하나은행, ‘K-ICT 정보보호 대상’ 수상...정보보호 업무 총괄책임 이주환 CISO 인터뷰
이주환 CISO “다차원적인 방어체계 구축으로 ‘사이버 복원력’ 완성해 가는 과정”
[보안뉴스 권 준 기자] 하나은행이 12월 2일 개최된 정보보호산업인의밤 기념식에서 ‘K-ICT 정보보호 대상’을 수상했다. ‘K-ICT 정보보호 대상’은 국내 기업을 대상으로 정보보호 관리, 기술 우수성 및 기업의 보안 수준 등에 대해 전문 평가위원의 엄격한 현장심사와 집중 인터뷰를 거쳐 정보보호 모범 실천 기업을 선정해 수여하는 국내 정보보호 관련 가장 권위 있는 상으로 올해 하나은행은 정보보호 ESG 경영 실천의 우수성을 인정받아 대상으로 선정됐다. 이에 <보안뉴스>는 하나은행의 정보보호 업무 전반을 총괄하고 있는 이주환 CISO(상무)를 만나 대상 수상 소감과 함께 향후 계획 등을 들어봤다.
▲K-ICT 정보보호 대상을 수상하고 있는 하나은행의 이주환 CISO[사진=보안뉴스]
하나은행의 ‘K-ICT 정보보호 대상’ 수상을 진심으로 축하드립니다. 수상 소감과 함께 간략한 본인 소개를 부탁드립니다
하나은행은 급변하는 국내 정보보호 환경에서도 안전한 금융 서비스를 고객들에게 제공하기 위해 최선을 다하고 있습니다. 이번 ‘K-ICT 정보보호 대상’을 수상하게 되어 너무 영광입니다. 이 상은 그간 묵묵히 꾸준하게 정보보호 업무의 소임을 다한 직원 분들이 일궈낸 성과라 생각합니다. 저는 정보보호최고책임자(CISO)와 신용정보관리보호인(CIAP), 개인정보보호책임자(CPO)를 겸하고 있어 하나은행 정보보호 전반에 대해 총괄책임을 지고 있습니다. 이번 수상을 계기로 안전한 금융 서비스에 대한 대내외적인 높은 관심과 기대를 다시 한 번 느끼게 됐습니다. 앞으로도 고객들이 안심하고 사용할 수 있는 정보보호 체계를 마련하기 위해 노력하겠습니다.
이번에 K-ICT 정보보호 대상을 받을 수 있었던 이유는 무엇이라고 보시나요?
최근 코로나와 디지털 팬데믹 상황의 뉴노멀 시대를 맞아 하나금융그룹과 하나은행은 기업의 사회적 책임을 다하는 ESG 경영 실천을 위해 지속적인 노력을 기울이고 있습니다. 이에 정보보호도 ESG 관점으로 재해석해 은행 가치 창출의 매개체 역할을 할 수 있도록 노력해 오고 있습니다.
저희 하나은행은 지능형 FDS를 통해 보이스피싱, 대포통장을 통한 금융사고의 예방과 더욱 지능화되고 있는 사이버 위협에 대한 다차원적인 사전 방어로 안전한 금융환경을 제공해 금융소비자 보호에 힘쓰고 있습니다. 얼굴인증을 통한 디지털 간편인증으로 다양한 계층의 고객 편리성에도 많은 투자와 성과를 내고 있습니다. 무엇보다 이종산업간 전문가 집단과의 개방형 협업체계를 구축하는 등 산-학-연 소통 채널을 운영함으로써 다양한 분야의 조언과 의견을 종합해 정보보호에 대한 의사결정에 반영하고 있습니다. 하나은행은 국내 최초로 디지털, 글로벌, 개인정보보호 영역에 걸쳐 국내외 정보보호 관리체계인 ISMS-P, ISO27001, ISO27701 인증을 획득해 표준화된 보안체계를 확립했습니다. 또한, 보안 스타트업 상생 모델 제시와 경영층의 적극적 지원과 관심 등도 높은 평가를 받은 주요 요인이 된 것 같습니다.
현재 조직에서 정보보호 강화를 위해 가장 초점을 맞추고 있는 부분은?
