iM뱅크 시대, 훨씬 더 각별해진 보안… 대구은행 "차세대 정보보호 고도화전략 추진"

[기획/'시중은행 전환' DGB대구은행, 디지털·IT 전략 진단 ③] "강력한 사이버 복원력 확보"…보안 전략은?

<시리즈 1·2회와 연결되는 내용입니다>

[인터뷰] 이광원 상무 (대구은행 CISO)

- 디지털 신기술 확장, ‘위험관리 프로세스’ 마련해 최적화된 비용 효율적 보안 전략으로 대응

- '생체인증' 기반 보안 인프라 고도화에 총력… 대고객 디지털접근 편의성·안전성↑, 내부통제 강화

- '포스트 차세대시스템' 사업추진과 병행해 '차세대 정보보안 고도화' 전략 추진

[디지털데일리 박기록 기자] 전통적으로 대구은행은 국내 은행권에서 '전자금융에 강한 은행'이란 평가를 받아왔다. 전자금융 혁신을 통해 기존 지역은행으로서 가졌던 한계를 극복해왔으며, 이같은 비용효율적인 채널 전략을 중요한 경영 전략으로 인식해왔다.

대구은행이 시중은행 전환과 함께 새 사명인 iM뱅크의 정체성을 '뉴 하이브리드 뱅크'(New Hybrid Bank)로 내세우는 것도 오랜기간 축적된 스스로의 노하우와 자신감이 있기때문이다.

대구은행은 다만 iM뱅크 출범을 계기로 분명히 기존과는 한 차원이 높은 수준의 디지털뱅크 전략을 구사해야하는 상황이다.

특히 iM뱅크 시대를 안정적으로 열기위해선 디지털 및 IT인프라의 확장 못지않게 어떠한 보안위협도 방어할 수 있는 보안 인프라 투자도 효과적으로 속도감있게 병행돼야 하기 때문이다. 지난 2011년 농협 전산마비 사태를 비롯해 국내 금융권에선 다양한 형태의 전자금융 사고가 발생했는데 이는 은행의 대외 신뢰도와 직결된 중차대한 문제다.

대구은행이 ‘안전하고 편리한 은행’을 구현하기위한 정보보호 체계 구축을 iM뱅크의 핵심 과제중 하나로 꼽고 있는 이유다.

물론 이같은 정보보호체계 고도화를 구현하는 것도 상당히 도전적인 과제일 수 밖에 없다.

디지털·IT인프라의 확장에 따른 최신 보안 기술의 적절한 대응 뿐만 아니라 인력과 보안 IT투자 비용의 문제까지도 동시에 고려해야하는 현실적인 난관을 극복해야한다.

이와 관련 대구은행 CISO(정보보호최고책임자)인 이광원 상무(사진)는 <디지털데일리>와의 인터뷰에서 “신종보안위협에 대한 지속적인 대응뿐만 아니라 디지털신기술에 대한 보안대응, 자율보안 기반 마련을 핵심전략 방향으로 세우고 여러 가지 추진을 하고 있다”고 밝혔다.

이런 점에서 대구은행이 꾸준히 강조하고 있는 것이 '위험관리 프로세스'다.

대구은행이 정의하고 있는 ‘위험관리 프로세스’의 핵심은 정밀한 위험(위협) 평가를 통해 ‘위험 허용’ 수준을 결정하고, 이를 통해 최적화된 비용으로 보안을 효과적으로 구현하겠다는 것이다.

어느 금융회사를 불문하고 보안 투자는 많을수록 좋겠지만 현실적으로 제한된 인원과 자원(비용)으로 대응해야하는 만큼 이러한 정교한 위험관리 프로세스 구축은 필수적이다.

◆‘디지털’ 기반 더욱 중요해진 대구은행… '생체인증' 도입 등 보안 역량 지속 강화

최근 은행권을 대상으로 한 렌섬웨어 공격 증가와 공급망침투, 최근에는 AI기반 공격이 크게 증가하고 있다.

