신한DS는 신한금융그룹사의 시스템통합(SI)과 보안을 책임지는 곳입니다. 신한DS 같은 금융그룹사의 IT계열사는 통상 그룹사 내부 사업에만 집중을 합니다. 그룹사의 SI, 보안사업만으로도 충분히 바쁘기 때문이죠.

그런데, 신한DS가 대외 사업을 강화하겠다고 나섰습니다. 20년간 쌓아온 역량을 바탕으로 외부 고객사들을 유치해 수익모델을 다변화하겠다는 전략입니다. 잘하고 있는 그룹사 사업 외에 추가적인 수익모델 발굴을 위해 대외로 눈을 돌린 것입니다. 앞으로 신한DS는 공공기관이나 민간기업에게 보안 컨설팅부터 보안관제, 보안솔루션 등을 공급하겠단 계획을 세운 상태죠.

신한DS의 대외사업 진출은 갑작스럽게 이뤄진 결정이 아닙니다. 회사는 5년 전 시장 개척을 위해 새로운 전략을 준비하고 관련 자격을 취득했습니다. 이제는 모든 준비를 마치고 본격적인 시장 진출에 나서겠다는 것인데요. 신한DS가 어떤 무기를 가지고, 공공과 민간 보안 시장에 진출할 것인지 신한DS 정보보호본부(S-Cube)의 전진환 보안기획셀장을 만나 이야기를 들어봤습니다.

전진환 신한DS 보안기획셀장

안녕하세요. 먼저 본인 소개 부탁드립니다

네, 반갑습니다. 회사의 수익모델을 고민하는 살림꾼이자, 보안기술 트렌드를 분석하고 방향성과 목표를 잡는 역할을 하고 있습니다. 신한DS에 합류한 지는 5년차가 됐고요, 전에는 한국인터넷진흥원(KISA), 개인정보보호협회에서 일을 했었습니다.

보안업계에 잔뼈가 굵은 분이시네요. 지금 몸 담고 있는 신한DS에서는 어떤 업무를 하시나요?

신한DS는 신한금융그룹사 중 13곳을 대상으로 보안관제를 하고 있습니다. 주로 해킹이나 디도스(DDoS) 등의 공격징후가 있는지 살펴보고, 있다면 외부에서 관련 코드를 입수해 분석하고 대응하고 있습니다. 보안관제팀은 40명 안팎입니다.

이번에 신한DS가 금융권에서 처음으로 과학기술정보통신부로부터 보안관제 전문기업 자격 인증을 취득했다고 하던데, 이게 어떤 인증인가요?

보안관제 전문기업 자격 인증을 받으면 국가기관을 대상으로 공공보안관제를 할 수 있는 자격이 생깁니다. 현재 공공기관을 타깃으로 한 사업을 준비하고 있습니다. 또 공공뿐만 아니라 일반기업 관제 서비스 자격도 생겨, 민간기업이나 타 금융사 등 대외 시장에 진출을 할 수 있습니다.

그러면 다른 금융사에도 보안관제 서비스를 제공할 계획이 있는 건가요?

금융권에서 보안은 특수 영역입니다. IT자산 보호가 중요해 ‘자사의 것을 다른 곳에게 보여주지 않는 것’을 원칙으로 하고 있습니다. 따라서 타 금융권 관제는 사실상 힘들고, 공공이나 민간 시장 진출을 계획하고 있습니다. 지금까지 그룹사 위주의 사업을 해왔고 이것이 안정적 성장기반이었다면, 수익창출 측면에서 대외 진출을 하기로 방향성을 잡았습니다. 그 일환으로 보안관제 전문기업 자격 인증을 취득한 것이고요.

대외사업 확장이 하루 아침에 이뤄진 결정은 아닐 것 같습니다. 지금까지 준비해 온 것들이 있을까요?

많은 준비를 했습니다. 신한DS는 앞서 2018년 4월 정보보호 전문기업 인증을 획득했습니다. 기업 중에서는 19번째이지만, 금융권에서 처음으로 받은 인증입니다. 보안기업들처럼 공공기관을 대상으로 통신서비스 취약점 평가를 할 수 있습니다.

신한DS가 2017년까지 그룹사 사업만 했다면, 이 인증을 받으면서 주요 기업들의 통신기반 시설, 금융기반 시설 취약점 분석을 바탕으로 대외 컨설팅 사업을 시작했습니다. 이를 위해 내부에 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증 심사팀과 대외컨설팅팀도 만들었고요. 이때부터 신한DS가 대외적인 측면에서 보안 컨설팅을 사업을 해왔다고 하면, 사업영역을 확대하기 위해 이번 보안관제 전문기업 자격 인증을 취득한 것입니다.


지금을 대외사업 확장 시기로 결정하게 된 계기가 무엇인가요?