지난 5월 미국 동부지역의 석유 공급의 45%를 담당하는 콜로니얼 파이프라인이 랜섬웨어 공격으로 설비 가동이 중단된 사태로 수천만 명이 피해를 봤으며 결국 해커에게 500만 달러 상당의 가상화폐를 지급했다는 언론 보도를 접한 바 있습니다. 해외 사례뿐만 아니라 국내에도 국가주요시설을 취급하는 공공기관이 해커의 공격으로 설계도 등 주요 정보가 유출된 사고를 기억하실 겁니다. 이렇듯 최근 사이버 공격은 돈이 되는 곳이라면 국가의 주요기반시설까지 침투하는 무차별적인 공격 형태로 발전하는 양상입니다.
올해 초 MS 사의 최고법률책임자(CLO)인 브래드 스미스가 CES 기조연설에서 “기술에는 양심이 없다”며 기술이 도구이자 무기가 될 수 있는 기술의 양면성을 역설했듯이 해킹 공격도 AI 기술을 이용한 이른바 공격형 AI를 활용하고 있는 추세로 AI 공격은 AI가 막아야 하는 ‘알고리즘 전투’가 시작됐다고 볼 수 있습니다.
사이버 범죄자들이 전례 없는 속도와 규모로 표적 공격을 시도하고 이를 방어하기 위한 기업들의 노력이 끊임없이 이루어지는 상황에서 금융도 사회주요시설로 항상 외부 공격에 노출되어 있어 예외일 수는 없습니다. 이에 저희 하나은행은 사이버 공격에 대한 완벽한 방어가 금융회사로써 금융소비자를 보호하기 위한 가장 중요한 책무로 생각하고 있습니다. 예전부터 운영해 오던 전통적인 방어체계에 최근에는 개발자들의 시큐어코딩 의무 교육부터 개발자가 운영 전 스스로 점검할 수 있는 자가 점검 체계, 화이트해커 그룹을 통한 상시 점검 체계까지 다차원적인 방어체계로 사이버 공격으로 비즈니스 운영이 중단되지 않고 피해를 최소화하기 위한 ‘사이버 복원력(Resilience)’을 완성해 가고 있습니다. 효과적인 사이버 공격 대응은 경제적 손실이나 평판 리스크를 최소화할 뿐만 아니라 고객들이 금융회사를 안전하게 이용할 수 있는 가장 기본적이고 중요한 전략이라 생각합니다.
비대면 업무 증가나 디지털 전환 등 변화하는 환경에서 보안담당자들이 준비해야 할 것은 무엇이라고 보시나요?
금융과 타 산업간 경계가 모호해지는 빅블러(Big blur) 현상의 심화로 금융회사와 빅테크, 핀테크 기업 간 금융플랫폼 시장을 선점하기 위한 본격적인 경쟁체제와 데이터 경제(Data Economy) 시대로 접어들고 있습니다.
금융 보안사고는 서비스 신뢰도 저하로 이어지나 이에 못지않게 과도한 보호는 디지털 금융산업 활성화를 크게 저해하게 되므로 정보보호는 안전과 효율 간의 균형적 접근 전략이 필요하다고 봅니다. 변화하는 금융환경에서 정보보호 담당자는 보안뿐만 아니라 디지털과 비즈니스를 이해한 DT(Digital Transformation) 마인드를 장착해 양손잡이 보안 전문가로 거듭나야 합니다. 애자일한 사업 환경 변화 대응을 위한 요소기술의 내재화, 사용자 관점의 보안 운영체계 전환(Usable Security) 등 DT 마인드 학습이 중요합니다. 예를 들면, 인증기술의 편리성 구현, 지능형 보안 기술을 위한 데이터 분석 역량 등이 새롭게 요구되는 능력이라고 볼 수 있습니다.
국가 및 기업 전반의 보안 수준 향상을 위해 모두 신경 써야 할 부분을 몇 가지 꼽는다면?
