[디지털데일리 박기록 기자] 부산은행 정보보호부가 최근 자신들이 7년간 축적한 ‘정보보호 통합관제’ 노하우를 담은 백서를 출간하고 국내 금융권과 노하우를 공유하기로 결정했다.

이는 금융보안 위협에 대한 문제 의식을 우리 나라 금융권 전체의 문제로 넓혀야 한다는 인식에서 출발한 것이다.

또한 부산은행 뿐만 아니라 금융감독 당국의 요구에 따라 국내 금융권 전체가 수행해야하는 ‘리스크기반 보안 체계’ 구현을 앞당기기위해서라도 반드시 필요한 역할이라고 보았다.

이와관련 부산은행 CISO 배진호 상무는 “과거 유행했던 지식관리시스템이 만족할만한 성과를 내지 못했던 것은 알게모르게 지식 공유의 폐쇄성이 작용했기 때문”이라며 “물론 금융보안원 등 전문기관들도 있지만 부산은행이 금융 보안에서 독자적으로 쌓은 노하우를 적극적으로 공유‧전파하는 것도 금융산업 전체의 보안위협 대응력을 높이는 데 필요하다는 생각”이라고 강조했다.

실제로 이 백서에선 취약점 분석‧평가 등 기술적 분야 평가에 편중되지않고, 리스크 관점에서 위험관리를 수행할 수 있도록 실시간 위험관리 체계를 구축‧운영할 수 있는 노하우를 자세하게 제시하고 있다.

부산은행은 해당 백서를 통해 “지난 7년 동안 통합보안관제 체계를 재설계하고 IT보안 리스크 대응 전략을 수립해 위험 3요소(자산가치, 영향도, 발생 가능성)에 대한 효율적인 측정 방안을 구현했다”는 점을 설명했다.

특히 자체 설계한 위험관리 모델에 기반해 통합보안관제 기능을 극대화했으며, 이 모델을 통합보안관제시스템에 적용해 조직의 업무 효율화에 큰 도움이 됐다고 소개했다.

아울러 부산은행은 통합보안관제시스템의 설계·구축·운영에 대한 종합적인 노하우와 가시성 확보를 위한 각종 정보보호 솔루션의 관리, 자동화된 위험평가 프로세스의 실시간 관리 노하우 등을 기술했다.

현재 금감원에서 추진중인 ‘금융보안 규제 선진화 운영 계획’의 ‘리스크 기반 보안체계 구축’과제 해결을 위한 금융권의 기술 백서로 활용될 것으로 기대를 모으고 있다.

이와함께 부산은행이 급증하는 보안 위협과 관련, 가장 중요한 대응 과제로 꼽고 있는 것이 ‘보안 전문’ 인력의 질적인 육성이다.

◆빠듯한 보안 전문인력… “질적 업그레이드에 총력”

국내 금융권 전체적으로 금융 보안 인력을 원활하게 수급하기가 힘든 실정이다. 특히 금융 보안 분야는 전문가집단의 풀(Pool)이 적고, 수행 업무의 난이도 또한 높다.

배 상무는 “이론적으로는 전문성이 부족한 인력을 포함해 적정 인원 이상의 인력이 필요하지만 현실적으론 편성된 인원 이하로 운영되는 상황도 빈번하다. 특히 요즘은 시간외업무도 쉽지않기 때문에 금융권 전체적으로 보안 운영 인력 확보에 애를 먹고 있는 실정”이라고 진단했다.

이 때문에 부산은행은 보안 IT인력의 질적인 업그레이드 전략을 다양하게 시도함으로써 업무 커버리지를 넓히는 등 업무 효율화에 대응하고 있다.

관련하여 부산은행은 ‘오픈 클래스 : 시큐리티’로 명명된 자체 이벤트를 통해 보안 인력의 업그레이드에 나서고 있다.

이 행사는 보안부서 직원들의 지식과 경험 공유, 외부 전문가 강연, 내‧외부 직원간 커뮤니티 협력과 네트워킹 등 다양한 방식으로 진행된다.

부산은행이 진행하는 ‘오픈 클래스 : 시큐리티’ 행사는 ▲보안전문가들과 최신 기술과 제품을 놓고 토론하는 ‘보안기업 설명회’ ▲협력 기업의 엔지니어와 함께 협업 성과를 공유하는 엔지니어 데이(Engineer’s Day)▲보안부서 직원들이 업무 수행을 통해 얻은 지식과 경험을 공유하는 ‘협업 클래스(Cooperation Class)’로 구분된다.

이와함께 부산은행은 보안분야에서도 업무자동화가 가능한 분야에는 최대한 자동화를 통해 적은 인력으로 업무성과를 높이고 있다.

또한 겉으로 수치화할 수 없지만 부산은행은 정성적인 조직 관리도 매우 중시한다.

배 상무는 “업무 개선사항 등이 제기되면 10~20분 티타임을 생활화해 즉시 애로점을 해소하는 등 직원관리에 힘쓰고 있다. 직원들의 성취감, 미래비전, 직원 역량의 고부가가치화가 필요하다”고 강조했다.

‘직원 역량의 고부가가치화’는 사실 말처럼 쉽지않은 과제다.

과거처럼 보안 부서에 배치받은 후 2~3개월 정도 교육받고 현업에 투입하는 시대가 더 이상 아니다. 보안위협이 기술적으로 고도화되면서 보안인력의 전문화, 고도화는 보안조직내 필수 현안이 되고 있다는 설명이다.

배 상무는 “금융 보안위협 현안에 우선 집중하더라도 보안 기획 실무자들이 5년, 10년 후를 대비한 지향점도 항상 생각하면서 전략을 제시할 수 있도록 주문하고 있다”고 말했다.

이와함께 부산은행은 실력있는 외부 보안 IT 전문기업들과의 깊은 협력도 매우 중시하고 있다. 실제로 부산은행은 올해 진행중인 ‘SOAR’ 등 다양한 차세대 보안 구축 사업 분야에서 갑과 을의 관계를 초월한 긴밀한 협력관계를 구축하고 있다는 평가를 받고 있다.

완벽한 보안을 의미하는 ‘제로 트러스트’ 구현의 긴 여정속에서 본다면 결국 가장 본질적인 경쟁 요소는 ‘사람’으로 귀결된다. ‘끊김없는(Seamless) 보안 전략’의 일관성을 위해선 필수적인 요소다.