내부에서 자생력을 갖자는 요구는 5년 전부터 있었습니다. 내부에서 잘하고 있던 사업을 어떻게 알릴지 고민한 끝에 정보보호 전문 서비스 기업 인증을 획득했고, ISMS-P 인증도 취득했습니다. 또 전체적으로 살펴보니, 인프라 영역의 인증이 없어 이번에 관련 자격을 획득한 것입니다. 대외 사업을 할 수 있는 갑옷을 갖춰 입은 것이죠. 이제는 전투력을 가지고 나아가서 사업을 하는 것만 남았습니다.

정리하자면, 지금까지는 그룹사 위주의 보안사업을 하다가 대외 컨설팅 사업에 진출했다면, 앞으로는 관제 등 대외 보안 사업 영역을 더 넓히겠다는 것이죠?

그렇습니다. 저희의 지향점은 종합 정보보호 서비스 기업입니다. 보안관제는 목표를 이루기 위한 단계 중 하나인 셈이죠. 또 보안솔루션 사업도 추진하고 있습니다. 궁극적인 목적은 대외적으로 저희가 가진 전문성을 알리고 매출액을 확대하는 것입니다.

신한DS에서 개발한 보안솔루션은 어떤 종류인가요?

‘A1-데이(Day)’라는 솔루션인데요. 악성코드 값을 수집하고 분석해 패턴을 만드는 솔루션입니다. 그러니까, 신규 취약점 선제 대응 시스템으로, 취약점 데이터를 수집해 내부에 코드를 저장해 대응할 수 있습니다. 이 작업을 사람이 직접 하게 된다면 시간이 오래 걸리는데, 이 솔루션을 통해 빠르게 대응할 수 있는 것이 장점입니다.

보안 영역은 이미 기존 보안업체들이 시장장악을 하고 있는데요. 신한DS만의 무기가 필요할 것 같습니다.

내부에서는 보안관제 능력이 금융권에서 가장 뛰어나다고 자부하고 있습니다. 그룹사 통합 보안관제의 경우 약 11년간 아웃소싱이 아닌 내부 자체 인력으로 해왔습니다. 은행 관제는 2001년부터 시작했으니 약 20년이 넘게 사업을 해오며 쌓인 노하우가 저희의 강점입니다.

분야별로 팀 구분이 잘 되어 있어 유기적인 협업을 하고 있습니다. 공격을 모니터링 하는 팀, 악성코드나 해커집단의 움직임을 살피는 팀, 분석 결과를 빠르게 업데이트하는 팀이 있습니다. 공격이 발생하면 빠르게 분석하고 그룹사 보안장비에 코드를 이식합니다. 예를 들어, 외부에서 보안사고가 났다면 그 사고가 해킹에 의한 것인지 휴먼에러인지 알 수 있고 대응이 가능합니다. 그만큼 분석과 판단이 빠르다고 자부하고 있습니다.

관련해 실제 사례가 있을까요?

작년 11월 E그룹의 랜섬웨어 사태가 있었습니다. 저희는 한 달 전부터 유사공격이 있는 것을 파악한 뒤 해당 공격 코드를 분석해 보안장비에 이식해 대응했습니다. 선제적으로 공격을 방지했던 셈이었죠. 인적, 기술적, 조직적으로 협업한 결과라고 봅니다.

또 이번 추석 때인 9월 24일, 팬시베어 디도스 공격이 있었습니다. 이때 통신사들과 유기적으로 논의한 뒤 차단요청을 해 공격에 빠르게 대응했습니다.

최근 금융권을 대상으로 한 사이버 공격 동향은 어떻게 되나요?

아무래도 제일 우려하는 것은 디도스 공격입니다. 해커들이 내부 서버를 공격하기보다 웹이나 앱 서비스에 대규모 트래픽을 일으켜 서비스를 다운시키는 방식인데요. 주로 명절 등 사람들의 거래가 많을 때 공격을 감행해, 뱅킹 앱이 지연되곤 합니다. 특히나 은행 앱은 조금이라도 거래에 문제가 생기면 안 되는데요. 서비스 품질 저하는 곧 고객들의 거래 만족도를 떨어트리기 때문입니다. 따라서 금융권에서 디도스 공격에 대한 대비는 철저하게 이뤄지고 있습니다.

혹시 현재 논의 중인 고객사가 있을까요?

논의 중인 잠재 고객사들이 있습니다. 주로 정보통신서비스 기반의 민간기업이고 아직까지는 논의 단계입니다.

마지막으로, 오늘 얘기하신거 외에 다른 사업을 계획하고 계시나요?

신규 고객을 확보해 지속적으로 관계를 유지해, 고객사가 부족하거나 필요로 하는 부분을 도움 줄 계획입니다. 예를 들어 SI사업을 대신해준다거나, 필요로 하는 보안솔루션을 공급할 수 있는데요. 여기서 더 나아가 컨설팅 사업도 할 수 있습니다. 이때 보안솔루션이나 보안관제가 뒷받침을 해주는 선순환 구조의 사업이라고 보면 됩니다.


글. 바이라인네트워크
<홍하나 기자>0626hhn@byline.network