금융권 보안위협 고조…은행들, 보안 전략 살펴보니

By곽중희

제로트러스트부터 모의훈련까지… 은행별 맞춤형 보안 대응

랜섬웨어 공격으로 금융 업무가 며칠 동안 마비된 SGI서울보증 사건을 계기로, 금융당국이 금융권 전반의 보안 점검을 주문하고 나섰다.

금융위원회와 금융감독원은 지난달 30일 금융권 전체에 보안 강화 지침을 전달하고, 이번달까지 자체 점검을 요구했다. 금융감독원은 주요 금융사와 금융 공공기관을 대상으로 ▲랜섬웨어 대응 체계 ▲전산장애 시 백업 및 복구 계획 ▲외부 위협 탐지 시스템 ▲정보보호 조직 운영 체계 등을 집중 점검하겠다고 예고했다. 특히, 오는 9월부터는 금융보안원과 함께 ‘블라인드 모의 해킹’을 실시하고, 자체 점검 결과가 미흡한 기관에 대해서는 직접 현장 점검도 병행한다는 계획이다.

금융감독원 IT검사국 관계자는 “배포한 보안 체크리스트 기반으로 자체 점검 결과를 분석한 뒤 미흡한 금융사는 직접 점검 대상이 될 수 있다”며 “올해는 점검 범위도 확대되고, 반복적으로 사고가 발생하면 징벌적 과징금이나 최고정보보호책임자(CISO) 권한 강화 등의 제도적 개선도 검토 중”이라고 밝혔다.

이에 시중은행들 역시 당국의 점검에 대비해 보안 체계 전반을 강화하고 있는 모습이다.

하나은행, 그룹 통합보안관제 중심 점검체계 강화

하나은행은 최근 사이버위협 증가에 따라 위기경보 단계를 상향 조정하고, 그룹 통합보안관제센터를 통해 전 계열사에 대한 집중 모니터링을 강화하고 있다. 이를 통해 유사사고 발생 가능성을 사전에 차단하고, 비상 대응체계 전반을 점검하고 보완한다는 계획이다.

기술적으로는 시나리오 기반 분석과 머신러닝 기반 이상행위 탐지 체계를 고도화 중이다. 랜섬웨어 대응과 관련해서는 그룹 차원에서 복구 절차 정비와 실시간 대응 능력 강화에 초점을 맞췄다. 하나은행 관계자는 “내부적으로는 관계사 전반의 보안 점검과 자율 점검체계를 유지하고 있으며, 전 그룹사에 논리적·물리적 망분리 등 핵심 보안 수칙을 일괄 적용하고 있다”고 설명했다.

KB국민은행, 제로트러스트 기반 SaaS 보안과 애자일 조직으로 대응력 강화

KB국민은행은 화이트해커를 통한 모의해킹 점검과 실제 공격 시나리오를 활용한 자체 사이버 해킹 공방훈련을 상시로 수행하고 있다. 사이버 해킹 공방훈련은 주요 인프라와 서비스를 보호하기 위해 공격·방어팀을 조직해 가상 시뮬레이션(▲조기침입 ▲단말기감염 ▲내부전파 ▲정보유출)을 단계적으로 수행하는 사이버보안 훈련 방식이다. 이를 통해 자사 인프라에 대한 사이버 공격 대응력을 진단하고 지속적으로 보완해간다는 계획이다.

특히, 랜섬웨어와 관련해서는 감염을 가장한 운영체제(OS) 및 데이터 복구 테스트 인프라 운영을 담당하는 부서와 재해복구 훈련을 동시에 수행해 복구한 데이터에 대한 정합성, 소요시간 등을 점검 중이다.

또한, KB국민은행은 보안 거버넌스 측면에서 애자일 조직과 협업툴도 중요하게 보고 있다. 기존의 보안 솔루션 중심의 조직에서 벗어나, 자체적으로 위험을 식별하고 점검하는 애자일 조직의 유연성을 통해 보안 대응 역량을 강화하고 ▲제로트러스트 ▲공급망 보안 강화 ▲위험 관리 프레임워크 등 전략을 지속적으로 추진할 계획이다.

KB국민은행 관계자는 “2023년부터 시작된 애자일 조직은 사이버 킬체인 모델을 적용해 주요 보안 분야를 8개로 분류하고, 유형별로 이슈가 발생하면 각 팀원들이 담담 영역에서 어떻게 대응할지 상호간 소통을 통해 보안 문제를 해결해 나간다”고 강조했다.

