[데이터넷] 전통적인 환경에서 보안과 비즈니스는 대척관계에 있었지만, 이제는 보안이 비즈니스 경쟁력을 높이는 중요 요소가 되고 있다. 사업을 기획하는 단계에서부터 보안을 고려해 추진 계획을 세우고, 각 단계에서 필요한 내용을 점검하면 거의 대부분의 보안 문제를 해결할 수 있다. IT 전문 매거진 <네트워크타임즈>와 IT 전문 인터넷 언론 <데이터넷>, 그리고 IT 기업 인포시즈가 공동으로 진행하는 <금융 CISO를 만나다> 시리즈는 농협중앙회 CISO인 김두연 정보보호부장을 만나 보안과 사업부서가 함께 비즈니스 경쟁력을 높일 수 있는 방법에 대해 들어봤다.<편집자>

농협은 교육지원, 농·축산업 경제 활성화, 금융사업을 전개하는 자주적 조직이다. 관계사와 계열사, 그리고 전국에 흩어진 수많은 농축협까지 중앙회에서 지도·관리해야 하며, 금융기관으로서의 역할과 책임을 다해야 하는 의무를 가진다.

이렇게 방대한 조직의 정보보호 정책을 총괄하는 정보보호부는 농협과 금융의 특수성을 이해하고 가장 현실적인 보안을 적용하고 관리하기 위해 많은 노력을 기울이고 있다.

농협중앙회 CISO를 맡고 있는 김두연 정보보호부장은 “보안 정책을 만들고 운영하는 과정에서 사업추진부서와 갈등을 빚을 수 있다. 특히 농협은 다양한 성격의 조직과 함께 일을 해야 하기 때문에 갈등을 조정하는 역할이 정보보호부에 반드시 필요하다. 보안을 전제하지 않으면 비즈니스가 위험해지며, 너무 경직된 보안을 고집하면 비즈니스 경쟁력을 가질 수 없다”며 “사업 추진의 모든 단계에서 현실성을 감안한 보안 정책을 지혜롭게 적용하는 것이 필요하다”고 강조했다.

높은 보안성·운영 효율성 위한 정보보호 정책 마련

■탁정수 대표: 농협중앙회와 농협은행, 농축협의 관계를 설명해달라.

■김두연 부장: 농협중앙회는 농업의 경쟁력 강화와 농업인의 삶의 질 향상, 국민경제의 균형발전을 위해 1961년 설립된 자주적인 조직이다. 농협중앙회는 교육지원과 상호금융사업을 수행하고 있으며, 농협경제지주와 농협금융지주 등의 계열사를 두고 있다. 농협은행은 농협금융지주 자회사이며, 농축협은 지역농협, 축협, 품목농협, 품목축협, 인삼협 등 지역별·목적별로 조직된 회원 중심 금융사다.

각각 회사들은 독립된 별도 법인이지만, IT 시스템은 의왕통합IT센터에서 통합 관리하며, 농협은행이 IT·보안 인프라 구축·운영을 위탁 받아 처리하고 있다. 농축협은 중앙회가 개발한 전산시스템을 이용하고 있어 중앙회가 전산시스템의 보안 업무를 책임지고 수행하고 있다. 농협중앙회가 운영하는 농축협 전산 시스템에서 침해사고가 발생하면, 농협중앙회와 IT보안 위탁업무를 수행하는 농협은행이 공동대응한다.

각각 독립된 법인의 IT·보안 운영을 농협은행과 중앙회가 수행하는 이유는 업무와 인력, IT 시스템의 효율성을 높이기 위한 것이다. 중앙회, 농축협 모두 전자금융거래법상 금융회사에 해당되며, 신용정보법상 신용정보제공이용자다. 그래서 금융회사가 적용 받는 개인정보보호법, 신용정보법, 전자금융거래법 등의 적용을 받고 있으며, IT·보안 시스템 구축과 운영 환경은 거의 비슷하기 때문에 농협 전체적으로 IT·보안 인력과 리소스를 통합 운영함으로써 효율성을 한층 더 높일 수 있다.

