이 기사는 2025년 11월 13일 15:12 thebell 에 표출된 기사입니다.

하나은행은 비대면·사이버 위협에 기민하게 대응해 금융 환경의 안정성을 확보하고 있다. 위험을 동적으로 관리할 수 있게 하는 '정보보호 영향도 평가 방법론'을 수립한 게 대표적이다. 평가 방법론을 전산시스템 구축 사업 등에 적용해 최신 위협·규제 대응의 한계를 극복하고 있다.

기민한 대응을 주도하는 조직은 정보보호본부다. 방명환 정보보호최고책임자(CISO·상무)가 총괄하는 독립적인 정보보호 전담 조직으로 1부·1반·5팀으로 이뤄졌다. 본부 산하에는 개인정보보호조직을 별도로 구성해 민감한 개인신용정보를 다루는 데 적합한 조직체계를 마련했다.

◇전담조직, 1본부·1부·1반·5팀 구성

정보보호의 중요성이 강조되면서 하나은행은 민감한 정보보호 및 금융시스템의 안정성, 손님 보호 등을 위해 꾸준히 정보보호 인력의 비중을 높여가고 있다. 현재 독립된 정보보호본부를 운영하고 있으며 임원급의 CISO가 본부장으로 임명돼 조직을 이끌고 있다.

하나은행의 CISO는 방명환 상무다. 방 상무는 하나은행 IT개발부, 개인디지털팀장, 플랫폼개발섹션장 등을 거쳐 지난해 CISO로 선임됐다. 본부를 이끌며 보안성 심의, 글로벌·신기술·네트워크·서버·클라이언트 보안, 침해 대응, 취약점 점검, 디지털 인증 등의 업무를 총괄하고 있다.


정보보호본부 산하에는 정보보호부를 필두로 보안전략팀과 디지털보안팀, 융합보안팀, 인프라보안팀이 설치돼 있다. 보안감사팀은 CISO 직속 팀으로 편제해 업무의 독립성을 확보했다. 올해 1월부턴 개인정보보호조직을 정보보호본부 직속 개인정보보호총괄반으로 독립·개편해 운영 중이다.

강화된 개인정보보호 전담 조직을 통해 전 영업점을 대상으로 상·하반기 정기 개인정보보호 아이디어 공모를 실시하고 있다. 매년 90% 이상 영업점이 참여하며 여기서 나온 우수아이디어를 실제 업무에 적용하는 등 임직원이 참여하는 정보보호 문화 확산을 지속하고 있다.

하나은행 측은 "당행은 개인정보보호의 중요성을 깊이 인식하고 고객정보의 수집·이용·제공·보관·파기에 대한 철저한 관리와 적극적인 보호 활동을 통해 손님들이 안심하고 은행을 이용할 수 있도록 최선을 다하고 있다"고 설명했다.

◇위협 신속 차단 넘어 사전 대응

하나은행은 정보보호본부를 필두로 비대면, 사이버 금융환경의 안정성 확보 측면에서 두각을 나타내고 있다. 디지털금융 환경에 특화된 이상거래팀지시스템(FDS)을 운영 중이며 금융권 최초로 인공지능(AI)을 활용해 고도화했다.

특히 위협을 신속하게 차단하는 수준을 넘어 사전 대응이 가능하도록 공을 들였다. 정보보호 영향도 평가 방법론 적용 및 특허출원이 역점 사업이다. 하나은행은 2022년 정보보호 영향도 평가 방법론을 최초로 수립했다. 올해 6월에는 이를 특허 출원해 금융 정보보호 수준 평가 기준 및 위험 관리 방법론으로 활용하고 있다.

평가 방법론은 기존의 위험평가 방법론이 갖는 최신 위협에 대한 변화 반영 부족, 업무 환경 변화 대응 및 규제 최신화 미흡 등의 한계를 극복하고 위험을 동적으로 관리할 수 있게 한다. 하나은행 마이데이터 시스템 구축 사업과 프로젝트 원(ONE) 사업, 프로젝트 퍼스트(FIRST)사업 등에 이를 적용해 왔다.

이런 하나은행의 금융보안 노력은 대내외적으로 그 우수성을 인정받고 있다. 2023년 5월 금융권 최초로 마이데이터 서비스 분야의 '국가공인 정보보호 및 개인정보보호 관리체계(ISMS-P)' 인증을 받았으며 2024년 5월에는 은행권 전자서명인증사업자 최초로 인증서 부문에서 ISMS-P 인증을 획득했다.

ISMS-P는 과학기술정보통신부와 개인정보보호위원회가 공동 고시하는 국내 최고 권위의 정보보호 및 개인정보보호 관리체계 통합 인증 제도다. 정보보호 관리체계 영역의 인증 기준과 개인정보보호 영역 인증 기준에 대해 금융보안원의 정밀한 심사를 통과해야 한다.