이 기사는 2025년 11월 07일 13:31 thebell 에 표출된 기사입니다.

국책은행인 IBK기업은행은 공공적 사명을 바탕으로 정보보호 활동을 전개하고 있다. 단순 사명이 아닌 '국가정보보안기본지침' 등 금융산업을 넘어선 국가 수준의 정보보호 프레임워크를 병행 적용해 이중 보안체계를 운영한다.

공공기관의 보안정책과 금융기관 보안정책의 교차점을 고려해 최적·최고 수준의 보안을 유지하는 것이다. 실제 기업은행의 전담 조직인 정보보호본부는 디지털 전환 가속화에 따른 사이버보안 위협에도 무사고를 기록하고 있다.

◇전무 직속 '독립적' 2부·5소팀 전담 조직 구성

기업은행은 '금융보안 가치의 재정립, 안전한 IBK 구현'을 2025년 정보보호의 비전으로 삼고 정보보호 역량 내실화를 위한 체계적인 조직 및 관리체계를 구축하고 있다. 전담 조직은 전무이사 직속에 둬 업무의 독립성을 보장한다.

정보보호본부의 총괄은 정보보호최고책임자(CISO)인 박병삼 본부장이다. 박 본부장은 1991년 입행해 풍부한 영업현장 및 전산업무 등 은행 IT와 현장 업무를 두루 경험한 금융·IT 전문가다. 지난해 7월 CISO로 선임됐다.

그가 이끌고 있는 정보보호본부는 2부(정보보호총괄·정보보호운영부), 5팀(정보보호기획·고객정보보호·정보보호운영·사이버위협대응·정보보호내부통제팀)으로 이뤄졌다. 외주 인력 19명을 포함해 74명의 임직원으로 구성돼 있다.


크게 정보보호총괄부와 산하 팀들은 관련 업무 총괄과 정보보호정책 및 보안통제절차 수립·운영, 전행 정보보호 점검활동, 개인정보 정책 수립 및 관리 등을 담당한다. 별도의 내부통제팀은 자체감사와 대외감사 대응을 맡는다.

침해사고 대응·분석과 내부위협 모니터링, 정보유출 예방을 위한 단말 PC 및 서버시스템 보안통제, 보안관제·네트워크 보안시스템 운영, 업무시스템 취약점 점검을 수행하는 곳은 정보보호운영부다.

전담 조직 외에도 모든 부서의 공통된 미션이라는 인식 아래 IT, 리스크관리, 준법감시, 영업 등 전행의 업무부서와 긴밀하게 협력하고 있다. 체계적 업무 운영을 통해 기업은행은 사이버보안의 위협에도 무사고를 달성하고 있다.

기업은행 관계자는 "IBK금융그룹 차원의 보안체계 강화를 도모하고 있다"며 "김성태 행장은 정보보호를 사회와 시대가 요구하는 핵심과제로 인식하고 철저한 관리와 시스템·제도 강화에 전력을 다해 '고객 신뢰'를 지켜주길 강조하고 있다"고 말했다.

◇공공·민간 보안정책 고려한 최적의 보안 유지

기업은행은 국가 수준의 정보보호 프레임워크를 병행 적용한 이중 보안체계를 운영하고 있다. 금융감독원뿐만 아니라 국가정보원, 개인정보보호위원회, 감사원 등 복수기관의 보안감독을 통해 정보보호정책을 일반 금융기관보다 높은 수준으로 운영하고 있다.

기업은행 측은 "당행은 국가 경제에 영향을 미치는 핵심 인프라"라며 "보안 사고는 단순한 영업손실이 아니라 국가적인 손실로 이어질 수 있다는 인식과 정보보호는 곧 대국민 신뢰와 직결된다는 사명으로 정보보호를 체계적으로 운영하고 있다"고 설명했다.

이미 기업은행은 국내 정보보호 및 개인정보보호 관리체계 인증(ISMS, ISMS-P), 국제 정보보호표준(ISO27001), 국제 개인정보보호표준(ISO27701) 등 국내외 인증으로 정보보호관리체계의 공신력과 우수성을 입증하고 있다.

금융위원회 개인신용정보 활용 관리실태에서 5년 연속 S등급을 획득하고 국가정보원 정보보안 관리실태 평가에서 금융공기업 최고 점수를 획득하는 등 대외기관으로부터 우수한 평가를 받고 있다.

그럼에도 급증하는 보안리스크에 유연하게 대응하기 위해 지속적으로 정보보호 체계를 고도화하고 있다. 먼저 정부의 망분리 규제 제도개선에 따라 금융·공공부문 망분리 규제를 동시 충족하고 혁신 금융서비스 확산을 촉진할 수 있는 IBK형 망분리 모델을 마련 예정이다.

내·외부망 사용자의 접속권한 적정성을 접속할 때마다 검증·통제하는 '제로트러스트' 보안체계로의 전환도 준비 중이다. 이와 함께 조직 스스로 보안위협을 식별하고 능동적 보안 역량을 내재화하기 위한 자율보안평가체계 마련 및 원칙 중심의 자율규제로 내규를 전면 개편할 계획이다.