[CIO BIZ+]Case Study / 국민은행 전행 보안강화 프로젝트

관련 통계자료 다운로드 국민은행 실시간 프로그램 인증 구성도

국민은행은 현 민병덕 행장이 부임하면서부터 전행 보안 강화에 더욱 힘써왔다. 정보보호에 대한 과감하고 체계적인 투자와 지속적 정보보호 인력 양성, 고객 중심 업무처리 조직문화 정착에 노력을 기울였다. 이런 노력을 인정받아 지난 7월 잠실에서 개최된 `제1회 정보보호의 날` 기념식에서 국내 기업 중 유일하게 대통령 표창을 수상했다.

이 표창은 국내에서 정보보호에 가장 앞장서 모범을 보이는 기업이라는 자긍심을 국민은행에 심어줬다. 이런 정보보호 역량은 해외에서도 인정받아 캄보디아 총리, 아세안 주요 국가 고위 공무원, 중국 공상은행, 베트남 BIDV은행, 우즈베키스탄 중앙은행 등 다수의 해외 주요인사 및 금융사들이 벤치마킹을 위해 방문하고 있다.

◇조직체계 변화 및 인력양성 등 거버넌스 강화=다양한 보안강화 활동을 추진해왔지만 최근 국민은행의 대표적 보안강화 활동으로는 보안 거버넌스 강화, 산학협동 인력양성, 실시간 인증서버 구축, 해커를 활용한 불시 보안상태 점검 등을 꼽을 수 있다.

국민은행은 지난해 잇따른 금융권 보안 사고가 결국엔 인력과 조직관리 부실에서 기인한다고 판단하고 보안 거버넌스 강화에 힘써왔다. 농협 사태 이후 마련된 전자금융감독규정을 충실히 이행하기 위해서는 체계적인 대응이 필요했다. 하지만 기존엔 외주인력을 포함한 20명가량의 보안팀이 IT기획부에 소속돼 있어 이런 대응에 한계가 있었다.

업무 특성상 창조적인 일을 해야 하는 IT기획부에 통제가 주목적인 보안팀이 있었기 때문에 업무 간 상충적인 부분이 존재할 수밖에 없었다. 결국 국민은행은 보안팀을 똑같은 부 단위로 격상시켜 내부 통제를 더 강화해야 한다고 판단했다.

국민은행은 지난해 말 보안 인력을 50% 확충하고 예산도 대폭 늘렸다. 그리고 보안팀을 IT보안관리부로 승격시켰다. IT보안관리부는 보안기획, 보안운영, 침해사고대응 등 3개 팀으로 조직하고 최고정보보안책임자(CIOS) 직속으로 뒀다.

부서로 승격하기 전 보안팀의 보고는 IT기획부장을 통해 CISO에게 전달됐다. 하지만 지금은 IT보안관리부장이 직접 CISO에게 보고하는 체계로 전환됨으로써 보고 라인이 간소화됐다. 다른 부서에 내부통제 관련 요구사항을 전달하는 것도 한결 수월해졌다. 그만큼 보안부서의 지위가 높아졌기 때문이다.

국민은행은 산학협력을 통한 정보보안 인력 양성에도 힘쓰고 있다. K대학과 협력해 국민은행만을 위한 별도 전문 보안인력 양성과정을 만들었다. 1주일에 한 번씩 3개월 과정으로 운영되는 이 과정은 지난해 말부터 시작해 2기에 걸쳐 45명의 보안전문가를 배출했다.

국민은행 최고정보책임자(CIO)·CISO인 유석흥 부행장은 “대학이 보유한 최신 이론에 기업의 경험을 합쳐 보다 완벽한 보안전문가를 양성할 수 있다”며 “100명 이상 인력을 확보해 향후 인력 순환에 따른 자연스런 보안 강화를 유도할 방침”이라고 말했다.

◇실시간 프로그램 인증서비스 개시=국민은행은 지난해부터 실시간 프로그램 인증 서비스를 개발해왔다. 이미 일부 IT부서에 1차 적용을 마무리했다. 이 프로그램은 국민은행이 사용하는 프로그램(화이트 리스트)을 실시간으로 인증해 통합관리를 통한 안전한 PC 사용환경을 제공한다. PC와 은행 단말에서 사용되는 여러 프로그램이 대상이다.

