5대 은행, 금융당국 변화 분위기 감지…보안 투자

정부와 금융당국이 10여 년이 경과한 망분리 규제를 완화하는 등 신(新)금융보안 체계 전환을 추진하고 있다. 이에 국내 금융사가 그간 망분리에 의존해 해외 대비 보안에 대한 투자가 소극적이었던 만큼 자체 보안역량 강화가 핵심 과제로 부상할 것이란 전망이 나온다.  

망분리 규제는 외부의 사이버 공격으로부터 내부 전산망을 보호하기 위해 내부망과 외부망을 분리하는 네트워크 보안 방식을 말한다. 특히, 금융 분야에서 중요하게 다뤄지며, 2013년 대규모 금융전산망 마비 사고를 계기로 의무화됐다.

금융위원회는 30일 정부서울청사에서 ‘금융권·금융 공공기관 침해사고 대비태세 점검회의’를 열고, 최근 발생한 SGI서울보증의 사고를 계기로 금융권 침해사고가 재발하지 않도록 정부 차원에서 금융권 보안강화를 위한 후속 조치를 추진하겠다고 발표했다.

금융위 후속조치는 기존엔 정보유출이 확인된 경우에만 과징금을 냈지만, 앞으론 정보유출 없이 금융사가 해킹만 당해도 ‘징벌적 과징금’을 부과한다. 과징금 대상은 물론 규모도 현행보다 커질 것으로 예상된다. 보안체계가 제대로 갖춰지지 않은 금융사에서 발생한 해킹으로 서비스에 차질이 생기면 금융권과 소비자의 신뢰를 훼손시킨다는 판단에서다. 

금융감독원도 자체점검 결과 등을 토대로 9월부터 금융사 현장 점검에 나선다. 이달 중 금융권에 자체 점검표를 배포하고 내달까지 금융사 자체 점검 결과를 회수해 분석한 뒤, 현장 점검을 통해 실제 보안 강화 여부를 직접 확인할 방침이다.

9월부터 금융보안원과 함께 전 금융권을 대상으로 ‘블라인드 모의해킹’도 실시한다. 사전 통보 없이 불시에 해킹을 시도해 각 금융사의 사이버 보안 실태를 점검하겠다는 계획이다.

김동환 금융위 디지털정책관은 “SGI 사례에서 보듯 금융회사의 경우 작은 보안 실수만으로도 걷잡을 수 없이 큰 소비자 불편을 초래할 수 있다”며 “이는 금융 신뢰성과도 연관된 만큼 금융안전은 과하다고 생각될 정도로 빈틈없이 보완해야 한다”고 강조했다.

◆ 자체 보안역량이 금융시장 ‘경쟁력’

금융당국이 중대 보안사고에 대한 규제를 강화하는 등 제도 개선에 속도를 내는 가운데, 5대 시중은행은 이에 대응해 기존 규제 중심 보안에서 자율적인 보안 역량 강화로 패러다임을 전환해야 한다는 얘기가 나온다. 

KB국민은행은 국내 금융권 최초로 IT서비스 정보보호 관리체계 국제인증(ISO/IEC 27001) 등을 포함한 IT 보안 3대 국제 인증을 보유하고 있다. 또한, 외부 침해사고로부터 완벽한 차단을 위해 ▲내·외부망 분리 ▲통신 웹 구간·인증정보·주요정보 암호화 ▲DB 접근제어 등 전자금융감독규정 의무준수 사항 이행 등 안전한 인프라 환경을  구축하고 있다.

국민은행 관계자는 “시스템 해킹이나 디도스(DDoS·분산서비스거부) 공격 등 침해사고에 대응하기 위해 ‘24/365(통합보안관제센터) 실시간 통합보안관제 체계’를 갖추고 있다”며 “정보보호 시스템은 국내 금융권 내 수준급인 것으로 알고 있다”고 말했다.

신한은행은 보안 분야에서 선제적 투자와 체계 구축에 집중하고 있는 것으로 알려졌다. 구체적으로 금감원 보고자료(정보기술부문)기준 올해 약 450억 원 규모의 정보보호 관련 투자규모 예산을 보유한 것으로 파악된다.

신한은행 관계자는 망분리 규제 완화 대비책에 대해 “AI(인공지능)·SaaS(서비스형 소프트웨어) 관련 개인정보 통제 절차를 마련 중이며, 가명정보 관리체계·가명처리 시스템 일원화 구축 등을 준비하고 있다”고 설명했다.

이어 자체 보안역량 강화를 위해 “자체 솔루션팀을 구축, 국내외 유수의 사이버 보안 방어대회인 락드실즈나 코드게이트에 참여하는 등 역량 강화 훈련에 집중하고 있다”며 “한국인터넷진흥원(KISA)이 주관하는 ‘제로트러스트 실증사업’에도 참여해 경쟁사 대비 선제적인 보안 신기술에 대응하고 있다”고 강조했다.

하나은행은 ▲24/365 운영으로 국내외 관계사 사이버공격 실시간 대응 ▲최신 패턴 기반 방어 및 시나리오·머신러닝 기반 이상행위 방어 체계 구축 ▲전 그룹사 대상 인터넷 접점의 사이버공격 취약 표면 식별 및 적기 조치 수행 ▲사이버공격 예방 위한 국내외 침해지표 수집 채널 구축 등 사이버보안 체계를 구축하고 있다.  

금융권 최초로 개인정보보호 국제인증(ISO 27001)과 국가인증(ISMS-P)을 동시에 획득한 우리은행은 국내 최고 수준의 보안 인증인 ▲ISO 27001(국내 금융권 최초) ▲ISO 27017 ▲ISO 27701 ▲ISMS-P 등 4종을 보유 중이다. 또한, 보안상 문제가 발생되지 않도록 SaaS 서비스 및 생성형 AI 서비스 이용을 위한 보안대책 기준 및 가이드라인을 수립해 운영 중이다. 우리은행이 지난해 사이버보안에 투입한 비용은 444억 원으로 올해엔 대폭 증액할 예정이다.

NH농협은행도 대외 인증을 통해 보호관리체계를 강화하고 있다. 현재 ▲Iso27001 국제인증(it전부문) ▲Isms 통합it센터 Isms ▲통합it센터2 금고시스템 ▲Ismp-p 등 4종을 획득했으며 ▲농협카드 앱 및 웹운영 ▲은행마이데이터서비스 등은 추가로 진행 중이다. 

한 금융업계 관계자는 “전통적인 보이스피싱을 넘어선 새 형태의 금융사기가 급증하는 만큼 은행별 사이버보안 역량의 차이가 고객 신뢰도와 직결될 수 있다”며 “각 은행의 자체 보안역량이 금융시장의 경쟁력을 좌우하는 핵심 요소로 작용할 것”이라고 전했다.

파이낸셜투데이 최정화 기자