금융IT

[2012 금융IT ⑪] 보안투자, 마침내 햇살…금융권, 관련예산 대폭 증액

박기록 기자

<디지털데일리>는 매년 3월말, 우리 나라 금융산업의 IT전략 이슈와 주요 금융회사들의 IT투자전략을 담은‘금융IT 혁신과 도전’ 을 지난 2007년부터 발간해왔습니다. 

 

올해 3월말 '2012년판'정식 출간에 앞서 올해 금융 IT분야에서 주목할만한 주요 이슈들을 발췌해 이를 중심으로 12회에 걸쳐 제시할 계획입니다.  <편집자> 

 

[2012 금융IT혁신 ⑪] 금융보안

 

[디지털데일리 박기록기자, 이상일기자] 지난 2001년, ‘911테러’ 이후 한 때 국내 금융권에서는 BCP(비즈니스 연속성계획)이란 큰 차원의 접근이 시도됐었다.

 

아쉽게도 보안시스템 체계, 소프트웨어적인 측면에서의 BCP체계 확립에는 미치지 못했지만 그러나 이를 계기로 국내 금융권은 수년에 걸쳐 천재지변과 비상시에 대비한 물리적인 DR(재해복구)체계를 갖추게 됐다. 좀 더 넓게 보면, 지난해 발생한 농협의 전산장애 사태는 우리 금융권의 IT인프라 안정성을 한 차원이상 끌어올리는 계기로 작용할 것이란 기대를 갖게 한다.   

 

<디지털데일리>가 국내 40여개 주요 금융회사의 올해 IT투자 계획을 조사한 결과, 은행, 카드, 증권, 보험 등 모든 금융업종에 가릴 것 없이 대부분의 주요 금융회사들은 올해 강도 높은 보안 투자에 나설 계획인 것으로 분석됐다.

 

실제로도 대부분의 금융회사들은 보안 IT투자 항목을 올해 IT투자 예산에 비교적 비중있게 반영시킨 것으로 나타났으며, 보안부문 예산의 증액은 지난해와 비교해 최소 20%~30%이상, 많게는 100%이상 순증한 경우가 많았다.

 

더구나 대부분의 금융회사들이 올해는 경기침체를 감안해 다른 IT예산을 줄인 상황이기때문에 보안투자의 활성화는 더 도드라져 보인다.  

 

여기에 금융당국의 고강도 금융권 보안 강화 주문까지 더해져 올해 보안은 금융권 IT투자의 방향성을 결정할 정도로 중요한 변수로 작용할 것으로 예상된다. 이와함께 금융 당국은 금융회사들이 정보보호최고책임자(CISO)를 지정해야 한다고 못 박았고, 금융회사의 보안인력 및 IT예산도 일정수준으로 유지하는 것을 사실상 의무화한 상태다.

 

◆올해 주목받는 금융권의 보안 IT투자 항목 = 전자금융감독규정 개정안에 따르면, 금융회사는 전체 IT예산의 7%를 보안예산의 투자로 확보해야 한다 . 특히 네트워크급제어, 보안관제 등 IT인프라의 안전성 확보에 대한 자연발생적 투자 수요 증가할 것으로 예상된다. 또한 가상화 등 기존 IT혁신 프로젝트, 보안측면에서 재조명되고 있다.

 

보안컨설팅의 활성화가 이미 금융권 전반에 걸쳐 광범위하게 진행되기 시작했다. 빠르면 올해 상반기중으로 컨설팅을 끝내고 하반기에 중장기 보안투자를 시작하는 금융회사도 적지않다.

 

이와함께 인터넷망과 업무망 미분리 비율 여전히 높은 상황인데 SBC(서버기반컴퓨팅)활용한 망분리 논의도 그동안의 지지부진했던 상황에서 벗어나 활발하게 진행될 것으로 전망된다. 금융위원회에 따르면 2011년6월말 현재 은행의 76%, 증권 81%, 카드 33%, 기타 여전사업체  89% 등이 망분리가 미흡한 것으로 분석되고 있다.

