금융권이 연초부터 내부통제·보안 시스템 투자에 나섰다. 최근 정보유출 사고에서 '내부자 탈취' 패턴이 증가하는 등 변수가 급증하자 이를 디지털 등 최신기술로 상시 방어하는 시스템을 갖춘다.
우리금융지주는 새해 들어 '접근제어·감사추적 및 네트워크 ACS(Access Control Server) 재구축' 프로젝트에 착수했다.
우리금융은 이번 사업에서 지주, 은행, 카드사 업무 서버에 접근을 제어하는 솔루션을 전면 업그레이드할 계획이다. 그룹 전체 자원에 대한 접촉을 실시간 관리하는 체계를 구축한다. 내부 자료나 시스템에 '누가, 무엇을, 언제, 어디서' 접근했는지 기록을 남기는 등 사용자 인증 및 권한과 사후 관리를 강화하는 것이 골자다.
우리금융 관계자는 “2017년 기 구축한 솔루션이 낡았고, 그 사이 업무가 복잡·다양해졌기 때문에 이를 개선하고 보완하기 위한 것”이라고 설명했다.
KB금융은 6일 금융권 최초로 '사이버보안센터' 출범했다. 공격자 관점에서 취약점을 점검하는 '레드팀(사이버보안팀)'과 상시 보안관제를 통해 외부 침해위협을 탐지·차단하는 방어 전문 조직 '블루팀(그룹 통합보안관제)'을 동시에 운영하는 등, 신규 서비스 출시 전 단계부터 핵심 서비스 운영 과정 전반에 이르기까지 주요 서비스에 대한 상시 점검 체계를 가동한다.
센터는 이 밖에도 △12개 계열사 외부 침해 위협에 대한 공동대응 체계 확립 △그룹 공통 보안 프레임워크·표준 보안정책 수립 △AI·가상자산 등 신기술 보안 위협 연구·분석을 통한 선제적 대응 체계 강화 업무를 수행한다.
KB금융 관계자는 “AI 등 디지털 신기술을 적극적으로 활용한 선제·체계적 보안 체계를 구축해 금융권 보안 모범사례가 될 수 있도록 최선을 다할 것”이라고 말했다.
하나금융도 이달부터 정보보호 취약점 점검에 들어간다. 그룹 관계사 전체를 대상으로 보안 취약점 점검에 나서는 것이다. 특히 최근 연이어 취약점이 보고된 내부 접근권한을 비롯해 랜섬웨어·외부접점 해킹 가능성 등을 집중 파악하고, 전문업체 컨설팅을 통해 디지털 솔루션을 포함한 보강 방안을 도출할 것으로 알려졌다.
금융권 내부통제 투자 확대는 업무 환경 변화와 맞물려 있다. 금융사 효율화 기조와 AI 활용 증가로 직원 업무와 내부 정보 접근 범위가 넓어졌다. 특히, AI 기반 업무 자동화가 확산되면서 민감 정보에 대한 접근 권한 관리가 더욱 중요해졌다.
보안업계 관계자는 “특히 금융사에서 AI 시스템이 대량 고객 데이터를 학습하고 처리하는 과정에서 정보 유출 위험이 커질 수 있다”며 “접근 권한을 세밀하게 관리하고 모든 활동을 추적할 수 있는 진보적시스템이 필수”라고 설명했다.
정부가 금융사 내부통제 감독을 강화하는 것도 금융지주가 보안에 투자를 늘리는 주요 배경 중 하나다. 금융위원회와 금융감독원은 올해부터 금융권 보안 투자를 촉진하고 리스크 관리를 강화하는 '디지털금융안전법' 논의에 착수할 예정이다.
금융지주 관계자는 “사이버 보안 위협은 AI 기반 자동화 도구를 통해 정교하고 지능화된 예측 불가능한 조직적 활동으로 빠르게 진화하고 있다”면서 “최근 여러 분야에서 연이어 발생한 보안 사고로 인해 금융기관 보안 수준과 대응 역량에 대한 요구도 한층 엄격해지고 있다”고 말했다
김시소 기자 siso@etnews.com
