금융위, 긴급회의 열고 ‘CEO 책임’ 강조
은행권, 정보보호 예산 확대…우리은행 비중 최고
국민·우리·신한, 망분리·훈련·방어팀 등 보안 강화
하나·농협, AI 관제·국제 인증으로 체계 고도화

▲ 지난 23일 권대영 금융위원회 부위원장이 서울 여의도 KB국민은행 신관에서 열린 '금융권 CISO 대상 긴급 침해사고 대응회의'에서 발언하고 있다. <사진=연합뉴스>

 

[토요경제 = 김소연 기자] 롯데카드에서 297만명의 고객 정보가 유출된 해킹 사고 이후 금융당국이 금융권 전반에 보안 고도화를 주문하자 국내 은행들이 즉각 대응에 나섰다. 금융위원회는 지난 23일 금융권 정보보호최고책임자(CISO)를 소집해 긴급회의를 열고 “최고경영자(CEO) 책임 하에 전산시스템 전수 점검”을 지시하며 그간 보안을 부차적 업무로 치부해온 관행을 강하게 비판했다. 이에 따라 5대 시은행들은 보안 투자 확대, 전사 훈련, 제도 개선을 동시에 추진하며 대응 수위를 높이고 있다.

25일 한국인터넷진흥원(KISA) 공시 자료를 통해 5대 시중은행 가운데 국민은행, 신한은행, 우리은행의 정보보호 예산을 확인할 수 있었다. 국민은행은 지난해 420억7000만원을 정보보호 예산으로 집행했으며 이는 전체 IT예산의 7.4%에 해당한다. 

 

올해에는 예산을 425억1000만원으로 늘려 비중도 7.5%로 소폭 확대했다. 같은 기간 신한은행은 287억8000만원(7.6%)에서 370억3000만원으로 크게 늘리면서 전체 IT예산 대비 비중도 8.6%로 높였다. 

 

우리은행은 세 은행 중 가장 높은 수준으로 지난해 427억6000만원을 투자해 IT예산 대비 10.5%를 기록했고 올해에는 444억원으로 금액을 늘리며 비중도 12.3%까지 끌어올렸다.

반면 하나은행과 농협은행은 KISA 공시 자료가 확인되지 않았지만 자체 보고서를 통해 보안 강화 노력을 공개하고 있다. 하나은행은 하나금융그룹의 지속가능보고서를 통해 지난해 지주 IT예산 대비 정보보호 투자 비중을 26%라고 공개했다.

 

농협은행 역시 인공지능(AI) 보안관제시스템과 국제 인증을 기반으로 적극적인 보안 강화 활동을 펼치고 있다.

은행별 보안 전략도 구체화되고 있다. 국민은행은 ▲망분리 개선 ▲AI·서비스형 소프트웨어(SaaS) 기반 위협 대응 ▲멀티백신·앤드포인트 위협 탐지 및 대응(EDR)·컨텐츠무해화(CDR) 등 보안 취약점 점검 강화 ▲무선 해킹 탐지 시스템 확충을 추진한다. 

 

또 위험관리프레임워크(RMF) 기반 실시간 가시화·자동화 플랫폼을 구축 중이며 과학기술정보통신부·KISA가 주관하는 ‘제로트러스트 도입 시범사업’에 2년 연속 선정되기도 했다. 

 

국민은행 관계자는 “하반기에는 애자일 조직과 협업툴을 활용해 대응 역량을 강화하고 수치화된 데이터를 기반으로 정보보호 거버넌스를 체계화하겠다”고 말했다.

정보보호 예산이 공시된 은행 가운데 규모가 가장 큰 우리은행은 단순한 투자 확대를 넘어 전사적 보안 문화 확산에 주력하고 있다. 

 

지난 7월 ‘정보보호의 날’을 맞아 전 임직원이 참여하는 ‘고객정보 유출 대응 모의훈련’을 진행해 실전 대응 역량을 점검했다. 

 

이날 훈련에는 CISO와 관련 부서장이 직접 참여해 실제 사이버 공격 상황을 가정한 대응 체계를 점검했고 이를 통해 사이버 공격 발생 시 신속 대응, 임직원 보안 인식 제고, 정보보호 문화 확산을 추진했다. 

 

우리은행 관계자는 “디지털 전환이 가속화됨에 따라 사이버 보안의 중요성이 더욱 커지고 있다”며 “전 임직원의 보안 인식을 강화해 고객 신뢰를 지켜나가겠다”고 밝혔다.

신한은행은 침해사고 발생 시 상황 종료까지 대응 과정을 보고하는 매뉴얼을 갖추고 있다. 자체 사이버 해킹 방어 대회 운영, 반기별 외부 취약점 점검 등 훈련·검증 중심 전략을 강화 중이다. 

 

특히 CISO가 총괄하는 독립 부서인 ‘정보보호본부’를 운영해 법적·제도적 준거성을 확보하고 있다. 

 

신한은행 관계자는 “최근 SKT, 롯데카드 사례를 계기로 IT·보안 인프라 현황을 긴급 점검하고 있다"면서 "정보보호 강화를 위해 은행 내부 정보보호 전문가 역량 강화 프로그램을 운영과 자체 사이버해킹 방어팀을 구성해 전문 인력을 육성 중"이라고 밝혔다.

하나은행은 그룹 통합보안관제센터를 24시간 가동해 실시간 위협을 탐지·대응하고 있으며 사이버 경보 단계를 상향 조정해 즉각적인 패치와 백신 업데이트를 시행하고 있다. 

 

연 2회 취약점 점검과 외부 화이트해커 검증 등 다층적 점검도 진행하고 있다. 또한 하나은행도 정보보호본부를 독립된 본부로 조직구성해 정보 자산의 안전관리를 집중적으로 관리하고 있다. 

 

하나은행 관계자는 “정보보호는 금융소비자 보호와 거래 신뢰의 핵심”이라며 “AI 기반 위협 대응을 강화하고 내년부터는 KISA 공시를 통해 투자·인력 현황을 투명하게 공개할 것”이라고 밝혔다.

농협은행은 AI 기반 보안관제시스템 운영과 함께 침해사고 대응 훈련과 디도스(DDoS) 대응 계획을 정례화했다. 외부 컨설팅과 연계한 보안 위험 평가도 매년 실시하고 있으며 최근에는 국제 정보보호 관리체계 인증을 획득해 개인정보와 인터넷뱅킹 전반에 적용했다. 

 

농협은행 관계자는 “제로트러스트 보안 모델 도입과 자율보안체계 확립을 위해 성숙도 평가와 로드맵을 마련할 계획"이라며 "자율보안체계 확립을 위해 보안 리스크 관리를 위한 지표를 설정해 관리 체계를 고도화할 것”이라고 말했다.

 

토요경제 / 김소연 기자 ksy@sateconomy.co.kr 

[저작권자ⓒ 토요경제. 무단전재-재배포 금지]