예를 들어 MS 워드 프로그램을 사용하려고 하면 인증서버에서 이 프로그램의 문제점을 판단해 실행 여부를 결정하는 것이다. 외부 해커에 의한 프로그램 변형, 허가받지 않은 소프트웨어(SW)가 실행되지 못하도록 원천 차단하는 것이 목적이다.

백신을 비롯한 기존 솔루션은 일부 바이러스의 감염 여부 판단과 치료에 중점을 둔다. 하지만 인증 서버는 악성 코드나 바이너스 실행 차단뿐만 아니라 국민은행의 업무용 프로그램 외 다른 프로그램 사용을 통제해주는 게 특장점이다. 보안 정책의 서버 내 관리를 통한 위변조 및 사용자 우회처리 방지에도 탁월한 기능을 발휘한다.

국민은행은 지난해 1단계 프로젝트를 마무리 짓고 현재 2단계 프로젝트를 추진 중이다. 인증 서비스가 망분리와 연동될 때 효과가 크다는 판단에 따라 망분리와 연계하는 방안도 검토 중이다. 현재 국민은행은 3만대 규모 전사 망분리 프로젝트 사업자 선정을 진행하고 있다.

국민은행은 내부 인증서비스 외에 국제 수상경력이 있는 해커 회사와 계약을 맺고 비허가 SW 실시간 차단(인증) 체계를 가동하고 있다. 이 해커 회사에서 보안부서의 통제 없이 불시에 해킹을 시도하는 등 활동을 통해 취약점을 분석하는 것이다. 불시에 실시하는 점검이기 때문에 보안부서는 한시도 보안 점검을 소홀히 할 수 없다.

◇전자금융 분야에서 이미 입증된 보안 역량=국민은행 이미 전자금융서비스 부분에서 차별화된 보안 역량을 발휘해왔다. 국민은행은 고객이 안심하고 인터넷뱅킹을 이용할 수 있도록 은행권 처음으로 `인터넷뱅킹 마우스 입력 기능` 개발, `피싱방지용 홈페이지 개인화 이미지` 적용, `계좌이체 전화승인 서비스` 개발 등 혁신적 기술을 제공하고 있다.

또 세계적으로 사례를 찾기 힘든 `트리플 액티브` 방식의 3중 거래분산 설계로 인터넷 뱅킹시스템을 구축하고 있다. 2009년 차세대 시스템 구축 당시부터 여의도 주센터뿐만 아니라 염창동·목동에 위치한 백업센터를 액티브-액티브로 연결해 무중단 백업 환경을 구현한 것이다.

국민은행은 이 외에도 분산서비스거부(DDoS) 대응시스템, 침입탐지시스템(IDS), 침입방지시스템(IPS) 등 기본적인 보안시스템과 연계된 24시간 정보보호 모니터링 체계를 구축한 상태다.

내무 정보보호를 위해서는 고객 정보가 외부 유출 시에도 악의적으로 사용할 수 없는 `고객정보번호 K-PIN`을 개발해 주민번호 등 실명 번호를 대체했다. 전산센터에는 `H-레이 검색대` `금속탐지기` `전자태그(RFID) 정보유출 검색대` 등을 설치해 운영 중이다.

국민은행은 지속적인 정보보호 투자와 노력으로 IT 전 분야에 걸쳐 `ISO·IEC 27001` 정보보호 국제표준 획득, `BS25999` 및 `ISO·IEC 20000` 인증을 모두 획득하는 트리플 크라운을 달성한 바 있다.

유석흥 부행장은 “고객의 소중한 재산과 정보를 지키는 것이 금융회사의 가장 기본적인 사명이라는 게 국민은행 모든 임직원의 생각”이라며 “향후에도 지속적인 보안 투자와 기술개발, 인력 양성에 힘써 나갈 것”이라고 말했다.

안호천기자 hcan@etnews.com