이에 대해 대구은행이 현재 강화하고 있는 보안 인프라는 ‘생체인증시스템’의 도입이다. 생체인증은 지문, 홍채, 얼굴인식 등 강력한 보안 효과와 사용자 편의성이 뛰어나다. 특히 내부통제 체계를 시스템측면에서 크게 강화하기위해 대구은행 내부 직원들을 대상으로 한 생체인증 시스템이 적극적으로 도입됐다.

이 상무는 “올 1월부터 주요 시스템에 대한 안면 및 지문의 생체인증을 포함한 개인화된 인증시스템을 지역은행 최초로 전면 적용했다”고 밝혔다.

이와 함께 “업무용 개인 PC 로그인을 비롯해 내부 인트라넷시스템 통합로그인, 영업점 통합단말, 테블릿브랜치 등의 각종 은행 시스템에 안면 인증 및 모바일 생체인증방식인 FIDO, M-OTP의 강화된 보안 인증 방식으로 내부시스템에 접근할 수 있다”고 설명했다.

대구은행은 또한 최근 생성형AI의 활용 증가, 딥페이크 기술의 발전 등 고도화되는 사이버공격에 대한 사전예방이 점점 어려워지는 현실에 비춰 사이버 보안사고 예방뿐만 아니라 사후처리도 매우 중요하다고 보고 있다.

특히 이를 위해 사이버 복원력(Resilience) 확보를 위한 관련 투자를 확대하고, 보안운영도 현대화할 방침이다.

여기에 은행 IT인프라의 클라우드 확산 로드맵에 맞춰 보안성 심의 및 취약점 점검을 수행하는 등 자율보안체계 전환 및 능동적 정보보안체계를 마련해 나갈 계획이다.

한편 이 상무는 iM뱅크 시대를 대비해 대구은행이 오는 2027년 가동을 목표로 검토하고 있는 '포스트 차세대시스템' 프로젝트와 관련해 ▲고객정보 라이프사이클 가시성 확보 ▲포스트 차세대 정보보안 아키텍처 검토 ▲포스트 차세대 정보보보안 고도화 등을 중심으로 한 정보보호 대응 전략도 마련했다고 밝혔다.

아울러 이 상무는 “포스트 차세대 구축 과제별 보안요소를 식별하고 빠짐없이 보안대책이 마련될 수 있도록 프로젝트 기간동안 정보보호 인력이 참여해 보안대책 제시, 보안성검토, 취약점 점검을 수행할 계획”이라고 밝혔다.

또한 클라우드 확대 로드맵에 따라 클라우드 워크로드내 보안성을 효율적으로 관리하고 가시성을 확보할 수 있는 전문 보안 솔루션을 구축할 계획이다.

◆‘내부통제’ 시스템 개선에 총력… 국내 은행권에서 가장 빠른 성과

금융위원회는 이번 대구은행 인가 심사과정에서 대구은행의 ‘내부통제체계의 적정성’ 관련 사항을 집중 심사했다고 밝힌 바 있다. 대구은행은 금융위의 지침에 따라 내부통제 시스템을 전반적으로 개편하고, 최신 정보보안 기술을 도입해 시스템의 취약점을 보완하는 작업에 착수했다.

특히, 사이버 보안 강화와 직원들의 보안 의식 제고를 위한 교육 프로그램을 확대하고 있으며, 정기적인 보안 점검과 감사를 통해 보안 체계를 지속적으로 업데이트 하고 있다. 이러한 대구은행의 노력은 금융산업에서 정보보안 내부통제의 중요성이 점점 증가하고 있는 상황에서 모범적인 사례로 평가받고 있다.

실제로 금융위는 지난 2022년11월 금융당국과 은행권이 공동으로 마련한 '국내은행 내부통제 혁신방안'에 대해 대구은행이 21개 과제중 19개를 이행하는 등 국내 은행 중 가장 빠르게 이행중인 것으로 나타났다며 높게 평가했다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -