“사물인터넷(IoT) 시대에는 고객 정보를 요구하는 사례가 더욱 늘어날 겁니다. 요사이 금융보안 강화 트렌드에 따라 이상거래탐지시스템(FDS) 도입이 활발해지면서 더 많은 고객 기기정보와 거래패턴이 수집해야 하는 상황이 됐어요. 지금 고민은 고객이 불편함을 느끼지 않도록 고객동의를 최소화하는 방안을 찾는 겁니다.”
![[정보보호/시큐리티톱뷰]<118>김종현 KB국민은행 CISO](https://img.etnews.com/photonews/1505/682810_20150508110753_216_0002.jpg)
김종현 KB국민은행 최고보안책임자(CISO)는 보안을 고려한 비즈니스를 이야기한다. 김 CISO는 보이스피싱과 파밍 사기가 급증한 2013년부터 KB국민은행 금융보안을 책임지고 있다. IoT가 활성화되면 더 많은 정보가 필요할 수도 있다. 고객동의 범위를 어느 선까지 정할 것인지를 고민해야 할 시기가 됐다.
“본인확인 인증을 추가하거나 강화하면서 고객 불편은 늘어난 반면 금융사기는 줄었어요. 사기범이 접속하면 추가 인증을 요구하는 등 계속 막고 싸우는 것을 반복하고 있고, 지금도 그 작업은 진행형입니다.”
실제로 그가 업무를 시작한 뒤 KB국민은행의 금융사기는 눈에 띄게 줄었다. 금융감독원이 국회에 제출한 ‘최근 3년간 전자금융거래 배상책임보험 납입액 및 보상액’ 자료에 따르면 2013년 금융사기 피해 보상금 지급건수는 401건(23억4100만원)에 달했다. KB국민은행이 금융사기와 전쟁을 본격화한 지난해 지급건수는 110건(2억6700만원)으로 확 줄었다. 피해보상금만 놓고 보면 90%나 줄였다.
김 CISO는 “2013년 ARS 인증을 추가했는데 그 틈을 노린 사기도 발생해 이제 FDS 운영 고도화에 힘쓰고 있다”고 설명했다. 그렇다고 FDS가 만능은 아니다. 그는 “정상거래와 사기거래를 구분하는 게 말처럼 쉬운 일이 아니다”며 “금융거래는 매우 복잡한 데다 소비자 편의성이 우선이어서 보안성 강화에 신중한 노력이 요구된다”고 말했다.
김 CISO는 금융사 내부 보안 위협도 강조했다. “정보보호의 가장 큰 위협은 내부자다. 여기에 이메일 첨부파일로 들어오는 지능형지속위협(APT) 공격도 날로 고도화하는 양상입니다.” 그는 최근 내부 보안위협 통로의 80%는 이메일이 차지하며 이제 사내로 들어오는 모든 본문과 첨부파일까지 봐야한다고 토로했다.
김 CISO는 “금융사는 물론이고 기업은 보안을 최우선으로 경영해야 한다”며 “경영에 보안기술과 마인드를 접목해야 한다”고 말했다. 그는 “다른 임원은 투자한 성과가 눈에 보이지만 CISO는 투자만 요구하는 사람”이라며 “보안은 사고가 한번만 발생하면 모든 노력이 수포로 돌아가는 분위기가 바뀌어야 한다”고 설명했다. 또 “사고 여부만으로 보안 상태를 가늠해서는 안 된다”며 “정보보호를 철저히 지킨 금융기관에 등급을 부여하는 제도 등을 시행해 투자를 이끌어야 한다”고 제안했다.
김인순기자 insoon@etnews.com
