[디지털데일리 박기록 기자] 은행의 보안관제시스템에 잡히는 모든 종류의 보안 위협에 일일히 다 대응할 필요없이 은행에 실질적인 피해를 줄만한 위협을 선별하고, 해당 이슈에 은행내 보안 자원을 집중 투입함으로써 피해를 실질적으로 최소화한다.

또한 보안 위협에 대한 평가 점수가 일정 부분 넘어서면 그에 따른 대응 수위가 결정된다.

이같은 리스크관리 기반의 보안전략은 보안 조직과 예산의 제약에 직면하고 있는 은행권에 매우 중요한 전략이 되고 있다.

부산은행의 CISO(최고정보보안책임자)인 배진호 상무(정보보호본부)는 지난 7일, 서울 소공동 롯데호텔에서 열린 '2024년 전망 금융IT 이노베이션' 컨퍼런스에 발표자로 나와, 부산은행의 통합보안관제 고도화 전략과 함께 각종 보안 위협을 정량적 리스크관리 관점에서 접근해 최적의 보안효과를 거두는 'ETIR 모델'을 소개함으로써 참석자들로부터 큰 주목을 받았다.

부산은행 정보보호부가 독자 개발한 ETIR(Even, Ticket, Incident, Risk) 모델은 기존 통합보안관제시스템(SIEM) 체계와 위험관리시스템 전략을 하나의 프로세스로 통합한 것이다.

보안 위협의 발생과정부터 대응 완료까지 각 보안 이벤트를 평가하고 대응 수위를 최적하함으로써 보안 자원의 비효율을 막는것이 핵심 개념이다.

특히 이는 앞서 올해 2월 금융감독원이 발표한 '금융보안규제 선진화 계획'에서 요구하는 리스크 중심의 보안 대응 전략에도 정확하게 부합한다는 점에서 높은 평가를 받고 있다.

배 상무는 "과거에 공격 이력이 많은 행위자나 악성코드에 자주감염됐던 대상자는 사고 발생 가능성에 대한 점수를 높여 중요 이벤트의 위험도가 높아지도록 재조정(리밸런싱)하는 방식으로 대응하고 있다"고 소개했다.

이와함께 부산은행은 금융 당국이 은행권에 요구한 '내부통제' 개선 방안에 따른 보안 현안에 대해서도 적극적인 대응에 나서고 있다고 밝혔다.

'은행권 내부통제 개선방안'에 따르면 은행내 시스템 접근 및 요청, 승인시 권한없는자가 접근할 수 없도록 기존 비밀번호 방식 대신 생체인식, 신분증 및 모바일 OTP, QR코드 등 개인화된 인증방식으로 전환하도록 금융 당국은 요구하고 있다. 이에 부산은행은 올해안에 생체인식(지정맥) 방식을 통한 보안 강화 대응 작업을 완료할 계획이다.

아울러 부산은행 '보이스피싱' 대응과 관련, 고객 모바일에 '악성 앱 및 명의도용 탐지사기방지서비스'를 올해 11월부터 시행에 들어갔다.

한편 배 상무는 2024년 부산은행의 주요 정보보호 전략 과제로 *잠적 위헙대응으로부터의 위험 감소(위협 탐지 및 사고 대응을 통합한 XDR 운영 등) *전자금융 대면 거래사기 예방 확대(보이스피싱 피해방지 모니터링 강화 등) * 내부통자 강화 *개인(신용)정보보안관리 강화(개인정보 모니터링시스템 확대 구축 등)를 꼽았다.

'제로 트러스트' 업무 환경 구축을 위한 세부 추진 사업에 대해 부산은행 윈도우AD기반 ID통합, 개인화 인증(MFA)적용 및 로깅, 모든 외부 통신 구간 암호화, SOAR, 시각화시스템 고도화, UEBA(User & Behavior Analytics)고도화 등을 진행한다고 밝혔다.

현재 배진호 상무는 BNK금융그룹내 핵심 계열사인 부산은행과 경남은행의 CISO를 겸직하고 있다.

특히 올해 국내 은행권의 핵심 관심사로 부상한 '내부 임직원 내부통제 강화' 전략과 관련, 부산은행은 내부 임직원의 이상징후를 파악할 수 있는 내부통제 체계를 고도화해 나갈 예정이다.

관련하여 배 상무는 "직원별 보안활동지수 및 이상징후 소명처리와 교육 영상 등이 제공되는 정보보호 임직원 포털사이트를 구축해 최근 운영에 들어갔으며 ID통합, 모바일 통합인증 및 지정맥 인증 등 개인화 인증시스템 고도화 작업을 진행하고 있다"고 밝혔다.