김희상號 애큐온저축은행, 정보시스템·조직 강화 총력 [저축은행 정보보호 돋보기 (4)]

[한국금융신문 김다민 기자] 최근 금융권에서 해킹 사고로 인해 대규모 개인정보 유출 사태가 속출하고 있다. 많은 금융사들이 디지털화를 이뤄낸 상황에서 기존에는 제1금융권에 공격이 집중돼 왔다. 그러나 최근 비교적 보안이 취약한 제2금융권에 사이버 공격이 집중되고 있다. 이같은 상황에서 저축은행들이 고객들의 정보보호를 위해 어떠한 노력을 기울이고 있는지 살펴본다. <편집자 주>

애큐온저축은행(대표이사 김희상)이 IT 인프라 개편과 내부통제 강화, 관리체계 고도화로 정보보호 강화에 힘쓰고 있다. 특히, 지난해 차세대 코어뱅킹 시스템을 도입하고 내부통제위원회를 설치하며 보안 관리 수준을 한층 높였다.

애큐온저축은행은 지난해 19개월간의 프로젝트를 통해 KT DS와 협력, 총 250억원의 예산을 투입해 차세대 코어뱅킹 시스템을 완성했다.

이 과정에서 기존 전산 시스템의 개발 언어를 코볼(COBOL)에서 자바(JAVA)로 전면 교체하며, 업무 효율성과 확장성을 높였다. 표준 프레임워크 적용으로 대량 거래 지원이 용이해졌으며, 긴급 상황 시 거래추적 솔루션과 검증계를 활성화해 금융 거래의 안전성과 신뢰도를 한층 강화했다.

금융 데이터 관리 체계를 더욱 구조화하고 무분별한 데이터 생성을 방지하기 위해 데이터 표준체계도 수립했다. 혼재돼 사용하고 있던 데이터 용어도 직관적이고 이해하기 쉽게 변경했다.

뿐만 아니라 금융거래 시 발생하는 문제 상황에 대해 더욱 신속하게 진단할 수 있도록 검증계를 활성화하고 거래추적 솔루션을 도입해 고객들이 안정적으로 금융서비스를 이용할 수 있게 됐다. 또한 고객정보 분리·파기의 작업주기 및 체계적인 처리 이력 관리를 통해 고객 정보 관리 보안이 강화됐다.

이와 함께 최근 무선 보안 위협 및 내부 정보 유출 방지를 위해 무선 보안 시스템(WIPS)과 문서 보안(DRM)시스템을 고도화하고 있다. 무선 보안 시스템(WIPS)은 비인가/불법AP와 무선 단말을 차단했고, 문서 보안(DRM)은 중요 문서에 대한 중앙통제 및 반출 이력을 강화했다.

아울러, 지난 3월에는 금융 보안 강화를 위해 임직원 전용 생체인증 보안 시스템 ‘애큐온원패스(Acuon onepass)’를 구축했다. ‘애큐온원패스’는 애큐온저축은행 임직원 인증 체계 강화를 기반으로 금융 보안 사고의 발생 가능성을 선제적으로 차단하기 위해 기획됐다.

프로젝트는 작년 10월부터 총 5개월에 걸쳐 진행됐으며, 전 직원을 대상으로 새로운 인증 방식에 대한 교육을 실시해 시스템 적응력을 높였다. 이번 사업은 기존의 아이디(ID)·패스워드(PW)를 통한 시스템 로그인 방식에서 임직원 개인의 생체 정보 또는 모바일 인증을 통한 방식으로 변경해, 금융사고 예방을 강화하면서도 정보 이용 및 관리의 편리성을 더한 것이 특징이다. 특히 현금 이동성 금융 거래는 오직 생체 정보 인증을 통해서만 가능하도록 설계해 접근통제를 한층 견고히 했다.

이러한 정보보호 강화 노력을 인정받아 지난해 11월 한국인터넷진흥원(KISA)이 증명하는 정보보호 관리체계(ISMS) 인증을 획득했다.

