[데일리시큐][인터뷰] 여창환 생명보험협회 CISO "보안을 보수적으로 만드는 제도, 정비 필요해”

내용 요약

생명보험협회 CISO 여창환은 금융권 보안 위협은 연결고리 중 가장 약한 지점이 전체 시스템 붕괴로 이어질 수 있음을 강조하며, 금융권 보안은 개별 회사가 아닌 전체 산업 생태계 차원의 문제임을 지적했습니다. 특히 방치된 시스템과 서비스의 위험성을 경고하고, 자산 식별, 제3자 리스크 관리, 보안문화 확산 등 금융기관 간 협력을 통한 보안 강화 필요성을 제기했습니다.

핵심 포인트

• 금융권 보안은 개별 회사가 아닌 전체 산업 생태계의 문제이다.
• 연결고리 중 가장 취약한 부분이 전체 보안 붕괴 지점이 될 수 있다. ⚠️
• 방치된 시스템 및 서비스가 심각한 보안 위협으로 이어질 수 있다.
• 자산 식별, 제3자 리스크 관리, 보안문화 확산 등 금융기관 간 협력이 중요하다.

기술 세부 내용

1️⃣ Third-Party Risk Management (제3자 리스크 관리)

• 금융기관은 다양한 외부 업체(Third-Party)와 협력하며 서비스를 제공합니다. 이때 외부 업체의 보안 취약점은 금융기관 전체 시스템에 대한 위협으로 이어질 수 있습니다.
• 제3자 리스크 관리는 외부 업체의 보안 수준을 평가하고, 계약 조건에 보안 관련 조항을 포함시키는 등의 활동을 통해 잠재적 위험을 완화하는 것을 의미합니다. ️
• 예를 들어, 클라우드 서비스 제공업체, IT 외주 업체, 컨설팅 업체 등과의 협력 과정에서 발생 가능한 보안 위험을 사전에 식별하고 관리해야 합니다.
• 제3자 리스크 관리 프로세스에는 벤더 선정 및 실사, 계약 검토, 지속적인 모니터링 및 감사 등이 포함될 수 있습니다.

2️⃣ Asset Identification (자산 식별)

• 자산 식별은 조직 내의 모든 IT 자산(서버, 네트워크 장비, 애플리케이션, 데이터 등)을 파악하고 분류하는 과정입니다.
• 자산의 중요도와 가치를 평가하여 적절한 보안 조치를 적용하고, 보안 사고 발생 시 신속한 대응을 가능하게 합니다.
• 방치된 시스템과 서비스 문제를 해결하기 위해서는 우선적으로 모든 자산을 정확하게 파악하는 것이 필수적입니다.
• 자산 식별은 정기적으로 수행되어야 하며, 새로운 자산 도입이나 변경 시 업데이트되어야 합니다. 자동화된 자산 관리 솔루션을 활용할 수도 있습니다.

3️⃣ Security Culture Development (보안 문화 확산)

• 보안 문화는 조직 구성원 모두가 보안의 중요성을 인식하고 실천하는 것을 의미합니다. ‍
• 정기적인 보안 교육, 피싱 시뮬레이션 훈련, 보안 정책 수립 및 공유 등을 통해 보안 문화를 조성할 수 있습니다.
• 강력한 보안 시스템 구축과 더불어, 구성원들의 보안 인식 제고를 통해 "Human Error"로 발생하는 보안 사고를 예방할 수 있습니다.
• 보안 문화는 단기간에 형성되는 것이 아니므로 지속적인 노력과 투자가 필요합니다.

 

출처: https://www.dailysecu.com/news/articleView.html?idxno=167910