인포섹, 정보보안핵심 SOC센터로 내년 금융권 적극 공략

 

 ▲인포섹 황성익 영업본부장

 

<대한금융신문=문혜정 기자>인포섹은 8년 연속 국내 보안관제, 정보보호컨설팅 분야 1위 기업으로 올해도 수많은 금융기관에 정보보호 컨설팅과 보안관제 업무를 제공했다.

새마을금고중앙회는 인포섹의 정보보안 컨설팅을 통해 국제규격의 개인정보관리체계 ‘BS10012’ 인증을 획득했으며, 대우증권도 증권사 최초로 인포섹의 모바일 단말관리 솔루션인 ‘M-쉴드’를 구축해 안전한 모바일 보안관리 체계를 구축했다.

본지는 인포섹 황성익 영업본부장을 통해 올해 금융업계의 보안사업 현황을 뒤돌아보고 ‘SOC센터(Security Operation Center)’ 등 내년도 인포섹의 금융권 보안전략에 대해 구체적인 계획을 들어보았다.

 

-올해 보안사업을 진행하며 금융사들의 태도가 이전과 많이 달라진 점을 체감했나.

은행, 증권, 보험사 모두 예전에 비해 체계적인 보안 컨설팅을 받으려고 노력하고 있다. 솔루션도 기존에는 크게 신경쓰지 않았던 계정관리나 접근통제 영역에 대한 투자가 많아지고 있다. 보안사고 전에는상대적으로 취약했던 고객정보관리를 지금은 계정관리나 접근통제를 통해 권한을 관리해 정보가 새나가는 것을 최대한 막고 있다.

가장 크게 달라진 점을 꼽자면 바로 ‘경영자들의 마인드’다. 기존에는 금융사 IT하면 CIO까지가 한계였다. 하지만 이제는 보안사고 발생 시 실무자 선이 아닌 경영자의 책임을 크게 물게 되면서 최고경영자가 보안을 바라보는 시선이 완전히 달라졌다. 특히 사고 경험이 있는 회사들의 경영자 마인드는 놀랄 정도다. 모 회사의 CEO는 사고 후 지금까지 매주 보안세미나에 참가하는 등 노력을 아끼지 않고 있어 지금은 보안지식이 실무자만큼 해박하다.

아쉬운 점이 있다면 대형사들의 경우 금융당국의 정책에 최대한 따라가기 위해 보안투자를 아끼지 않고 있는 반면 아직까지도 중소규모의 금융사들에게 보안은 우선순위에서 밀려나는듯 해 아쉽다.

-대형 금융사들 대부분 모바일오피스를 구축해 시행하고 있는데, 실제 모바일오피스 보안은 잘 이뤄지고 있는가.

모바일 오피스의 확대로 모바일 보안에 대한 필요성이 높아지고 있고, 특히 금융감독원의 '금융권 스마트워크 정보보호 가이드라인'이 발표되면서 모바일 보안 강화를 위한 노력들이 진행되고 있다.

일전에 두 군데 은행의 회의실에서 스마트폰으로 녹음을 하니 모든 회의내용이 고스란히 녹음됐다. 그 후 이 은행들은 임원회의 때 스마트폰을 가지고 들어가지 못한다. 모바일 보안이 얼마나 필요한지 보여주는 사례다.

인포섹이 주력하고 있는 사업도 이러한 모바일오피스 보안영역이다. 인포섹은 올해 증권사 최초로 KDB대우증권에 모바일 단말관리 솔루션(MDM)을 구축하면서 단말보안이나 사용자 인증 등 다양한 경로를 통해 모바일오피스 보안을 제공했다.

물론 보안이라는 게 어느 정도의 불편함은 감수해야 한다. 우리도 처음에는 무조건 접속을 막고 통제를 했지만 사업을 진행하는 과정에서 점차 사용자의 요구사항을 반영하며 보안성과 효용성을 동시에 고려하는 방향을 택하고 있다. 예를 들어 스마트폰만 켜면 보안이 가동되는 것이 아닌 업무시스템에 로그인했을 때만 가동되거나, 술자리 또는 택시에서 스마트폰을 잃어버렸을 경우 바로 회사의 스마트포탈사이트에 접속해 원격으로 업무를 지원할 수 있도록 했다.

-내년 인포섹은 금융권을 대상으로 어떤 보안사업을 적극적으로 전개할 계획인가.

SK그룹 계열사에서 시행하고 있는 SOC센터(Security Operation Center)를 내년부터 금융사에 적극적으로 홍보할 계획이다.

SOC센터는 고객정보운영센터로 고객정보에 접근하기 위해서는 IT직군이든 아니든 모두 SOC센터에 들어가 센터 내에 배치된 PC를 통해서만 접속할 수 있다. 빈 몸으로 들어갔다 빈 몸으로 나오는 것이다.

보통 금융사들의 경우 IT자회사 혹은 외주인력에게 IT아웃소싱을 주는데 이때 외부인력이 같은 사무실 내에 근무하며 금융사의 고객정보를 쉽게 접할 수 있게 되어 있다. 아무리 같은 계열사의 직원이라도 엄연히 다른 기관의 고객정보를 외부직원의 PC에서 바로 접할 수 있다면 정보유출의 가능성도 그만큼 높아진다. SOC센터는 이같은 위험을 원천적으로 차단하기 위한 것이다.

SOC센터 구축으로 기업들은 고객정보의 내/외부 접근을 단일화한 체계적인 통제 및 관리 환경을 갖출 수 있어 고객 정보의 대량 유출 근절 및 오남용을 방지할 수 있다. 물론 개인정보의 기술적, 관리적 보호조치 기준 제4조 제6항 준수를 통한 기업의 대외 이미지 제고에도 도움이 된다.

▲ SK그룹에서 시행하고 있는 고객정보운영(SOC) 센터의 출입구 모습. 고객정보에 접근하기 위해선 반드시 센터 내의 PC를 통해서만 접속이 가능하다.

-보안전문업체로서 금융당국이나 금융사에 바라는 점이 있다면.

보안사고 후 금융당국이 적극적으로 나서면서 정책적으로 보안이 많이 강화된 점은 긍정적이라고 생각한다. 하지만 아직까지도 솔루션의 유지보수율이 외산업체에 비해 상당히 낮게 책정된 점은 아쉬움으로 남는다. 좀 더 질 높은 서비스를 제공하기 위해서는 거기에 맞는 대가가 뒤따라야 하는데 국내 업체들의 서비스 대가는 너무 낮게 책정돼 있다. 앞으로 보안성을 더 높이기 위해서도 금융당국에서 이 부분에 대해 현실적으로 고려를 해줬으면 한다.

또 금융사의 최고 경영자가 보안에 대해 ‘지속적인’ 관심과 ‘꾸준한’ 투자를 해주길 바란다. 지금 사고가 나지 않으니 필요없다고 생각하면 매년 1억원씩 투자하면 될 것을 사고가 난 후 10억원을 한번에 쓰게 되는 상황이 발생한다. 투자를 하고 사고가 나는 것과 투자를 하지 않고 사고가 나는 것은 처벌 수위조차 완전히 다르다. 경영자들은 항상 언제 어디서든 사고가 날 수 있다는 생각으로 보안에 대한 경각심을 잊지 말길 당부한다.

저작권자 © 대한금융신문 무단전재 및 재배포 금지