[CISO에게 '보안'을 묻다] 서호완 신한은행 CISO

[CISO에게 '보안'을 묻다] 서호완 신한은행 CISO

“보안과 고객편의성은 다른 한쪽이 이익을 얻으면 반대가 손실을 입어 '0'이 되는 '제로섬 게임'이 아닙니다.” 서호완 신한은행 정보보호최고책임자(CISO)는 보안기술자가 아닌 비즈니스 파트너로 보안이 내재된 편리한 금융서비스를 강조했다.

서 상무는 보안이 편의성과 상충된다는 생각부터 버려야 한다고 말했다. 금융권은 과거와 달리 보안인식 향상으로 업무 설계단계부터 보안을 내재화한다. 서비스를 구성하고 보안을 덧씌우지 않기 때문에 보안과 사용편의성 모두 충족한다.

보안과 편의성이 조화를 만들어 갈 새로운 시험이 기다린다. '클라우드'다. 최근 금융위원회는 은행 등 금융권에서 클라우드에 개인신용정보 등 중요 고객 정보를 저장할 수 있도록 하는 '전자금융감독규정 개정안'을 심의 의결했다. 새해 1월 1일부터 시행한다. 이전까지 개인정보 유출 위험으로 중요정보 외 일반 데이터만 클라우드에 저장 가능했다.

신한은행은 빠르게 변하는 인프라 환경에 맞춰 클라우드 도입과 사후 관리에 관한 새로운 업무 체계를 만들었다. 단순히 클라우드를 빌려 쓰는 것을 넘어 개발환경부터 클라우드를 활용하기 위해서다.

서 상무는 “금융권에서 클라우드 전환이 가속화되지만 계약, 활용, 장애발생 시 대응 등에 대한 구체적인 매뉴얼이 없어 현장에서는 혼란을 겪을 수밖에 없다”면서 “클라우드 보안을 어떻게 마련할 것인지에 대한 내용뿐 아니라 기본 계약, 사후관리까지 담은 업무체계를 만들고 내년 본격 실제 업무에 적용한다”고 말했다.

절대적 '보안강화'는 빼놓을 수 없는 과제다. 기본적으로 담보된 보안체계 없이 비즈니스 응용은 먼 얘기다. 신한은행은 보안조직 역량강화를 우선 꼽았다. 내년 보안 역량 제고를 위해 업무구분을 18개 핵심과제로 세세히 분류한 새로운 교육과정을 실시한다.

처음 보안에 입성한 직원이라도 순차 교육을 통해 최소 1년에서 최장 1년 6개월 이내 보안 교육을 이수하도록 한다. 말로만 보안 전문가가 아닌 실제 현업에 투입 가능한 인력을 양성하는 것이 목표다.

서 상무는 “최근 발생한 암호화폐 거래소 해킹 사건만 봐도 기본 보안 인식 등이 갖춰지지 않았기 때문”이라면서 “내부 채용 인원에 대한 보안교육을 통해 내부 보안기술자를 키우고 밖으로는 보안 전문가 충원으로 탄탄한 조직을 만든다”고 말했다.

정영일기자 jung01@etnews.com