2009년 7.7 디도스 공격, 2013년 3.20 사이버테러, 카드사 정보유출 등 굵직한 금융 보안사고 사례에서 보듯이 사이버 보안 리스크는 국가와 사회, 기업에 막대한 피해와 손실을 안겼습니다. 전 세계적으로 기업의 사이버 보안 리스크는 과거와 달리 기업의 운영, 평판, 재무 리스크에도 큰 영향을 미치는 핵심 리스크로 부각되고 있는 실정입니다. 따라서 국가나 기업의 보안 수준 향상을 위해서는 보안 리스크 관리가 무엇보다 중요합니다.
첫 번째, 보안 리스크를 정량화하고 이를 체계적으로 관리할 수 있는 지표 관리 기준을 마련해 보안 리스크를 하나씩 줄여나가는 지속적인 보안활동이 중요하다고 생각됩니다. 특히, 위드 코로나, 온택트 시대를 맞아 비대면 서비스는 더욱 활성화될 것으로 보여 보안 리스크 또한 더욱 커지고 주목받을 것으로 예상해 볼 수 있습니다. 두 번째, 테크핀 기업들의 등장과 더불어 애자일한 환경에서 보안수준을 유지할 수 있는 전략 및 인력확보가 중요합니다. 이를 위해서 다양한 개발언어의 등장과 인프라 환경 변화에 따른 개발자의 보안의식 수준 제고, 데이터 분석 및 결과의 예측 능력, 외부 공격에 대응하며 버틸 수 있는 방어 및 복원 역량 등이 더욱 중요해질 것으로 보입니다.
앞으로의 계획에 대해 말씀해 주십시오
디지털 혁신과 더불어 정보보호 강화를 위해 소통의 문화를 만들어 갈 것입니다. 정보보호를 담당하는 직원들의 잠재력을 최대한 발휘하고 이니셔티브를 높이는 것이 매우 중요합니다. 저희 하나은행은 ‘학습-협업-혁신’의 선순환 구조를 정착하기 위해 직원 경험(EX)을 관리하고 외부 전문가와 내부 인력이 토의하며 개선, 운영될 수 있는 수평적 구성을 위해 노력할 예정입니다. 특히, 전통 금융회사의 강점인 오프라인 거래에서의 노하우를 온라인에 접목시켜 빅테크 금융사의 도전에 맞춰 보안체계도 대응할 준비 중에 있습니다.
[권 준 기자(editor@boannews.com)]
이주환 CISO “다차원적인 방어체계 구축으로 ‘사이버 복원력’ 완성해 가는 과정”
[보안뉴스 권 준 기자] 하나은행이 12월 2일 개최된 정보보호산업인의밤 기념식에서 ‘K-ICT 정보보호 대상’을 수상했다. ‘K-ICT 정보보호 대상’은 국내 기업을 대상으로 정보보호 관리, 기술 우수성 및 기업의 보안 수준 등에 대해 전문 평가위원의 엄격한 현장심사와 집중 인터뷰를 거쳐 정보보호 모범 실천 기업을 선정해 수여하는 국내 정보보호 관련 가장 권위 있는 상으로 올해 하나은행은 정보보호 ESG 경영 실천의 우수성을 인정받아 대상으로 선정됐다. 이에 <보안뉴스>는 하나은행의 정보보호 업무 전반을 총괄하고 있는 이주환 CISO(상무)를 만나 대상 수상 소감과 함께 향후 계획 등을 들어봤다.
▲K-ICT 정보보호 대상을 수상하고 있는 하나은행의 이주환 CISO[사진=보안뉴스]
하나은행의 ‘K-ICT 정보보호 대상’ 수상을 진심으로 축하드립니다. 수상 소감과 함께 간략한 본인 소개를 부탁드립니다
하나은행은 급변하는 국내 정보보호 환경에서도 안전한 금융 서비스를 고객들에게 제공하기 위해 최선을 다하고 있습니다. 이번 ‘K-ICT 정보보호 대상’을 수상하게 되어 너무 영광입니다. 이 상은 그간 묵묵히 꾸준하게 정보보호 업무의 소임을 다한 직원 분들이 일궈낸 성과라 생각합니다. 저는 정보보호최고책임자(CISO)와 신용정보관리보호인(CIAP), 개인정보보호책임자(CPO)를 겸하고 있어 하나은행 정보보호 전반에 대해 총괄책임을 지고 있습니다. 이번 수상을 계기로 안전한 금융 서비스에 대한 대내외적인 높은 관심과 기대를 다시 한 번 느끼게 됐습니다. 앞으로도 고객들이 안심하고 사용할 수 있는 정보보호 체계를 마련하기 위해 노력하겠습니다.
