[농협사태]긴급예산 편성·인력 확충, 금융권 초비상 체제 가동

출처] http://www.ciobiz.co.kr/news/articleView.html?idxno=5258

[농협사태]긴급예산 편성·인력 확충, 금융권 초비상 체제 가동

경력직 보안 전문가 채용, 보안 전담 인력 확충

2011년 05월 06일 (금) 09:39:00 안호천기자 hcan@etnews.co.kr

<script type="text/javascript">< /script> <script language="javascript"> </script> 국내 주요 금융사들이 긴급 IT예산을 편성, 보안인력 확충에 나섰다. 또 자제 운영과 외부 아웃소싱 비중의 재검토에 착수, 올 하반기 국내 IT아웃소싱(ITO) 시장에 격변이 예고된다. 5일 본지가 국내 주요 시중은행과 증권·보험사를 상대로 긴급조사를 실시한 결과 금융기관 CIO들은 보안 예산과 관련 인력 확보에 총력을 기울이고 있는 것으로 나타났다. 특히 IT시스템 전반에 대한 보안점검과 관련 업무 프로세스 재점검을 위한 ‘컨설팅’도 활발하게 추진 중이었다. 정부에 대해서는 사이버테러 대응 전문기관 설립과 보안 컨설팅 결과의 책임제 법제화 등을 원하는 것으로 조사됐다. 금융권 가운데서 시중은행의 움직임이 가장 활발하다. 기업은행은 경력직 보안 전문가를 우선 채용, 보안 전담 인력을 확충한다. 신한은행과 대구은행, 부산은행 등도 보안 인력 충원 및 양성 계획을 수립 중이다. 하나은행도 이번 사태 이후에 전체 서버에 대한 일회용비밀번호(OTP) 인증 적용을 확대했다. 비정기적인 모의 해킹작업도 강화했다. 국민은행은 내부통제 강화와 함께 백업복구시간 단축을 위한 개선활동을 자체 추진 중이다. 특히 이번 조사에서는 은행권 CIO들은 솔루션 도입보다 ‘전반적인 보안 체계 강화’에 주력중인 것으로 확인됐다. 일부 CIO들은 금융기관 IT직원 보안 역량 강화 교육과 프로그램이 많이 생겨야 한다고 강조한다. 최영수 신한은행 전무는 “이번 농협사태는 우수 시스템과 프로세스를 구축하는 것과 함께 ‘관리’가 얼마나 중요한지를 보여 준 단적인 사례”라고 분석했다. 황만성 기업은행 IT본부장은 “관리 감독을 더욱 강화해야 함은 물론이고 직원 모두의 보안의식 제고가 최우선돼야 한다”며 “그 다음에 시스템적으로 미비한 점을 보완하기 위한 투자가 이어져야 한다”고 강조했다. 권오대 하나은행 정보전략본부장 역시 시스템적인 보안보다, ‘사람에 대한 관리’가 중요하다는데 의견을 같이했다. 최상위 ‘루트 권한’을 가진 직원에 대한 관리와 지원 확대가 절실하다는 얘기다. 농협 전산장애 사태로 증권업계도 초비상이다. 정보시스템 현황 및 취약점 개선 방안 마련을 위한 컨설팅 추진은 물론이고 IT거버넌스 강화와 글로벌 보안 인증 획득, 최고정보보호책임자(CISO) 지정 검토 등 총체적인 보안 재정비에 나섰다. 특히 정기적으로 매년 해오던 컨설팅을 앞당겨 진행하고 있는 곳이 늘었다. 대신증권은 이미 농협 사태 직후 한차례 보안 컨설팅을 받았으며 이어 추가 진행할 계획이다. 대우증권, 삼성증권 등도 컨설팅을 앞두고 있다. IT시스템 장애 및 사고 현황 등에 대해 실시간으로 통제할 수 있도록 IT거버넌스를 강화하려는 증권사도 많다. 우리투자증권과 대우증권, 신영증권 등이 IT거버넌스 수립을 계획하고 있다. 지난해부터 IT서비스관리(ITSM)시스템 구축을 통해 IT거버넌스를 확립해 왔던 현대증권은 오는 6월 프로젝트가 마무리 되는 즉시 시스템 거버넌스 수립에도 나선다. 지금까지의 작업은 애플리케이션 거버넌스 부분에 초점이 맞춰져 있었기 때문이다. 증권업계는 이번 농협 사태로 물리적 보안은 물론이고 시스템 접근 권한에도 신경을 많이 쓰고 있다. 노트북 반입과 외주직원 PC 관리 점검 등은 농협 사태 이후 필수적으로 강화했다. 시스템 접근 권한에 대한 정책도 대대적으로 변경 중이다. 보험업계 역시 새로운 정보보호체계 수립에 분주하다. 백성식 미래에셋생명 상무는 “엄격한 보안 체계를 제도화하거나 실제 업무에 적용하는 데 미약했던 부분이 있다면, 이를 IT거버넌스 차원에서 강화하려 한다”며 “특히 단독으로 일을 수행할 수 없도록 내부 통제 기준을 한층 강화하고 보안 규제 준수 여부도 강력하게 관리해 나갈 것”이라고 말했다. 농협 사태 이후 주요 금융권의 보안 강화 추진 현황 <자료: 업계 종합> 금융사 추진 내용 국민은행 -시스템 작업 승인절차 강화, 사후 검증체계 구축 등 내부통제 강화-복구시간 단축을 위한 백업용 디스크 증설 기업은행 -보안인력 보강(경력직으로 먼저 채용)-전사적인 보안실태 점검 중 대구은행 -시스템 전반의 보안점검 강화-전산보안 인력 충원 및 양성 계획 수립 중-시스템 및 네트워크 보안에 복구대책 점검 강화 부산은행 -IT시스템 전반의 보안점검 진행-새로운 시각에 입각한 IT보안체계 투자확대방안 검토 신한은행 -시스템 및 통신 등 인프라에 대한 관리절차와 프로세스 점검-보안 전문인력 확충 하나은행 - 은행 내 PC와 노트북에 사용되는 CD, USB, 외부저장장치의 쓰기(writing) 기능을 부서장 일일승인제도로 통제-전체 서버 OTP 인증제도 확대 -정기적, 비정기적 모의 해킹작업 강화 대신증권 -전사 보안컨설팅 추진 중-서버보안, 웹방화벽 등 내부통제 및 유출방지 강화 동양종합금융증권 -물리적 보안 강화 작업 진행 중-통합보안관리시스템 도입 추진 대우증권 -보안점검 강화를 위한 대책 수립 중-전사 보안컨설팅 추진 예정 삼성증권 -보안 컨설팅 곧 착수(업체 선정 준비 중)-최고정보보호책임자(CISO) 지정 검토 중 신한금융투자 -그룹공동 ISO27001·BS10012 인증 추진-통합 로그관리 시스템 적용 확대-시스템 접근 물리적 통제 강화 우리투자증권 -물리적 보안 강화(노트북 반입 및 출입 통제)-외주직원 PC 관리 점검 한화증권 -정보시스템 현황 및 취약점 개선 방안 마련-보안관련 솔루션 도입 검토 중 현대증권 -6월 이후 시스템거버넌스 체계 수립 나설 계획 -서버 접근통제시스템 도입 검토 중   성현희기자 sunghh@etnews.co.krㆍ안호천기자 hcan@etnews.co.kr