- 국산 전문보안기업과 협업, 은행에 최적화된 SOAR 아키텍처로 비용 절감 추진

- '정보보호 통합관제' 백서 출간, 전 금융권과 공유… 수년간 축적한 노하우 공유 "금융보안 ESG 실천" 높은 평가

[디지털데일리 박기록 기자] 역사학자 아놀드 토인비는 역사를 ‘도전과 응전의 과정’으로 정의했다. 역사학자들마다 역사에 대한 정의가 각각 다르지만 ‘보안’만큼은 이 보다 더 적절한 표 현을 찾을 수 없다.

최근 몇 년간 비대면 금융플랫폼이 급성장하고, 여기에 AI(인공지능)까지 가세하면서 금융회사가 직면하고 있는 보안 위협도 그 범위가 무서울 정도로 확대되고 있다.

‘무엇이든 철저하게 의심하라’는 의미의 보안 혁신 키워드 ‘제로 트러스트(Zero Trust)’는 실제보다 훨씬 더 가까이 우리 금융권에 다가와 있는 핵심 현안이다.

금융회사별로 ‘보안 위협’에 대응하는 강도가 다를 수 있겠지만 BNK금융그룹의 핵심 계열사인 부산은행에 있어 ‘제로 트러스트’ 체계 구현은 좀 더 특별하다. 보안 IT 전략을 넘어 그룹 전체의 지속가능 경영과 직결되는 시대적 과제로 무겁게 설정돼 있다.

이와관련 부산은행 정보보호부문(CISO)을 이끌고 있는 배진호 상무(사진)는 <디지털데일리>와의 인터뷰에서 “100% 완벽한 보안은 없다. 그 위협을 줄여나가고 지속가능한 기업으로 영속할 수 있도록 철저하게 보안 대응력을 강화하는 과정을 ‘제로 트러스트’로 정의하고 있다”고 강조했다.

지난 8월29일, 부산은행 본점에서 진행된 인터뷰에서 배 상무는 부산은행의 ‘제로 트러스트’ 체계 구현을 위한 중장기 전략과 함께 현재 직면하고 있는 보안 위협에 대응하기 위한 각종 보안 구축 사업과 현실적인 애로점, 보안 전문 인력의 육성에 따른 전략 등을 소개했다.

배 상무는 “금융 당국은 앞으로도 금융권의 개인정보유출 위험을 중점 관리할 것으로 예상된다”며 “부산은행은 강력한 개인정보보호를 중심으로 보안 역량을 강화하고, 이를 위한 가시성 확보와 정보보호 포털의 강화에 지속적으로 나설 계획”이라고 밝혔다.

실제로 부산은행은 최근 수년간 전사적 ‘정보보호 체계의 강화’를 비롯해 ▲고객 개인정보보호의 강화 ▲전자금융사기예방시스템 고도화 ▲각종 신규 금융서비스와 IT사업에 동반되는 보안성 검토 등 핵심 보안 영역을 중심으로 보안 대응 역량을 크게 강화해왔다.

구체적으로 올해 추진중인 주요 보안사업과 관련, 부산은행은 생체인증시스템의 내부업무 프로세스 적용 확대, 차세대 보안플랫폼인 SOAR(Security Orchestration, Automation and Response) 체계 구현 등을 보안부문 혁신 과제로 선정해 진행중이다.

부산은행이 현재 가장 역점 사업으로 추진중인 ‘생체인증 기반의 보안시스템’ 도입은 전금융권을 대상으로 한 금융감독 당국의 요구에 따른 것이다.

최근 국내 금융권에서 큰 이슈가 됐던 내부 직원에 의한 횡령사고 등을 방지하기위한 보안측면에서의 적극적인 대응으로, 올 연말 구축이 완료되면 부산은해은 한 층 업그레이드된 내부통제혁신 체계를 갖추게 될 것으로 기대된다.

물론 앞서 부산은행의 경우, 기존에는 대고객 업무에 ‘지정맥’ 등을 활용한 생체인식 기반의 보안시스템을 적용해왔다.

부산은행은 이번 전직원을 대상으로 한 통합인증 기반의 생체인증시스템 적용을 계기로 내부통제 혁신을 강화하고, 특히 은행내 책임자급 이상에게는 보안성을 한차원 높은 ‘지정맥’을 적용함으로써 내부업무 결재 프로세스의 보안 수준을 더욱 강화한다는 계획이다.

“생체인증 기반의 계정관리 보안을 위한 솔루션 적용 등 기술적인 문제는 현재로선 특별히 없다”는 것이 부산은행측의 설명이다.

아울러 부산은행은 올해 차세대 보안플랫폼인 SOAR(Security Orchestration, Automation and Response) 체계도 제로 트러스트 구현을 위한 혁심 현안 사업으로 진행중이다.

높게 평가할만한 것은, 현재 부산은행은 PC 취약점 점검 결과와 위협처리 결과를 연계해 실시간으로 위험을 정확히 판단하기 위해 SOAR를 국내 보안전문업체와 긴밀한 협업을 통해 진행하고 있다는 점이다.

이를 위해서 부산은행은 PC 취약점을 미국 국방성의 보안기술구현가이드 ‘STIG(Security Technical Implementation Guide)’ 기준 253개 항목으로 점검하는 PC보안점검시스템을 최근 재구축했다.

그동안 국내 금융권의 SOAR 구축 사례를 보면, 외산 솔루션을 기반으로 한 도입 사례가 주류를 이뤄왔다.

하지만 한편으론 외산 솔루션이 국내 상황을 신속히 반영하지 못한다는 문제점을 지적받아왔고 가격 또한 만만치 않아 최적화된 SOAR 체계 구현에 대한 의문 또한 뒷따르고 있는 실정이다.

부산은행은 이런 점을 감안, 정보보호부 직원들이 직접 국산 보안업체와 긴밀한 협업을 통해 부산은행 환경에 최적화된 SOAR 체계 구축을 진행하고 있다. 현업 및 현장에서 요구되는 목소리를 담아 SOAR 솔루션에 직접 반영함으로써 보안 위협 대응력을 획기적으로 높이고 있는 것이다.

배진호 상무는 이에대해 “우리의 요구 사항을 정확하게 보안 전략에 반영함으로써, 경제적이면서도 최적화된 SOAR 체계 구현이 가능하게 될 것이란 점에서 기대가 크다”고 평가했다.

한편 부산은행은 최근 ‘정보보호 통합관제를 성공적으로 구현하다’라는 제목의 백서를 출판하고, 이를 전 금융권에 공유하기로 결정해 금융권 및 관련업계의 큰 주목을 끌었다.

보안 기술백서의 성격을 가진 이 책은 부산은행이 지난 7년간 축적한 ‘접근 통제’, ‘가시성 확보’ 등 핵심 보안 역량을 축적한 것이다. 부산은행이 스스로 쌓은 보안 노하우를 아낌없이 국내 은행권 및 중견‧중소금융회사들과 공유하겠다고 나섰다는 점이 높게 평가받는다.

보안 부문에서 사회공헌, 즉 ESG 활동을 실천한 것으로 이는 방성빈 부산은행장이 강조하는 ‘바른경영’ 정신과도 일맥 상통한다.