또한 개별 법인들이 각각 정보보호조직을 마련하고, 정보보호책임자(CISO, CIAP)를 임명하며, 컴플라이언스와 보안정책을 자신의 조직에 맞게 수립·운영하면서 개별 법인의 특수성에 따른 보안 문제를 해결한다. 농협중앙회는 농협법에 의거, 농축협 업무를 지도하고 있으며, 각 농축협이 고객정보의 안정성을 확보할 수 있도록 교육과 지도를 진행하고 있다.

■탁정수 대표: 농협중앙회 정보보호부는 어떤 업무를 맡고 있나.

■김두연 부장: 농협조직이 방대하고 다양한 업무를 수행하고 있어, 각 조직 간 상호협력과 정보교류를 통해 정보보호를 강화해야 한다는 요구가 높았다. 그래서 농협중앙회는 2017년 정보보호부를 출범시키고 중앙회와 농축협 정보보안을 총괄하도록 했다. 정보보호부는 중앙회와 농축협, 계열사가 수행하는 개인정보 보호 업무를 지원하며, 보안 거버넌스를 수립하고 운영하고, 컴플라이언스 및 규제 준수 내용 등을 검토하고 대응하는 업무를 수행한다.

정보보호부는 ▲정보보호 기획과 전략을 수립·이행하는 정보보호 기획팀 ▲IT 보안 기술 대응과 교육·훈련을 담당하는 IT 보안 정책팀 ▲정보보호 관련 제도와 정책을 담당하는 정보보호 제도팀 ▲회원조합 정보보호 점검과 지도, 모니터링을 수행하는 정보보호 점검반으로 구성된다.

■탁정수 대표: 정보보호부에서 가장 중점적으로 추진하는 사업은 무엇인가.

■김두연 부장: 사이버 위협 대응과 정보유출을 방지하는 것이다. 특히 내부의 리스크를 관리하는 것이 중요하다. 농협중앙회는 2020년 12월 말 기준으로 농축협 본지소를 합해 약4800개 사무소의 임직원과 서버·기기의 데이터 침해와 보안 정책 위반에 대응해야 한다.

농축협은 각각 별도 법인으로, 개인정보 보호 책임자가 별도로 지정되어 있으며, 중앙회에서 본지소에 대한 침해사고 모니터링과 대응을 지원하고, 지도업무를 한다. 농협중앙회 정보보호부는 중앙회와 농축협 전체에 대한 정보보호 관련 지도 업무를 통해 내부자에 의한 사고를 막으려고 한다.

■탁정수 대표: 농협중앙회의 특수성으로 인해 각별히 신경 쓰는 보안 정책이 있나.

■김두연 부장: 농협은 전국의 농업인과 지역 주민이 주로 이용하는 서민금융기관이다. 임직원의 개인정보 보호나 사이버 공격, 디지털 금융 등에 대한 이해도를 높이기 위해 지속적인 정보보호 인식 개선 교육과 캠페인, 모의훈련을 실시하고 있다. 아울러 2019년 빅데이터 기반 데이터 분석 솔루션을 도입하고 다양한 내부자 위협 대응 시나리오를 적용해 개인·신용정보 오남용 의심행위를 자동으로 탐지하고 조치하고 있다.

임직원을 대상으로 한 이메일 피싱 공격에도 철저하게 대응하고 있다. 최근 공격은 업무 관련 내용이나 사회적으로 관심있는 이슈로 위장하고 있기 때문에 사용자들의 각별한 주의가 요구된다. 악성메일 모의훈련을 실시해 피싱으로 인한 피해를 최소화하고 있다.

