[人사이트]고정현 우리은행 정보보호그룹장(CISO) "오픈뱅킹 맞춰 보안도 고도화 필요"

“한국도 오픈뱅킹 기반 핀테크 혁신 금융시장에 열립니다. 하지만 혁신과정에서 촉발된 보안체계는 여전히 이를 따라가지 못하고 있습니다. 특히 오픈뱅킹 시대에 맞는 보안 수준을 정립해야 할 때입니다. 우리은행도 핀테크 보안 위협과 대응을 위한 준비를 시작했습니다.”

고정현 우리은행 정보보호그룹장은 핀테크 시대 보안 위협도 고도화되는 만큼, 혁신에 기반한 고도 보안 대응 체계를 갖춰야 한다고 역설했다.

우리은행은 올 하반기 오픈뱅킹 적용에 맞춰 다양한 보안 정책을 수립했다. 공격자 관점 상시 취약점 점검과 개선활동을 위한 '사이버 레드팀'을 구성했다. 또한 인증 보안을 위해 자체 클라우드 인증서와 인앱 방식 일회용 비밀번호(OTP) 개발에 착수했다.

고 그룹장은 “혁신 뒤에는 개인정보를 공유하고, 모두 연결하는 작업이 필요한데 오히려 보안사고 가능성을 높일 수 있는 요소가 있다”며 “이제는 보안 관리도 은행뿐 아니라 IT사는 물론 간편결제 협력사까지 모두 연결, 종합 대응할 수 있는 시스템 마련이 급선무”라고 지적했다.

무엇보다 정보보호는 업무를 많이 해서 잘하는 게 아니라 협업 시스템, 소통이 중요하다고 덧붙였다.

그는 “새로운 디지털 시스템을 만들 때 예전에는 상품과 서비스를 만든 이후에 정보보안이 투입됐다면, 이제는 개발 초기부터 정보보호 인력을 함께 투입한다”고 말했다.

비즈니스 설계 단계부터 보안 리스크를 점검하고 대규모 디도스 공격 방어를 위해 금융보안원 클라우드 기반 대피소도 구축 완료했다.

고 그룹장이 최고정보보호책임자(CISO)를 맡고 가장 먼저 한 일은 전 직원 정보보호 연수체계 도입이다. 신입 직원 대상으로만 진행하던 보안 교육을 전 직원으로 확대하고 사이버 연수는 물론 행내 모든 집합 연수 시 정보보호 연수를 의무화했다. 전 부점 정보보호담당자 대상으로 분기별 1회 화상연수를 실시하고, 정보보호 자문역을 선출해 전 영업점을 돌며 보안 중요성을 알리고 교육한다.

협력사 업체 점검과 현장보안도 내실화했다.

형식적인 체크리스트를 모두 폐지하고 단답형이 아닌 직접 눈으로 확인하고 체크할 수 있도록 체크리스트 고도화 작업을 펼쳤다. 아울러 매월 보안 레터를 만들어 주요 이슈를 공유하는 보안 소통 채널 강화에도 나섰다.

고 그룹장은 “핀테크 사업 육성을 위한 금융보안 규제 완화와 맞물려 사용자 편의성에만 초첨을 맞추는 경향이 있다”며 “정보보안통합관제를 통한 상시 대응 체계를 구축해 핀테크 시대에 걸맞은 정보보안 체계를 수립해야 한다”고 말했다. 이어 “은행도 화이트 해커 등 보안 전문가를 영입, 신규 기술에 대한 보안 취약점 점검과 신종 보안 위협을 사전에 차단하는 노력이 필요한 때”라고 강조했다.

길재식 금융산업 전문기자 osolgil@etnews.com