이 기사는 2025년 12월 04일 15:03 thebell 에 표출된 기사입니다.

SBI저축은행이 금융권 전반에 높아진 사이버 보안 리스크에 대응하기 위해 전사적 보안 체계를 고도화하고 있다. 최근 해킹뿐 아니라 내부 정보 유출까지 보안 우려가 확대된 만큼 침해사고에 선제적으로 대응할 수 있는 보안 환경을 구축한다는 전략이다.

SBI저축은행은 자체 투자를 늘려 보안 시스템 고도화에 집중하고 있다. 보안 사고 발생 가능성을 최소화하는 것이 핵심 목표다. SBI저축은행은 현재 일몰로 폐지된 정보보호 ‘557 규정’을 자율적으로 운영하며 매년 정보보호 예산을 20% 이상 늘려 왔다.

◇정보보호팀·위원회 운영, IT 조직과 유기적 협력

SBI저축은행의 정보보호 컨트롤타워는 송민호 최고정보보호책임자(CISO·이사)다. 1973년생인 송 이사는 SBI저축은행에서 리스크관리팀장과 리테일영업부장 등을 거쳐 2021년 디지털금융실장으로 선임됐다. 이후 정보시스템실장과 IT기획실장 등을 역임하며 IT 인프라와 보안 전반을 총괄했다.

송 이사는 보안 정책 수립뿐 아니라 보안 인식 제고를 위한 임직원 교육 등 업무를 총괄한다. 실무 조직으로는 정보보호팀을 두고 있다. 의사 결정을 위한 정보보호위원회도 운영한다. 정보보호팀은 △보안기획 △보안운영 △신용정보 등 3개 파트로 구성돼 있다. 구성원은 총 10명으로 다른 저축은행과 비교하면 직원이 많은 편이다.

정보보호팀은 보안 정책 수립과 보안 솔루션 운영 전반을 담당한다. 사용자 단말기 보안과 방화벽 등 네트워크 보안 관리가 포함된다. 신용정보 파트는 고객 개인신용정보 보호를 위해 타 기관 연계부터 내부통제와 직원 교육까지 정보보호 업무 전반을 수행한다.

IT 조직 전체가 보안 체계와 유기적으로 연결돼 있다. 정보시스템실·IT기획실을 포함해 약 80명의 IT 인력이 보안 정책 이행을 지원한다. IT 조직이 정보보호팀의 보안 전략을 기술적으로 구현하는 기반이 되는 셈이다.

아울러 SBI저축은행은 올 3월 금융감독원 출신 보안 전문가인 소현철 이사를 사외이사로 영입했다. 소 이사는 1991년 증권감독원(현 금융감독원)에 입사해 IT감독국 검사지원2팀장, 기업제도공시실 전자공시팀을 역임하고 정보화전략실장을 역임한 인물이다.

◇정보보호 ‘557 규정’ 유지, 악성앱 탐지·생체인증 확대

SBI저축은행은 매년 정보보호 예산 규모를 20% 이상 증액하면서 보안 시스템 고도화에 집중하고 있다. 전체 예산 대비 보안 투자 비중은 올해 9.5% 수준이다. 2024년(7.4%)보다 2.1%포인트(p) 상승했다. 늘어난 예산을 기반으로 기술적 통제를 강화한다는 방침이다.

금융업권 최초로 악성앱 탐지 솔루션을 아이폰에도 도입해 운영하는 등 보안 강화에 속도를 내고 있다. 업무 시스템 로그인 시 직원 본인의 휴대전화 또는 지문인식을 활용한 생체인증 체계를 구축해 대리결재나 계정 도용 가능성도 차단했다.

SBI저축은행은 금융권에서 공식적으로 일몰 폐지된 정보보호 557 규정을 자체 기준으로 활용하고 있다. 이 규정은 전체 인력 대비 IT인력을 5% 이상, IT인력 대비 정보보호 인력을 5% 이상, IT예산 대비 정보보호 예산을 7% 이상으로 유지 권고하는 규정이다.

SBI저축은행은 내부 정보 유출을 막기 위한 프로세스도 구축했다. 엔드포인트 탐지 및 대응(EDR) 솔루션을 통해 임직원 PC에서 발생하는 이상 행위를 실시간으로 탐지하고 차단한다.

SBI저축은행 한 관계자는 "전자금융감독규정이 원칙 중심의 자율보안체계로 변화했지만 이전의 규제를 유지하면서 보다 나은 보안체계를 수립하기 위해 고심하고 있다"며 "저축은행 중 규모나 위치적으로 타사의 모범이 될 수 있도록 당국의 요구사항을 최선을 다해 지켜 나갈 것"이라고 말했다.