위협은 더 늘어나기 때문에 임원, 경영진 등이 나서 정보보호 중요성을 알리고, 보안 문화를 확산시키는데 앞장서야 한다”고 덧붙였다.
정영일기자 jung01@etnews.com