ISMS는 국내 최고 권위의 정보보호 및 개인정보 관리체계 인증이다. 해당 인증을 보유한 기업은 해킹이나 개인정보 유출 사고에 대해 신속한 대응이 가능하고, 정보보호 관련 의식이 높은 것으로 평가된다.

애큐온저축은행은 ISMS 인증을 위해 작년 1월부터 올해 7월까지 총 17개월에 걸쳐 정보보호관리체계와 인프라 운영 관리 시스템을 개선 및 고도화하는 작업을 진행했다. 이를 통해 애큐온저축은행은 웹·모바일 인터넷뱅킹의 체계적인 운영과 정보보호관리체계의 신뢰성 및 안전성을 대내외적으로 입증했다.

김도완 애큐온저축은행 정보보호최고책임자(CISO) 전무는 “금융기업으로서 강력한 정보보호관리체계 수립을 통해 고객의 소중한 금융 데이터를 보호하는 것이 무엇보다 중요하다“며 “애큐온저축은행은 이번 인증 획득을 시작으로 앞으로 견고한 정보보안시스템을 구축하며 고객 신뢰도를 강화하도록 노력할 것”이라고 밝혔다.

애큐온저축은행은 시스템적인 부분뿐만 아니라 조직적인 부분에서도 내부통제를 강화하고 있다.

지난해 7월 애큐온저축은행은 이사회 내 내부통제위원회를 설치했다. 이를 통해 내부통제의 기본방침 및 전략 수립, 임직원의 직업윤리와 준법정신을 중시하는 조직문화의 정착 방안 마련, 내부통제기준의 제정 및 개정 문서화 등 지속적인 모니터링과 평가를 할 수 있도록 설립 목적을 명확히 했다.

내부통제위원회가 단순한 형식적 기구에 그치지 않도록 내부통제 시스템을 정비해 프로세스와 절차 미비로 인한 사고를 예방할 방침이다. 이를 통해 선제적으로 실효성 있는 조치가 시행되도록 그 역할을 강화해 경영 투명성을 높일 계획이다.

또한, 기존 위원회는 내부통제협의회로 변경해 운영하고 있다. 내부통제협의회는 내부통제 점검결과를 공유하고 임직원의 평가를 반영한다. 이와 함께 금융사고 등 내부통제 취약부분에 대한 점검 및 대응방안을 마련하는 역할을 수행한다.

아울러, 애큐온저축은행은 적극적인 정보보호 관리체계 강화를 위해 정보보호 관련 법적 책임자(정보보호최고책임자, 개인정보보호 책임자, 신용정보관리·보호인)를 경영진으로 지정했다. 이들은 전자금융법, 신용정보법 및 개인정보보호법 등 관계법령을 기반으로 보안정책, Digital보안, 개인신용정보보호, 모니터링/감사 등 정보보안 영역 전반을 관리하고 있다.

특히, 정보보호를 전담하는 CISO는 전사 정보보호 정책 수립, 침해사고 대응 총괄 등의 역할을 수행하고 있다. 애큐온저축은행의 CISO는 김도완 전무로, 케이뱅크 ITC 본부장을 거쳐 지난 2021년 11월 애큐온저축은행의 CISO로 선임됐다. 현재까지 금융 보안 전문가로 디지털부문을 이끌고 있다. 그는 정보보호 최고 책임자 업무를 수행하며 보안사고 ZERO를 이어가고 있다.

향후, 애큐온저축은행은 모바일 고도화와 함께 보안 체계 고도화에 꾸준히 힘쓸 계획이다.

애큐온저축은행 관계자는 "현재 올해 12월 말 오픈을 목표로 지난 4월부터 ‘모바일 고도화 3.0 프로젝트’를 추진 중으로, 모바일 앱 UI/UX 개선과 다양한 서비스 개선 및 확대를 통해 비대면 거래 경쟁력을 강화할 것"이라며 "향후 정책, 지침, 절차 등 법규 최신화 정책 수립을 통해 정보보호 거버넌스를 한층 강화하고, 사이버 위협에 대응하는 보안 체계를 고도화해 탐지 및 대응 역량을 극대화할 예정"이라고 밝혔다.

김다민 한국금융신문 기자 dmkim@fntimes.com