[CISO에 '보안'을 묻다]권영관 웰컴저축은행 CISO

“보안은 습관이 가장 중요합니다. 회사가 만든 보안 규정을 스스로 지키도록 올해부터 보안을 올바르게 준수한 직원에 인센티브를 부여합니다.”

권영관 웰컴저축은행 정보보호최고책임자(CISO)는 보안준수가 직원 업무에 녹아들어야 한다고 설명했다.

단순히 규정을 만들고 징벌 제도를 통해 보안을 '강요'하는 것은 아니다. 올해 처음 각 부서마다 정보보호담당자를 지정하고, 정보보호를 제대로 지킨 부서·인원에 대해 인사고과 측정 등 인센티브 정책을 시행했다. 자발적인 보안 준수를 지키기 위한 대비책이다.

권 CISO는 “지난해 수많은 보안 교육을 진행하면서 어떻게 하면 직원 스스로 보안을 강화하는 분위기를 만들 수 있을까 고민했다”면서 “인사고과에 반영해 잘하는 직원에게는 보상을 부여하고, 제대로 지키지 못하는 직원은 추가 교육 등 제대로 된 보안 준수 문화를 만든다”고 설명했다.

웰컴저축은행은 제2금융권으로 분류되지만 보안 위협 대비는 1금융권과 크게 다르지 않다. 오히려 1금융권과 달리 금융 틈새시장을 노려야하는 만큼 핀테크기업 협업 등 신경 써야 할 분야는 더 많아졌다.

권 CISO는 “1금융권과 달리 직원, 규모 등은 작지만 보안 준수에 차이점은 없다”면서 “최근 회사가 비대면 채널 강화 움직임에 집중하면서 외부 연계 업무 제휴 등 내부 뿐 아니라 외부 보안까지 강화한다”고 말했다.

웰컴저축은행 정보보호는 작은 것부터 실천하는 데 있다. 직원이 PC를 켤 때부터 정보보호 수칙을 모두 확인하지 않으면 업무를 시작하지 못한다. 주기적으로 정보보호팀이 나서 고객, 직원 등 개인정보가 담긴 문서 파쇄 규정을 제대로 지켰는지 점검한다. 이외에도 전자금융감독규정에 따라 지능형지속위협(APT), 스피어피싱 훈련 등을 실시한다.

권 CISO는 “일부 직원은 '너무 한 것 아니냐'라고 말할 정도로 보안을 철저하게 지키려고 한다”면서 “파쇄규정을 제대로 지켰는지 쓰레기통을 확인하거나, 주말 불시 점검까지 시행한다”고 말했다.

물론 편의성을 고려하지 않은 것은 아니다. 기존 업무를 저해하지 않도록 보안과 기존 업무 간 협업체계를 만들었다. 개발, 운영, 영업, 정보 등 각 팀장이 모여 부서가 편의성을 높이면서 보안을 지키는 방향을 모색한다. 해당 회의에서 나온 결정은 CISO가 결정하고, 이를 대표에게 보고한다.

정영일기자 jung01@etnews.com