[FETV=신동현 기자] 지방은행 최초로 국제 정보보호 인증을 획득한 iM금융그룹(옛 DGB금융그룹)이 정보보호 전략을 꾸준히 고도화하며 전사적인 보안 체계를 구축해왔다. 지방은행 최초 정보보호최고책임자(CISO) 선임, 이상금융거래탐지시스템(FDS) 고도화, AI 기반 능동 관제 체계 도입 등을 통해 2026년까지 보안 체계를 한층 강화할 예정이다.

iM금융그룹은 2006년 대구은행이 지방은행으로는 이례적으로 국제 정보보호 표준인 BS7799 인증을 획득하면서 시작된 정보보호 활동은 이후 전 그룹 차원으로 확장됐다. 

2011년에는 지방은행 최초로 정보보호최고책임자(CISO)를 임명하고 기존 정보보호부서를 본부 단위 조직으로 격상해 권한을 강화했다. 고객정보는 내부 업무망에서만 접근 가능하도록 별도 분리됐고 임직원의 조회 권한은 직급, 부서, 업무 성격에 따라 세분화해 최소한의 접근만 허용하는 원칙을 도입했다.

피싱, 스미싱, 보이스피싱 등 금융사기를 방지하기 위해 iM금융그룹은 그룹 차원으로 이상금융거래탐지시스템(FDS)을 구축했으며 2021년부터는 인공지능 기반 탐지 모델을 도입해 탐지 정확도와 실시간 대응 능력을 높였다. 이 시스템은 고객의 평소 거래 패턴을 분석해 이전과 다른 패턴을 보이면 실시간으로 감지하고 곧바로 대응할 수 있다.

전사 차원에서의 보안 의식 제고 활동도 이뤄지고 있다. 매월 ‘정보보안 점검의 날’을 운영해 자가점검과 교육을 병행하고 있으며 보안 교육 이수 여부는 KPI에 직접 반영된다. 피싱 메일 대응 훈련은 매월 정례화했으며 해당 훈련에 대한 미응답자에겐 감점 조치나 추가 교육이 부여된다. 보안 우수 직원을 포상하고 지점 단위의 보안 성과도 영업 평가 항목에 포함시켰다.

2022년에 대구은행은 AI와 빅데이터 기반의 이상행위 탐지 기능을 갖춘 4세대 보안관제시스템을 도입했다. 해당 시스템은 실시간 로그 수집과 트래픽 분석을 통해 외부 위협 정보를 반영하고 위협 징후를 선제적으로 식별할 수 있도록 설계했으며 특정 조건이 충족되면 자동으로 위협에 대응할 수 있게 됐다.

기술적인 보안 조치도 보완했다. 임직원 PC에는 화면 워터마크 기능이 적용돼 내부 자료의 외부 유출을 방지하며 파일은 개인 저장이 차단된 상태에서 중앙 문서관리시스템을 통해 서버에만 저장되는 방식으로 변경했다.

PC와 시스템 접속은 생체인증을 기반으로 이뤄져 타인의 계정 사용을 원천적으로 차단하고 있으며 외부로 발송되는 이메일, 프린트물, 팩스 전송물에는 개인정보 포함 여부가 자동 검출된다. 검출 시에는 암호화 또는 마스킹 처리가 적용돼 민감 정보 유출을 예방한다.

랜섬웨어 감염 등을 방지하기 위해 USB 등 이동식 저장장치는 기본적으로 사용을 제한하고 외부에서 반입된 파일은 ‘무해화(CDR)’ 과정을 거쳐야 실행할 수 있도록 조치했다. 내부 업무망과 외부 인터넷망은 분리해 운영하며 고객정보가 저장된 데이터베이스(DB)에 대한 접근 권한 기준을 상향했다. 정기적인 취약점 진단과 점검도 병행되고 있다.

이 같은 보안 기준은 그룹 산하 계열사 전반에 적용되고 있으며 주요 수탁사와 오픈 API 연계 기관에 대해서도 매년 서면 또는 현장 점검을 통해 보안 상태를 점검하고 있다. 정보보호 관련 규정 위반 시에는 징계가 이뤄지며 성실히 수행한 직원에게는 포상 제도가 운영되는 등 보안 성과에 대한 평가 체계를 마련했다.

iM금융그룹은 2024년부터 2026년까지 보안 부문 3개년 중기 계획을 수립했다. 우선 금융보안의 자율성을 높이고 규제 변화에 선제적으로 대응하기 위해 내부통제 체계를 강화하고 성과관리 지표(KPI)에 정보보호 항목을 반영하는 구조를 구축한다.

또 클라우드 전환과 포스트 차세대 금융 시스템에 대비한 정보보안 아키텍처를 수립하고 이에 맞춰 인증 체계와 보안 인프라도 고도화한다.

마지막으로 생체 인증 등 개인화된 보안 기술을 확대 적용하고 고객정보의 수집부터 폐기까지 전 주기 흐름을 가시화하면서 보안 관리 체계를 한층 더 강화한다는 계획이다.