[디지털 금융ⓛ]은행권 IT금융통합시대 도래..정보유출 등 보안대책은?
[디지털 금융ⓛ]은행권 IT금융통합시대 도래..정보유출 등 보안대책은?
  • 문혜원 기자
  • 승인 2018.11.16 16:59
  • 댓글 0
이 기사를 공유합니다

안전효율성 입증할 표준인증(ISO/ISMS) 의미 부각...법적 의무화 없어 단발성 획득에 그쳐 지적
보안업계 전문가, “형식성 취득은 그만..사후관리 위한 법적 가이드라인 필요”
[이미지출처 : 게티이미지뱅크]
[이미지출처 : 게티이미지뱅크]

[토요경제=문혜원 기자] 최근 은행권이 인터넷뱅킹·핀테크를 기반으로 하는 사업 확장(P2P·간편 송금 등 IT서비스)을 하면서 보안성이 검증된 소프트웨어 등록·활용 시스템 구축을 꾀하고 있다. 이에 보안경영의 안전 효율성을 뒷받침해 줄 해당표준인증이 관심사다.

금융보안원의 ISMS 인증은 104개 점검 기준에 따른 324개 점검 항목을 통합 심사하는 금융에 특화된 정보보호관리체계 인증이다. 국제표준화기구(ISO)가 인증하는 ISO 27001는 정보보호 정책·물리적 보안·정보접근 통제 등 정보보호 관리 영역을 14개 분야와 114개 세부 항목으로 나뉜다.

정보안경영관리체계(Information Security Management System:ISMS)란, 보안경영에 요구되는 사항을 정의한 것을 말한다. 기업들이 비즈니스를 수행하고 이윤을 창출하기 위해 보안 리스크를 제거하고 지속적인 관리를 할 수 있도록 한다.

14일 금융권 및 관련업계에 따르면, 디지털서비스가 새로운 금융시장으로 조성되면서 이에 대응해 은행들이 앞다퉈 내부 전산관리시스템을 구축하거나 IT와 금융이 융합된 ‘통합디지털센터’를 속속 운영하고 있다.

먼저 KEB하나은행은 ‘핀테크 스타트업센터’를 구축해 핀테크산업 육성에 힘을 쏟고 있다. 최근에는 인천 청라 소재 하나금융그룹 통합데이터센터를 선보인 바 있다. 통합데이터센터는 전산장비는 물론이고 데이터 서버를 한 데로 모았다.

KB국민은행은 핀테크 기반으로 한 상품처리계 고도화와 마케팅 허브, 비대면 시스템 재구축에 있다. 또 The K 프로젝트를 통해 비대면 채널 재구축, 데이터 허브시스템 확대, 통합인증시스템, 통합단말 업그레이드, 클라우드 인프라, 정보보호 체계 등 10개 사업 분야를 개선한다.

국민은행은 예정중인 신축 통합IT센터(김포센터) 도입시스템에는 침입차단시스템(방화벽), 침입방지시스템(IPS), 악성코드탐지분석시스템 등을 구축계획에 있다. ‘김포IT센터’는 기존 여의도·강서 전산센터를 통합해 김포시 장기동 한강신도시에 내년 중 건립할 계획이다.

신한금융은 은행·증권 통합PB센터인 신한PWM을 운영하고 있다. 은행·증권, 자산관리 지원 전담팀이 고객 맞춤형 금융서비스를 제공하고 있다. 통합금융그룹센터로는 지난 2013년 경기도 용인시 죽전에 신한통합데이터센터를 구축했다. 여기에 신한은행과 카드, 금융투자, 생명 등 그룹사 전산장비를 죽전센터로 이전해 운영 중이다.

NH농협은행은 P2P금융업에 특화된 오픈 애플리케이션프로그램인 인터페이스(API) 기반 P2P자금관리에 확장하고 있다. 이에 핀테크업체들이 아예 농협은행 부서에 입주해 인공지능, 빅데이터, 클라우드 서비스 등을 상용화하고 있다.

