interview|대구지역 IT 정보화 대구은행 정보보호부 양두상 본부장(CISO)
대구은행, 보안훈련 마인드 함양, 미래창조과학부 긍정적 보안관리 평가받아
재난시 2시간내에 복구목표, 진 직원 보안의식 고취위해 노력
방창완 편집국장 bang@ciociso.com
대구은행 정보보호부는 일찌감치 피싱과 스미싱 등에 대한 보안 실전훈련을 실행하면서 직원들이 위협요소를 직접 체감하도록 했다. 이론적인 교육보다는 체득에 따른 실전교육이 보안에 있어 마인드를 함양하는데 많은 도움을 줬다.
이는 미래창조과학부로부터 긍정적인 보안관리였다는 평가와 함께 현재까지 보안관리를 위한 우수사례로 평가 받고 있다. 대구은행 정보보호부 양두상 본부장은 "직접 실전훈련을 함으로써 훈련에 임한 직원들에게 공정한 평가가 이뤄졌다. 훈련보다는 실전에 임한다는 자세로 진행된 교육에서 직원들의 보안 수준은 상당부분 올라갔다"고 평가했다.
대구은행 정보보호부의 이 같은 노력은 오는 4월말에 있을 금융감독원의 '침해사고 대응훈련'에 대비한다는 측면도 있지만, 사내에서 악성코드에 대한 사전 차단을 위한 실전에 가깝게 훈련을 했기 때문에 의뤄진 결실이다. 대구은행 정보보호부가 이런 침해사고 대응 훈련에 적극적인 것은 보안에 있어서 중요한 것은 사람이라는 생각에서다.
실전훈련과 강의 병행해 보안 마인드 함양
양두상 본부장은 "실전훈련도 중요하지만, 더욱 필요한 것은 교육, 이라며 현재 예비 지점장들을 대상으로 직접 보안강의를 실시하고 있다"고 전했다. 양두상 본부장은 지난해 외부 보안 강의를 3차례 걸쳐 진행했으며, 핀테크 보안 강의와 IT포럼에서도 강의를 진행한 바 있다.
양 본부장은 현 시점에서 금융보안의 핵심은 예방교육 외에도 복원력이라는 점을 강조했다. 금융당국에서도 전산시스템에서 허용할 수 있는 핵심 시스템에 대한 복구 시간이 3시간이며, 나머지 IT 인프라에 대해서는 24시간 내의 복원을 원칙으로 하고 있다. 대구은행은 재난복구시간이 2시간 내에 이뤄지도록 훈련을 진행한다.
2시간내에 복구가 이뤄지기 위해서는 형식적인 훈련으로는 소용이 없다는 생각이다. 현업에서 직접 참여해 실질적인 훈련이 될 수 있도록 다양한 스킬을 연마하고 있다. '소리 없이 강한 기업'이 라는 모토를 내걸고 이에 따른 실제 훈련을 진행하고 있는 것.
최근 국내 은행들은 망분리를 비롯해 기본적인 물리적 보안장치는 거의 마무리한 상태다. 하지만 앞으로는 관리적 보안이 금융 IT에서 핵심적인 사안으로 떠오를 것이라는 것이 양 본부장의 생각이다. 양두상 본부장은 "이런 저런 물리적 시스템을 도입하면 일정 수준에서 기업 보안은 평준화되기 마련이다. 하지만 관리적인 수준에 따라 보안의 질은 달라질 것"이라고 말한다.
그만큼 앞으로는 관리적 보안이 중요하며, 구체적인 실천 사항으로 거버넌스와 컴플라이언스에 대한 대응이 필요하다는 점을 강조했다. 이런 점을 은행들도 인지하고 있지만, 모든 것을 갖추기에는 현실적으로 한계가 따르기 마련이다. 이 부분에 있어서도 양 본부장은 형식보다는 현실적인 측면을 강조한다.
물리적 보안외에 관리적 보안이 기업보안수준 가늠한다
그는 직원들이 의식적으로 각종 서류 이미지들을 중앙 센터에 보관하도록 하는 일련의 관리 체계를 일상화하는 부단한 노력이 필요하며, 정보 유출시에는 본인 책임이라는 경각심을 주는 것과 같이 자발적으로 행동할 수 있는 지침과 관리 체계가 있어야 한다고 말했다. 또 관리적 보안이 제대로 이뤄지기 위해서는 내부적으로 보안부서 및 보안의 정체성을 확실히 할 필요가 있다는 지적이다.
보통 CIO는 성과에 대해 이야기 하지만, CISO는 안전을 위한 내부통제 프로세스에 대해 이야기를 한다. 보안은 성과로 이야기할 수 없으며, 기업 신뢰를 위한 근간이 된다는 것. 은행이 신뢰를 잃으면 비즈니스를 유지하기가 어렵다. 기업의 이미지를 제고하고, 고객의 신뢰를 지키는 것이 정보보호의 역할이며, 정체성이 될 수 있다.
양 본부장은 정보보호부서의 노력이 기업 신뢰에 큰 영향을 미치는 만큼 정보보호를 위해 힘쓰는 부서 직원들에 대한 사기진작에도 노력을 기울이고 있다. 보통은 야간교육 과정을 통해 정보보호 교육함양에 매진하는 기업들도 있지만, 대구은행은 연말에 포상을 통해 그간의 노력에 대해 치하하고 있다.
양두상 본부장은 보안 의식에 대해 "위험은 항상 우리 가까이 있다는 생각을 염두해 둬야한다. 또한 보안은 항상 새롭게 봐야하는 부분이며, 신뢰를 위해 투자하는 개념으로 접근해야 한다"고 말했다. 그런 인식이 없다면 보안은 항상 영업에 있어서 걸림돌이 될 수밖에 없다는 것. 사고가 일어나면 취약점이 커지는 만큼 미리 투자를 통해 고객의 신뢰를 지키는 노력이 필요하다는 것이다.
그는 또한 "해야 할 행동은 귀찮더라도 해야한다"는 생각을 모든 직원들이 가져줬으면 한다고 강조했다.