“은행 거래에서 비대면 거래가 계속 증가하고 있다. 한국은행에서 조사한 은행 거래량 변화 추이를 보면 온라인 거래가 2015년 37%로 가장 많고 17%가 모바일, 10%가 텔레뱅킹, 26%가 ATM기로 거래가 이루어지며 지점 거래는 10%에 불과할 것이라는 조사 결과가 나왔다. 한편 사이버 공격은 글로벌 조직적 범죄로 확대되고 네트워크, PC, 스마트폰, 웹 등 입체적 공격이 이루어지고 있으며 타깃화 된 APT 공격이 주를 이루고 있어 금융산업에서 보안의 중요성은 더욱 강조되고 있는 시점이다.”
 
제3회 SFIS 2015 스마트 금융& 정보보호 페어에서 김홍선 한국스탠다드차타드은행 부행장(CISO. 사진)은 ‘금융산업에서 보안의 중요성’에 대해 기조연설을 진행하면서 최근 사이버공격 동향과 금융산업의 변화에 따른 보안의 중요성에 대해 강조했다.
 
김 부행장은 은행과 IT의 업(業)의 차이를 말하면서 “두 업이 포커싱 하는 부분이 다르다. 은행은 리스크 매니지먼트와 컴플라이언스에 집중돼 있고 IT는 혁신에 집중한다. 또 업무 형태는 은행은 프로세스 중심이며 IT는 기술 중심”이라며 “IT업체들은 기술로 문제를 해결하려고 하지만 은행은 프로세스로 문제에 접근한다. 금융 보안 문제도 이 둘의 균형을 잘 맞추는 것이 중요하다”고 강조했다.
 
또 은행의 트렌드와 미션을 소개하면서 “비대면 거래가 증가하면서 IT가 거래의 중심에 있다. 특히 그 핵심은 데이터에 있다. 금융기관은 데이터를 안전하게 활용하고 관리하는데 사람, 기술, 프로세스를 집중하고 있다”며 “데이터에 대한 위협관리, 컴플라이언스를 어떻게 관리하느냐에 따라 금융기관에는 기회가 되고 고객에게는 신뢰를 줄 수 있을 것”이라고 전했다.
 
그는 금융 보안솔루션을 △통제 △Detection/Prevention(탐지/예방) △생산성 등 3가지로 분류했다. “통제에는 Firewall, VPN, NAC, OTP, DRM이 포함되고 탐지와 예방에는 Anti-Malware, IPS/IDS, 취약점 진단, WAF, DLP 등이 속한다. 또 생산성에는 계정관리, 자산관리, IAM, 개인정보관리, 복합기 등을 들 수 있다”며 “이러한 솔루션에 대한 분석과 거버넌스, 모니터링이 복합적으로 이루어져야 한다”고 말했다.
 
특히 모빌리티 플랫폼 보안 구성에 대해서는 “단말 통제 관리에 MDM 도입과 고객 주요 정보 마스킹 처리 그리고 화면캡처방지와 주요 고객정보 포함 문서와 데이터 단말에 저장하지 않아야 하고 특히 고객 데이터 보호를 위해 네트워크 송수신 데이터 및 주요 거래데이터에 대한 End-to-End (E2E) 암호화 적용은 필수적”이라고 강조했다.
 
한편 김 부행장은 CISO의 중요성을 역설하며 “과거 IT가 금융산업에서 서포터 역할을 했다면 이제는 거래 현장과 직결돼 있다. IT는 거래 속에서 새로운 가치를 찾아내고 안전하게 처리 및 관리해야 하는 금융의 핵심 역할을 담당하고 있다”며 “이런 상황에 CISO는 CIO, 준법감사부, 감사부, CRO 등과 긴밀한 협력을 통해 CEO와 소통해 나가야 한다”고 전했다.
 
마지막으로 “정보보안 분야에 18년간 몸 담아 오면서 현장은 어떨까란 궁금증에 은행 CISO로 자리를 옮기게 됐다. 서로의 차이점을 잘 알고 둘의 균형을 맞추는 것이 중요하다는 것을 느끼고 있다. 정보보안은 데이터와 경험이 해준다고 생각한다. 또 핀테크는 플랫폼 만들어서 글로벌화에 초점을 맞춰야 한다”고 말을 맺었다.
 
데일리시큐와 머니투데이가 공동 주최하고 금융위, 금감원 등이 후원한 제3회 SFIS 2015 스마트 금융& 정보보호 페어는 2월 26일 그랑서울 3층 나인트리 컨벤션센터에서 금융위, 금감원, 전국 금융기관 CIO, CISO, 정보보호 실무자, 핀테크 관계자 등 400여 명이 참석한 가운데 성황리 개최됐다.

이번 SFIS 2015 컨퍼런스 발표 자료는 데일리시큐 자료실에서 다운로드 가능하다.
 
<★정보보안 대표 미디어 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com