사이버 공격이나 내부자 위협은 교육과 인식개선만으로 해결할 수 없기 때문에 보안 솔루션을 통한 보안 강화에도 힘쓰고 있다. EDR, NAC, 차세대 엔드포인트 보안, 문서보안, 개인정보 보호 솔루션을 이용해 위협을 탐지하며, 위협 이벤트를 차세대 보안관제 시스템에서 수집하고 머신러닝을 이용해 분석함으로써 여러 보안 우회 공격을 차단하고 있다.

보안 내재화된 마이데이터 사업 추진

■탁정수 대표: 농협중앙회는 상호금융권 최초로 지난 1월 마이데이터 본 사업자 허가를 취득했다. 마이데이터 사업 계획은 어떻게 되나.

■김두연 부장: 농협중앙회는 마이데이터 사업을 통해 농어민과 서민 특화 금융상품 추천 등 종합자산관리 서비스를 제공할 계획이다. 농협은 오랜 역사와 다양한 업무를 통해 농업인·서민 금융 관련 데이터를 방대한 규모로 축적했으며, 이와 관련한 다양한 서비스를 제공해 온 노하우가 있다. 4차 산업혁명의 핵심 자원인 데이터를 충분히 갖고 있는 만큼 마이데이터 사업을 통해 양질의 맞춤형 서비스를 제공할 수 있을 것이라고 자신한다.

■탁정수 대표: 마이데이터 사업은 개인정보 보호 이슈를 동반하고 있다.

■김두연 부장: 마이데이터 사업 성공은 보안에 달려 있다고 해도 과언은 아니다. 농협중앙회는 보안을 마이데이터 사업의 필수적인 선결과제로 선정하고 사업을 진행하고 있다. 농협중앙회 마이데이터 플랫폼은 11월 완료를 목표로 하는데, 정보보호 사전 검토와 내부통제를 강화하는 한편, 필요한 보안 기술과 정책을 적절히 적용해 안전하게 보호할 수 있도록 할 계획이다.

교육·훈련·보안 기술 통해 지능화된 위협 방어

■탁정수 대표: 최근 금융권의 보안 화두인 랜섬웨어에 어떻게 대응하는가

■김두연 부장: 랜섬웨어 위협에 대해 잘 알고 있으며, 피해 예방을 위해 각별한 노력을 기울이고 있다. 피싱 메일 대응 훈련과 필요한 보안 솔루션 도입·운영을 통해 랜섬웨어 뿐 아니라 지능적인 위협에 대응하고 있다. 지난해 웹·메일 악성코드 탐지 시스템을 도입해 한층 강화된 보안 환경을 유지하고 있다.

올해 AI 기반 빅데이터 고도화 사업을 진행하면서 AI를 이용한 보안관제 시스템도 구축하고 있다. 내년 본격적을 운영할 계획으로, 한층 더 진보된 위협 탐지와 대응이 가능할 것으로 본다.

■탁정수 대표: 지능형 보안관제는 어떤 방식으로 구축되고 있나

■김두연 부장: 농협중앙회도 다른 금융기관과 마찬가지로 늘어나는 침해사고에 대응하기 위해 여러 보안 시스템을 도입했다. 그에 따른 유기적인 보안통제를 위해 관제 자동화를 위한 노력을 이어가고 있다. 현재 구축된 보안관제 체계를 운영하기 위해 우수한 보안관제 인력을 확보해야 하며, 주 52시간제를 준수하면서 중단 없는 관제 업무 수행을 위해 자동화가 필수다.

농협중앙회는 2016년 금융권 최초로 빅데이터 기반 차세대 보안관제 시스템을 구축했으며, 현재 AI 기반 차세대 보안분석 시스템 인프라 구축 사업을 진행하고 있다. 이 시스템은 2022년 본격 가동될 예정이며, 자동화를 통해 관제요원의 업무 부담을 줄이고 AI를 이용해 보다 효과적으로 지능형 위협에 대응할 수 있도록 할 예정이다.

■탁정수 대표: 클라우드와 재택·원격근무 도입 계획은 있나.