 

역시 금융권에서 역점을 두는 보안투자항목은 네트워크접근제어를 비롯한 내부통제시스템의 강화이다. 이는 금융권이 농협 전산사고의 직접적 원인을 네트워크접근제어및 내부통제시스템의 소홀로 인식하고 있기 때문으로 보고 있다. 실제로도 현대캐피탈, 농협사고에 이어 지난해 삼성카드, 하나SK카드 고객정보 유출사고 사례 등 위험이 현실화됐다고 금융권은 보고 있다.

 

보안관제 부문은 사이버테러, 전산 장애에 신속한 대응체계 마련을 위한 것으로 보안관제를 위한 아웃소싱 전문업체들의 움직임이 활발하다. 금융권 홈페이지 및 서버 취약점 점검 정례화, 금융권 기반시설에 대한 취약점 진단이 의무화되면서 보안관제에 대한 수요도 확대되고 있는 것으로 분석된다.

 

모바일 보안은 금융회사들이 가장 신경을 쓰고 있는 부분으로, 금융회사의 IT실무자들은 스마트기기(스마트폰, 태블릿 PC 등)채널 확대에 따른 보안위협의 증가가 불가피 할 것으로 예상하고 있다.이미 모바일 단말관리(MDM)시스템에 대한 금융권의 관심이 크게 고조된 상황이다.

 

◆주요 금융회사 , 올해 보안IT투자 어디에 투자하나 = 농협은 지난해 4월 전산사고 이후 향후 5년간 5000억원 규모의 고강도 IT인프라 보안 강화 대책 발표했으며, 현재 데이터센터 신축 등 관련한 IT투자 계획을 발표했다. 앞서 보안컨설팅 5개월간 진행했으며 지난해 말 완료했다. 올해 내부정보 유출방지 , NAC, 통합PC보안 등 전사 차원으로 확대하고, 무선침입 방지시스템 등 무선 보안도 대폭 강화할 계획이다.

 

우리금융은 그룹차원에서 IT보안체계 선진화 컨설팅에 착수했다. 우리은행은 올해 접근통제시스템, 고객정보 암호화, 무선랜 보안성 강화, 좀비PC 방지, 통합 로그관리 구축, 자동취약점 진단 등 보안장비 도입 등에 중점을 둘 방침이다.

 

기업은행을 중심으로 하는 IBK금융그룹 역시 올해 그룹 차원의 통합보안관리 체계 수립에 나선다. 앞서 지난해 6월, IBK그룹 계열사별로 상이한 보안솔루션의 표준화 착수했다. IBK투자증권은 올해 고객정보 암호화 및 문서보안시스템(DRM) 등 내부통제시스템 투자를 강화한다.

 

하나금융그룹은 24*365 기반의 ‘보안 종합관제 센터’ 구축에 나서고, 3분기에는 원격지 재해복구(DR) 2단계 사업을 계획하고 있다. 특히 ‘보안 종합관제센터’ 구축으로 하나금융그룹 계열사 전체를 대상으로 한 상시 보안종합관제 체계 구현할 수 있을 것으로 기대하고 있다.

 

KB국민은행은 e뱅킹 해킹 방어를 위한 실시간 ‘웹인증’ 체계 등 전자금융 보안강화, IP 주소 관리 시스템, 내부 네트워크, 침입방지시스템, 노후 보안장비 교체 등을 올해 주요 IT보안과제로 선정했다.

 

산업은행은 통합보안관제시스템(ESM)을 이용한 상시 관제와 중요정보 유출 및 비인가 무선랜 접속 상시감시체계 구축에 나설 계획이다.

 

우체국금융은 금융시스템 전반에 대한 정보보호 취약점 분석 착수했으며, 스마트금융시스템의 집중 취약점 진단 및 평가를 진행하고, 보안 장비·솔루션의 신규 도입에 나설 계획이다.

 

국내 최대 보험사인 삼성생명도 올해 보안산업 전반에 걸쳐, 노후장비 교체를 비롯한 IT투자 확대에 나선다. 삼성생명은 올해 IT사업의 3대 중점과제중 하나로 'IT인프라의 강화'를 선정했다. 삼성생명은 올해 1400억원 규모의 IT예산을 계획하고 있는데 이는 평년의 1200억원보다 약 200억원 이상 순증한 것이다.

 

<박기록 기자>rock@ddaily.co.kr

<이상일 기자>2401@ddaily.co.kr

박기록 기자
rock@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널