이번에 K-ICT 정보보호 대상을 받을 수 있었던 이유는 무엇이라고 보시나요?
최근 코로나와 디지털 팬데믹 상황의 뉴노멀 시대를 맞아 하나금융그룹과 하나은행은 기업의 사회적 책임을 다하는 ESG 경영 실천을 위해 지속적인 노력을 기울이고 있습니다. 이에 정보보호도 ESG 관점으로 재해석해 은행 가치 창출의 매개체 역할을 할 수 있도록 노력해 오고 있습니다.
저희 하나은행은 지능형 FDS를 통해 보이스피싱, 대포통장을 통한 금융사고의 예방과 더욱 지능화되고 있는 사이버 위협에 대한 다차원적인 사전 방어로 안전한 금융환경을 제공해 금융소비자 보호에 힘쓰고 있습니다. 얼굴인증을 통한 디지털 간편인증으로 다양한 계층의 고객 편리성에도 많은 투자와 성과를 내고 있습니다. 무엇보다 이종산업간 전문가 집단과의 개방형 협업체계를 구축하는 등 산-학-연 소통 채널을 운영함으로써 다양한 분야의 조언과 의견을 종합해 정보보호에 대한 의사결정에 반영하고 있습니다. 하나은행은 국내 최초로 디지털, 글로벌, 개인정보보호 영역에 걸쳐 국내외 정보보호 관리체계인 ISMS-P, ISO27001, ISO27701 인증을 획득해 표준화된 보안체계를 확립했습니다. 또한, 보안 스타트업 상생 모델 제시와 경영층의 적극적 지원과 관심 등도 높은 평가를 받은 주요 요인이 된 것 같습니다.
현재 조직에서 정보보호 강화를 위해 가장 초점을 맞추고 있는 부분은?
지난 5월 미국 동부지역의 석유 공급의 45%를 담당하는 콜로니얼 파이프라인이 랜섬웨어 공격으로 설비 가동이 중단된 사태로 수천만 명이 피해를 봤으며 결국 해커에게 500만 달러 상당의 가상화폐를 지급했다는 언론 보도를 접한 바 있습니다. 해외 사례뿐만 아니라 국내에도 국가주요시설을 취급하는 공공기관이 해커의 공격으로 설계도 등 주요 정보가 유출된 사고를 기억하실 겁니다. 이렇듯 최근 사이버 공격은 돈이 되는 곳이라면 국가의 주요기반시설까지 침투하는 무차별적인 공격 형태로 발전하는 양상입니다.
올해 초 MS 사의 최고법률책임자(CLO)인 브래드 스미스가 CES 기조연설에서 “기술에는 양심이 없다”며 기술이 도구이자 무기가 될 수 있는 기술의 양면성을 역설했듯이 해킹 공격도 AI 기술을 이용한 이른바 공격형 AI를 활용하고 있는 추세로 AI 공격은 AI가 막아야 하는 ‘알고리즘 전투’가 시작됐다고 볼 수 있습니다.
사이버 범죄자들이 전례 없는 속도와 규모로 표적 공격을 시도하고 이를 방어하기 위한 기업들의 노력이 끊임없이 이루어지는 상황에서 금융도 사회주요시설로 항상 외부 공격에 노출되어 있어 예외일 수는 없습니다. 이에 저희 하나은행은 사이버 공격에 대한 완벽한 방어가 금융회사로써 금융소비자를 보호하기 위한 가장 중요한 책무로 생각하고 있습니다. 예전부터 운영해 오던 전통적인 방어체계에 최근에는 개발자들의 시큐어코딩 의무 교육부터 개발자가 운영 전 스스로 점검할 수 있는 자가 점검 체계, 화이트해커 그룹을 통한 상시 점검 체계까지 다차원적인 방어체계로 사이버 공격으로 비즈니스 운영이 중단되지 않고 피해를 최소화하기 위한 ‘사이버 복원력(Resilience)’을 완성해 가고 있습니다. 효과적인 사이버 공격 대응은 경제적 손실이나 평판 리스크를 최소화할 뿐만 아니라 고객들이 금융회사를 안전하게 이용할 수 있는 가장 기본적이고 중요한 전략이라 생각합니다.