■김두연 부장: 코로나19 방지를 위해 20~30% 이상 재택근무가 권고되고 있지만, 주거지와 직장을 완전히 분리하는 것이 생산성과 효율성을 높이는데 언제나 도움이 된다고 보지 않는다. 현실에 맞게 정책을 적용하고 공간을 공유하는 지혜를 발휘해야 한다고 생각한다.

농협중앙회는 디지털 혁신의 일환으로 스마트워크 구축을 위한 TF를 구성·추진하고 있다. 하이브리드 클라우드를 구성해 효과적인 재택·원격근무와 사무실 근무 환경의 조화를 이루고자 한다. 클라우드를 적용할 수 있는 업무를 선정해 중요도를 평가하고 정보보호위원회를 거쳐 결정 할 계획이다.

교육 통한 정보보호 인식개선 필수

■탁정수 대표: 농협 경영진과 관계사·계열사의 보안 강화를 위해 특별히 추진하는 정책이 있나.

■김두연 부장: 농협은 관계사·계열사의 CISO가 참여하는 범 농협 CISO 협의회를 운영하고 있다. 연 2회 이상 협의회를 개최하면서 각 법인이 추진하는 사업과 당면한 현안 과제, 기타 보안 이슈를 공유하고 대책 마련을 위해 필요한 협력 방안을 모색한다. 중앙회 계열사 간 정보보호 협력과 조정을 통해 범 농협 정보보안 컨트롤타워 역할을 수행하며, 비상 시 비상대책기구로 전환할 계획이다.

■탁정수 대표: 농협중앙회 CISO로서 특별히 더 집중하는 보안 대책이 있나.

■김두연 부장: 사이버 위협을 차단하고 예방하기 위해 많은 보안 솔루션과 인력이 필요하다. CISO로서 이 부분도 중요하게 생각하고 있지만, 현재 갖고 있는 보안 솔루션과 인력을 효과적으로 운영하며, 장·단기 보안 계획을 수립하고 실천하는데 집중하고 있다. 더불어 정보보호 관련 규제가 점점 더 강화되고 있어 이에 대한 체계적인 대응 방안을 마련하는데 힘쓰고 있다.

많은 보안 사고가 ‘사람’에 의해 발생하고 있어 정보보호 교육에도 많은 노력을 기울이고 있다. 농협중앙회는 직무 분야별로 교육콘텐츠를 만들어 체계적인 정보보호 교육을 진행하고 있다. 이를 통해 모든 직원이 보안 정책을 지키면서 업무 할 수 있도록 컴플라이언스를 강화하고 있다.

■탁정수 대표: 끝없이 진화하는 위협에 대응해야 하는 보안업무를 수행하면서 어떤 어려움을 겪어 왔나. 이를 해결하기 위해 어떤 대안을 마련하고 있나.

■김두연 부장: 흔히 보안은 창과 방패에 비유한다. 현재 보안 수준이 완벽하다고 자부해도, 찰나에 지나지 않으며, 공격자는 이내 보안홀을 찾아 침해를 시도한다. 완벽한 보안을 위해 강력한 보안 정책을 적용하면 업무의 융통성과 효율성이 떨어져 비즈니스 경쟁력을 약화시킨다는 문제도 있다.

보안은 다른 어떤 업무보다 역동적이지만, 사업 초기 단계부터 보안 대응책을 마련하면 많은 문제를 사전에 해결할 수 있다. 사업을 기획할 때 보안과 사업성을 고려한 절차를 마련하고 이를 충실히 따르는 것이 필요하다. 업무의 필요성과 타당성, 그리고 보안대책에 투입되는 비용과 추진 업무의 실익을 검토해 실행 불가능한 업무를 걸러내야 한다. 사업 기획 단계에서부터 현실성과 실익을 충분히 검토하고 추진전략을 수립해 진행하면 보안 문제는 대부분 해결될 수 있다.