국내 자산 1위로 우뚝 선 KEB하나은행의 보안전략

[인터뷰] 통합 KEB하나은행의 초대 천경미 CISO

“보안, 기술중심에서 사람중심으로 바뀌어야”

[보안뉴스 김경애] 지난 9월 1일자로 외환은행과 하나은행이 합병되면서 KEB하나은행은 국내 자산 1위 은행으로 우뚝서며 새롭게 태어났다. 합병 이후 KEB하나은행은 더욱 철저한 리스크 관리로 핀테크로 대변되는 스마트 금융을 선도하고, 양 은행의 통합을 통한 진정한 One Bank로 새롭게 탈바꿈하겠다는 전략이다.

“최근 사회적 이슈가 되고 있는 핀-테크(Fin-Tech)도 사람의 마음을 읽을 수 있는 ‘인(人)-테크’로 변화되어야 한때의 유행으로 그치지 않고 성공적인 트렌드가 될 수 있어요. 보안은 고객이 인지하지 않아도 자연스럽게 수반되며, 안정성이 확보되어야 하죠.”

고객의 편의성과 안정성이라는 두 마리 토끼를 잡아야 한다고 강조한 KEB하나은행 고객보호본부 천경미 CISO(Chief Information Security Officer, 전무)는 새로운 보안 트렌드를 반영해 보안성과 편의성을 동시에 만족시킬 수 있도록 인증체계를 준비 중에 있다고 밝혔다.

과거 충청은행에서 전산담당과 지점장, 영업본부장, 전무직을 역임한 후, 합병된 하나은행에서 경력을 쌓은 천경미 CISO는 올해 1월 통합 KEB하나은행의 CISO로 정식 임명됐다. 임명되기 이전에는 영업현장을 누비며 영업우먼으로 활약했는데, 그간에 쌓아온 현장 경험은 그에게 CISO라는 직책의 자양분이 됐다는 설명이다.

KEB하나은행은 그동안 보안 트렌드에 맞춰 다양한 전략을 펼치며 편이성과 안정성에 초점을 맞춰왔다. 현재는 전자금융 고객의 편의성을 극대화하기 위한 다양한 OS와 브라우저를 모두 지원하고, 액티브X가 필요 없는 인터넷 뱅킹 서비스를 시행하고 있다.

또한, 파밍 등 금융사기 피해 예방을 위해 지난 2013년 12월부터는 사고분석반을 구성해 금융사고 분석을 통해 사고 시나리오를 도출했으며, 이를 기반으로 2014년 9월 빅데이터 기반의 ‘전자금융 이상거래 탐지시스템(FDS)’을 자체 개발해 운영 중에 있다.

특히, 고객 서비스 영역 중 모바일뱅킹은 지난 2009년 12월 기존에 없었던 스마트폰 보안 시스템을 개발해 서비스를 오픈한 바 있다. 이러한 노력으로 지난 2013년 12월에는 스마트폰 뱅킹 보안의 안전성을 인정받아 아시안뱅커상 IT어워드에서 ‘Best Mobile Security’ 부문의 최우수 기업으로 선정되기도 했다.

외환은행과 하나은행의 인수합병으로 인해 KEB하나은행은 정보보호와 관련해서도 조직 정비와 보안 강화에 한층 힘쓰는 분위기다. 지난 2012년부터 외환은행과 하나은행의 합병작업을 진행한 KEB하나은행은 현재 듀얼체계로 정보보호 시스템을 운영하고 있다.

“2배로 증원된 정보보안 조직은 IT보안부 산하에 보안기획팀(12명)과 보안운영팀(21명)인 1부 2팀 체제로 구성되어 있어요. 보안기획팀에서는 은행 내 정보보안 전략과 정책을 수립하고 보안 신기술 및 정보보안 법률 검토 등의 기획업무를 담당하고, 보안운영팀은 정책이 수립되면 즉각적으로 실행될 수 있는 체제를 중심으로 보안 시스템의 안정적 운영과 사고 예방 등의 업무를 수행하고 있습니다.”

우선 정보유출 방지 및 악성코드 침해 예방을 위해 물리적 망분리와 논리적 망분리를 혼용한 KEB하나은행만의 특화된 하이브리드 망분리 시스템을 구축하고 있다.

뿐만 아니라 내부통제를 위해 모든 전산 시스템 접근시 보안 시스템을 경유하도록 해 비인가자의 접근을 원천적으로 통제하고 있으며, OTP도 모든 시스템에 적용한 것이 특징이다. 이는 금융권 최초라 더욱 의미가 있다는 게 천경미 CISO의 설명이다.

향후 KEB하나은행은 내년 6월을 목표로 IT 및 보안 시스템을 통합할 계획이다. 그 전까지는 리스크를 최소화하며 안정된 운영을 지속해 나갈 방침이며, 70여개 영역을 단계적으로 통합할 예정이다. 그러다 보니 정보보안 통합과 암호화, 안정적 운영을 위해 올해 보안예산이 100% 이상 증액되는 등 적극적인 투자 행보를 보이고 있다.

천경미 CISO 역시 액티브한 보안조직을 만들기 위해 영업현장과 보안조직을 연결하는 메신저 역할을 담당하겠다고 밝혔다. 이를 바탕으로 KEB하나은행이 핀테크와 비대면 실명확인 등 변화하는 보안 패러다임에서도 리딩뱅크의 위치를 견고히 하는데 일조할 계획이다.

그러면서 천 CISO는 정보보호를 위한 첫 번째 덕목으로 “‘Back to the Basic’ 기본에 충실하자와 정보보안을 실행하는 사람과 수혜자 양측 모두의 보안의식과 의지”를 꼽으며 “무엇보다 정보보안에서 사람이 가장 중요하다”고 강조했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>