NH농협은행, IT 자산별 맞춤형 보안 강화

NH농협은행은 각 IT 자산에 맞는 보안을 강화하고 있다. 인터넷과 업무용 PC 등에 백신을 즉시 적용하고, 망분리 정책을 통해 외부 파일 유입을 통제하고 있다. 또한, 망연계 및 내부망 이상행위 탐지에 대해 정책을 추가하고, 랜섬웨어 관련 보안관제 모니터링도 강화하고 있다.

NH농협은행 관계자는 “최근 랜섬웨어 감염 여부나 외부 파일 침입 여부를 점검한 결과, 문제는 없었다“며 “SK텔레콤과 SGI서울보증의 해킹 사고 이후 경계망 보안의 한계가 드러나고, 금융당국의 망분리 예외 완화 정책과 생성형 인공지능(AI) 기술 도입 등으로 자산별 경계가 모호해지고 있어, 금융 자산별 특성을 고려한 서비스 단위의 보안으로 전환이 필요하다“고 설명했다.

이어 “하반기에 침해 사고 모의훈련이 예정돼 있으며, 최근 일어난 해킹 사고와 관련된 주제로도 훈련을 준비하고 있다“며 “또한, 정보보호 관리체계에 대해 조직, 인력 운영, 신기술 대응체계 등 전반적인 보안 전략을 재검토하고 내년 사업 계획에 전면적으로 반영할 예정“이라고 강조했다.

우리은행, 전반적 보안 체계 점검 및 추가 보안 솔루션 도입

우리은행은 최근 랜섬웨어 등 보안 위협을 가정해 주요 금융 시스템과 관련해 데이터의 복원력에 대한 점검을 실시했다. 특히, 주요 데이터에 대해 ▲디스크 복제 ▲백업 스토리지 ▲데이터 소산 등 3개의 사본을 보관하고 있으며, 매분기별 복구 테스트 훈련을 수행 중이다.

또한, 우리은행은 SaaS 서비스 및 생성형 AI 서비스 이용을 위한 보안 대책 기준 및 가이드라인을 수립·운영하고 있다. 사이버 위협 인텔리전스 서비스를 활용하여 다양한 경로로 불법 유통중인 고객의 금융정보 및 보안 위협 정보를 모니터링해 이상금융거래 탐지시스템(FDS)에 등록해 보안을 강화하고 있다.

기술적으로는, 최신 보안 위협 대응 강화를 위한 엔드포인트 탐지 및 대응(EDR)과 회귀 보안 검사 솔루션 도입을 검토 중이다. 이를 통해 실시간 위협을 차단하고, 과거 침해 이력의 정밀 분석 기반 보안 체계를 구축할 예정이다.

우리은행 관계자는 “최근 보안 강화 기조에 따라, 정보보호 관리체계와 내부 보안 시스템에 대해 외부 전문 업체와 그룹사 공동으로 보안 체계를 전반적으로 점검할 예정이며, 공격자 관점의 모의해킹을 전담하는 사이버 레드팀을 신설해 운영할 계획“이라고 설명했다.

신한은행, 제로트러스트·개인정보 통제 기술 준비

신한은행은 정보보호 및 개인정보보호 관리체계(ISMS‑P) 인증 유지를 위한 연간 보안 점검을 실시하며, 정보보호 체계의 지속적 긴장 상태 유지에 리소스를 투입하고 있는 상황이다.

특히, 신한은행은 퇴근 내부 특명 감사에 따라 시스템의 보안 침해 여부를 긴급 재점검하고, 그룹 통합보안 관제센터 모니터링을 강화했다. 외부 파일과 소스코드 반입 절차를 점검했으며 확인 결과, 감염 사례는 발견되지 않았다.

또한, 신한은행은 제로트러스트 실증사업에 참여하며 관련 기술을 검토 중이다. 지난해 망분리 완화 방침에 맞춰 생성형 AI와 서비스형소프트웨어(SaaS) 활용을 위한 개인정보 통제 기술을 준비 중이다.

이 외에도 금융보안원과 연계해 서버 해킹 및 디도스(DDoS) 등 유사시를 대비한 침해 대응 훈련을 실시하고 있고, 올해는 랜섬웨어 시나리오를 기반으로 재해복구 훈련을 진행할 계획이다.

신한은행 관계자는 “금융소비자 신뢰를 최우선으로 신기술 확산과 금융 혁신이 가속화되는 환경 속에서도 유연한 보안 체계를 유지하는 것을 목표로 하고 있다“며 “앞으로도 금융보안 거버넌스를 지속적으로 고도화할 계획“이라고 강조했다.

카카오뱅크, 제로트러스트 전략과 내부 보안 교육 강화

카카오뱅크는 정보보호 인식 제고를 위해 내부적으로는 전 임직원 개인정보 교육 의무화, 외부 교육 참여를 독려해 정보보호 역량을 높일 계획이다. 특히, 최신 랜섬웨러 공격 사례와 대앙 방안을 담은 ‘랜섬웨어 주의 공지‘를 전사에 안내해 경각심을 높였다.

