[금융보안특집]씨티은행

한국씨티은행은 국내 정보보호 정책 강화와 함께 글로벌 조직의 지원과 연계로 보다 강력한 보안 통제 인프라를 구현했다. 다양한 정보보안 거버넌스 포럼을 운영, 국내외 정보보안 이슈를 상시 모니터링하고 필요한 정책을 신속히 결정한다.

별도의 독립 전산시스템 권한관리 전담팀(ISA)을 구성, 본부부서 및 영업점 사용자의 모든 권한을 집중화했다. 전산시스템별로 사용 가능한 업무가 정해져있는 권한등급표(Security Matrix)에 따라 체계적으로 철저한 보안유지를 하고 있다.

전산시스템 권한관리 전담팀의 집중화에 따라 의도적 권한 오남용과 오류 등 위험을 사전에 방지하고 권한 등급표를 이용해 사용자에게 필요한 최소한의 권한만을 부여, 악의적 사용을 제한한다.

한국씨티은행 전산운영기획부 정보보안 담당 직원들이 컴퓨터 보안 모니터링을 실시하고 있다.

씨티은행이 사용 중인 모든 전산시스템의 사용자 권한을 전사적권한검토시스템(EERS)에 집중화해 권한검토 필요 시 상시로 EERS시스템에 접속해야 한다. EERS시스템은 인사시스템과 전산시스템 사용자 계정을 비교해 퇴직자 발생 시 퇴직에 따른 권한 삭제를 자동으로 일괄 요청하는 기능을 한다.

보안 권한 검토에 소요되는 시간을 대폭 줄이고 퇴직인력의 접근도 차단하는 효과가 있다. 아울러 인사이동 시 반기마다 권한검토를 다시 실시한다.

씨티은행은 고의 또는 우발적 사고로 발생한 정보보안 침해사고를 효과적으로 대응하고자 비즈니스 위험평가, 조사지원, 유관기관과의 긴밀한 공조체제를 갖추고 있다. 이를 이용해 침해사고의 자세한 추적과 사후 관리가 가능하도록 정보보안침해사고 대응팀 역할을 규정하고 이를 절차화했다. 실제로 다양한 유형으로 발생할 수 있는 정보보안침해사고 대응을 표준화했다.

정보보안 침해사고 유형을 표준화한 것은 씨티은행이 최초다. 전 직원 인식교육으로 유사 사고 발생 시 즉각 사고감지와 보고가 이뤄지도록 했다.

씨티은행은 매년 임직원 정보보호 교육 계획을 수립해 실시 중이다. 신입 직원은 60일 이내에 정보보안 교육을 수료하도록 했다.

씨티은행은 운용체계(OS) 제조사와 공동으로 씨티운영환경에 적합하도록 최적화한 OS를 사용한다. SOE 설치 시 OS에 적용되는 보안 설정뿐만 아니라 추가 보안 프로그램(USB 차단, HDD 암호화 등)이 패키지로 자동 설치된다.

SOE 패키지는 씨티그룹 글로벌 IT조직에서 수많은 운영환경 테스트 및 보안 검증을 거쳐 완성되며 패키지 형태로 전 세계에 공통으로 배포된다.

사용자는 관리자 계정 사용이 불가하고 사용자 권한만 가지고 있어 임의로 프로그램 설치·삭제가 불가능하다. 인터넷 사용 중 액티브X나 악성코드 감염을 이용한 정보유출 위험이 획기적으로 감소되며 사용자 보안환경을 완벽히 통제할 수 있다.

씨티은행은 국내에서 유일하게 취약점 점검을 전문으로 수행하는 조직을 보유하고 있다. 주요 애플리케이션과 기반시설의 주기적 취약점 점검을 실시한다. 불필요한 서비스와 비 인가된 접속방법이 차단됐는지 실시간 감시하고 취약점 예방에 앞장서고 있다.

씨티그룹은 2005년부터 외부업체의 정보보안 평가 및 위험 관리를 수행해 왔으며 해마다 정교화되고 비즈니스에 특화된 정보보안 평가 항목이 추가돼 보다 진보된 보안 평가를 실시하고 있다. 기밀정보 유출을 통제하고자 개인정보유출이 가능한 통로(이메일, USB, 프린트 등)에 자동화 툴을 사용하고 있다.

길재식기자 osolgil@etnews.com