비대면 업무 증가나 디지털 전환 등 변화하는 환경에서 보안담당자들이 준비해야 할 것은 무엇이라고 보시나요?
금융과 타 산업간 경계가 모호해지는 빅블러(Big blur) 현상의 심화로 금융회사와 빅테크, 핀테크 기업 간 금융플랫폼 시장을 선점하기 위한 본격적인 경쟁체제와 데이터 경제(Data Economy) 시대로 접어들고 있습니다.
금융 보안사고는 서비스 신뢰도 저하로 이어지나 이에 못지않게 과도한 보호는 디지털 금융산업 활성화를 크게 저해하게 되므로 정보보호는 안전과 효율 간의 균형적 접근 전략이 필요하다고 봅니다. 변화하는 금융환경에서 정보보호 담당자는 보안뿐만 아니라 디지털과 비즈니스를 이해한 DT(Digital Transformation) 마인드를 장착해 양손잡이 보안 전문가로 거듭나야 합니다. 애자일한 사업 환경 변화 대응을 위한 요소기술의 내재화, 사용자 관점의 보안 운영체계 전환(Usable Security) 등 DT 마인드 학습이 중요합니다. 예를 들면, 인증기술의 편리성 구현, 지능형 보안 기술을 위한 데이터 분석 역량 등이 새롭게 요구되는 능력이라고 볼 수 있습니다.
국가 및 기업 전반의 보안 수준 향상을 위해 모두 신경 써야 할 부분을 몇 가지 꼽는다면?
2009년 7.7 디도스 공격, 2013년 3.20 사이버테러, 카드사 정보유출 등 굵직한 금융 보안사고 사례에서 보듯이 사이버 보안 리스크는 국가와 사회, 기업에 막대한 피해와 손실을 안겼습니다. 전 세계적으로 기업의 사이버 보안 리스크는 과거와 달리 기업의 운영, 평판, 재무 리스크에도 큰 영향을 미치는 핵심 리스크로 부각되고 있는 실정입니다. 따라서 국가나 기업의 보안 수준 향상을 위해서는 보안 리스크 관리가 무엇보다 중요합니다.
첫 번째, 보안 리스크를 정량화하고 이를 체계적으로 관리할 수 있는 지표 관리 기준을 마련해 보안 리스크를 하나씩 줄여나가는 지속적인 보안활동이 중요하다고 생각됩니다. 특히, 위드 코로나, 온택트 시대를 맞아 비대면 서비스는 더욱 활성화될 것으로 보여 보안 리스크 또한 더욱 커지고 주목받을 것으로 예상해 볼 수 있습니다. 두 번째, 테크핀 기업들의 등장과 더불어 애자일한 환경에서 보안수준을 유지할 수 있는 전략 및 인력확보가 중요합니다. 이를 위해서 다양한 개발언어의 등장과 인프라 환경 변화에 따른 개발자의 보안의식 수준 제고, 데이터 분석 및 결과의 예측 능력, 외부 공격에 대응하며 버틸 수 있는 방어 및 복원 역량 등이 더욱 중요해질 것으로 보입니다.
앞으로의 계획에 대해 말씀해 주십시오
디지털 혁신과 더불어 정보보호 강화를 위해 소통의 문화를 만들어 갈 것입니다. 정보보호를 담당하는 직원들의 잠재력을 최대한 발휘하고 이니셔티브를 높이는 것이 매우 중요합니다. 저희 하나은행은 ‘학습-협업-혁신’의 선순환 구조를 정착하기 위해 직원 경험(EX)을 관리하고 외부 전문가와 내부 인력이 토의하며 개선, 운영될 수 있는 수평적 구성을 위해 노력할 예정입니다. 특히, 전통 금융회사의 강점인 오프라인 거래에서의 노하우를 온라인에 접목시켜 빅테크 금융사의 도전에 맞춰 보안체계도 대응할 준비 중에 있습니다.
[권 준 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