기술 측면에서는 지능화된 외부 공격에 대응하기 위해 최신 기술을 적용한 보안 대응 체계를 구축했다. 자체로 개발한 보안통합분석시스템을 통해 내외부 시스템 로그의 상관관계를 분석해 고객 정보에 대한 이상 접근 징후 관리, 고객·내부 정보 유출 시도 등 다양한 위험 시나리오를 적용해 위협을 관리하고 있다.

특히, 올해는 제로트러스트 전략 실현을 위해 비인가·상태 변경 단말기의 접속을 차단하고 모니터링을 강화해 내부 보안을 강화하고 있다. 기술 연구를 통해 ▲사용자 식별 ▲장치 ▲어플리케이션 ▲데이터 ▲네트워크 구간 분리 및 통제 ▲보안 통합 관리 및 모니터링 등 6개 핵심 영역을 정의해 전략을 실행 중이다.

또한, CISO와 최고개인정보보호책임자(CPO)에 전문성 있는 임원을 등용해 보안 역량을 높이기 위해 노력하고 있다. 독립성 확보를 위해 보안 조직을 최고정보책임자(CIO) 조직과는 분리해 운영 중이다. 정보보호위원회는 CISO를 위원장으로 하고 IT와 준법 업무 관련 임원을 위원들로 구성돼 있다. 이 외에도 국내외 인증기관을 통해 연 1회 재평가를 받는 등 정보보호 관리체계도 주기적으로 검증받고 있다.

카카오뱅크 관계자는 “최근 보안 역량을 높이기 위해 금융보안원과 협력해 모의훈련을 수행하고, 고려대학교 정보보호대학원과도 최신 보안 기술 연구를 논의 중“이라며 “고도화되는 금융 보안 위협에 효과적으로 대응해 갈 것“이라고 말했다.

토스뱅크, 보안 전문 기관과 협력 강화… 자체감사팀 신설

토스뱅크는 외부 보안 이슈가 발생할 때마다 유사 위협을 가정해 점검 방식과 대응 방법을 상시로 개선하고 있다. 특히, 보안 전문 기관과의 위수탁을 통해 이중 보안체계를 운용하고 있다. 구체적으로 ▲네트워크 분석 ▲이상징후 탐지 ▲침해사고 대응 시나리오 검증 ▲위협 인텔리전스 공유 및 분석 등 활동을 강화하고 있다.

기술 측면에서는 AI 기반의 보안 위협과 비정상 행위 탐지를 위해 머신러닝 기반의 분석 기술을 강화 중이다. 또한, AI 활용 증가에 따른 개인정보 유출 이슈에 대응하기 위해 게이트웨이를 구성하고, 접근 이력 모니터링을 강화하는 데이터 유출 방지(DLP) 기술을 고도화하고 있다.

토스뱅크 관계자는 “보안을 단순한 IT 이슈가 아닌 경영의 핵심 요소로 인식하고 있다“며 “올해부터 CISO 직속의 독립된 정보보호 자체감사팀을 신설해 조직의 정보보호 활동이 적절하게 수행되고 있는지, 자체적으로 진단을 수행하고 미흡한 부분을 개선 중“이라며 “지난 상반기에는 상시 평가 및 재진단, 외부 기관 보안 점검, 보안 정책 예외 검토 등 과제를 진행해 미흡한 사항을 자체적으로 개선하고 있다”고 설명했다. 이어 “다양한 정보보호 이슈에 대해 최고 의사 결정 기구인 정보보호위원회를 주기적으로 개최해 적시에 보안 관련 의사결정이 이루어질 수 있도록 체계를 마련하고 있다“고 덧붙였다.

이 외에도 토스뱅크는 보안 인식 문화 안착을 위해 전 임직원을 대상으로 ▲정기적인 보안 교육 ▲자체 피싱 훈련 ▲보안 뉴스레터 발행 등 다양한 내부 활동도 운영 중이다.

한편, 금융당국은 연말까지 금융권 전체에 대한 통합 위협정보 전파체계를 구축하고, 장기적으로는 보안 수준 비교 공시 제도 도입도 추진할 계획이다. 소비자가 각 금융사의 보안 역량을 비교할 수 있도록 정보를 제공하고, 사고 발생 시 외부 공개를 의무화한다는 방침이다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network

사람을 위한 보안을 취재합니다. 끝까지 배우며 글로 나아가겠습니다.

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다


The reCAPTCHA verification period has expired. Please reload the page.