농협금융은 통합IT센터도 구축했다. 지난해 의왕시 포일동에 기존 IT센터의 4.2배(연면적 9만1570㎡) 규모로 건립한 데 이어 사용하지 않는 양재동 IT센터는 농협의 디지털·IT 부서를 통합한 데이터센터로 새롭게 운영할 방침이다.

은행들이 통합데이터센터를 구축하는 이유는 금융그룹 산하 계열사들의 데이터를 한 번에 관리하면서 비용절감 효과와 함께 빅데이터의 활용에 따른 시너지 효과를 보기 위해서라는 분석이다.

더불어 IT통합센터 신축 시에는 안정적 보안 인프라 구축으로 정보보호 환경이 필수다. 이에 보안수준 인증이 필수 요건으로 지목되고 있다. 인증 획득의 중요성이 나온 배경은 그간 금융기관 전산 관리망에 대한 소홀한 부분들이 지적됐기 때문인 것으로 풀이된다.

이에 전산업체와 고객들의 요구사항이 까다로워지면서 이에 적합한 정보보안경영시스템(ISM)이 중요한 관리목록으로 부각됐다. 주요 시중은행 포함 금융기관들은 이미 ISO/ISMS 단체 인증을 획득했다.

먼저 KB국민은행은 지난2009년 10월 ISO27001을, 2013년 7월 ISMS을 각각 인증 받았다. 신한은행도 죽전 IT금융센터와 일산센터에 대한 ISMS 인증을 각각 받았다. KEB하나은행은 ISO27001은 아직 받지 않았고, ISMS만 인증 받았다.

우리은행은 지난2010년 IT 서비스를 제공하고 있는 우리FIS가 ISO27001 인증을 획득한 바 있다. IBK기업은행도 2006년 IT센터에 대한 ISO27001 인증을 일찍이 획득했다. 지방은행으로는 광주은행이 ISMS인증을 획득했다.

보안업계에 따르면, 이 단체 인증은 보안 신기술 적용, 제3자 모의해킹 정례화를 통한 정보보호 수준 강화 및 금융사고 예방도 강화한다. 따라서 상호호환성과 사업체계 확장 개념으로써 핵심적 역할로 보고 있다.

하지만 보안인증은 현재 법적 지휘아래 있지 않고 시장자율성에 맡겨지고 있어 금융기관들이 홍보용의 단발성 획득에 그친다는 지적이 나온다. 실제로 인증을 획득해도 보안사고가 만약 불거질 경우 책임소재가 불분명하고, 보상 체계 인프라도 부족한 실정이다.

보안업계에서는 인증획득을 취득해도 실질적 혜택 부족한 것이 원인인 것으로 분석했다. 이에 일각에서는 보안의 인증 및 사후관리를 위한 지속적인 보안업무 가이드라인을 법적으로 제시해야 함을 강조했다.

문종섭 고려대학교 정보보안학과 교수는 “디지털 비즈니스의 중심에서 금융기관들은 단체표준인증(ISO/ISM)을 보안관리업체로부터 컨소시엄을 맺어 획득하고 있다”면서 “하지만 표준인증의 허점은 ‘이익 따넘기’에 그치는 생색내기로 활용되고 있다는 점”이라고 지적했다.

문종섭 교수는 이어 “금융기관의 보안체계 구축과 함께 사후관리도 필요하다”면서 “보안사고 대비 인증제도에 대한 명확한 법적인 기준과 기업별·업무특성에 맞는 가이드라인이 제시될 필요가 있다”고 주장했다.

또한 향후 금융 IT 인프라와 보안 사업의 시너지 효과를 높이기 위해 정보보호 정책 수립 대책방안도 필요하다는 의견도 나온다. 특히 ISMS는 최초 인증 획득보다 사후관리가 중요한 요소로, 전사적인 정보보호 관리체계 준수 노력이 필요하다는 설명이다.

김신영 금융보안원 보안인증팀장은 “사실 ISO/ISM 표준인증이 시장의견에 반영해 자율성으로 맡겼지만, 보안위협은 날로 고도화 되고 있다”며 “이에 금융감독원과 신기술 도입·적용에 따른 관련 리스크 대비태세 구축, 혁신기술 저변확대 지원 등 대책노력에 기울일 것”이라고 말했다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.