이슈-연이은 보안사고…보험업계는

IT 보안인프라 개선‧내부통제와 조직 역량강화 “관련작업 지속해 문제없다”
정보보호 최고책임자 선정‧AI기반 사이버 침해 대응체계 구축
고객정보보호 실천사항 수시평가하고 위험요인도 발견해 개선
모바일앱 해킹방지 보안기능 추가‧내부사용자 이상징후 모니터링

정두영 기자 | 기사입력 2020/06/29 [00:00]

이슈-연이은 보안사고…보험업계는

IT 보안인프라 개선‧내부통제와 조직 역량강화 “관련작업 지속해 문제없다”
정보보호 최고책임자 선정‧AI기반 사이버 침해 대응체계 구축
고객정보보호 실천사항 수시평가하고 위험요인도 발견해 개선
모바일앱 해킹방지 보안기능 추가‧내부사용자 이상징후 모니터링

정두영 기자 | 입력 : 2020/06/29 [00:00]


[보험신보 정두영 기자] 최근 토스 등 일부 핀테크업체와 금융사에서 연이어 사고가 터지면서 보안 문제가 이슈로 떠오르고 있다.

 

한편으로는 ‘마이데이터 사업’이 활성화되는 가운데 금융권에서 지금보다 더 많은 정보를 취급하고 다뤄야 하는 등 보안이 무엇보다 중요해지고 있는 상황이다.

 

보험업계는 이에 관련 문제될 것이 없다고 자신하고 있다. IT 보안인프라 개선 및 내부통제 강화, 보안조직 역량 강화 등 다양한 측면에서 보안성을 높이기 위한 작업을 지속 진행하고 있다는 것이다.

 

보험사들과 제휴를 맺고 있는 인슈어테크업체들도 마찬가지다. 보안시스템을 도입하는 등 사고를 예방하기 위해 다각도로 노력하고 있다.

 

◆최근 이어지는 보안사고=업계에 따르면 토스 온라인 가맹점 세 곳에서 부정결제가 발생했다. 토스 이용자 8명 명의로 충전된 ‘토스 머니’ 938만원이 이 가맹점으로 빠져나갔다. 토스 측은 사건 발생 다음날 피해자 전원에게 부정결제된 금액을 전부 환급했다.

 

공격자가 부정결제를 하는데 사용한 정보는 토스 이용자 이름과 전화번호, 생년월일, 토스 비밀번호였다. 앱 결제 방식이 아닌 웹 결제 방식으로 이뤄졌다. 일각에서 토스가 해킹 공격에 당한 것이 아니냐는 우려가 제기됐다.

 

토스 측은 이를 악성 루머라고 규정하고 이번 사건은 도용에 의한 부정결제로 토스가 신속한 환급으로 피해 보상한 점을 봐 달라고 해명했다.

 

카카오뱅크에서도 부정결제 사고가 발생했다. 카카오뱅크 고객 A씨의 계좌에서 본인도 모르는 사이에 6만3000원씩 7차례, 총 44만원이 빠져나간 것으로 밝혀졌으며 처음에는 A씨의 환급요청을 거부했다가 A씨가 카카오뱅크의 책임을 지적하며 여러 차례 항의하자 결국 전액 환급한 것으로 알려졌다.

 

보험업계 관계자는 “부정결제 때 도용은 해킹, 피싱, 악성코드 등 다양한 경로를 통해 이뤄질 수 있다”며 “이는 소비자 잘못이라기보다 불가항력적으로 발생할 수 있는 여지가 있기 때문에 전자금융 사고 발생 시 사업자 책임 강화가 필요해 보인다”고 말했다. 이어 “소비자 피해가 없도록 안전장치를 강화해야 한다”고 덧붙였다.

 

◆정보 취급량 더욱 많아져=일명 마이데이터 사업이라고 불리는 본인신용정보관리업에 금융권과 IT 기업이 대거 출사표를 던지고 있다.

 

보험업계에서도 삼성생명, 교보생명, 한화생명, 신한생명, 오렌지라이프, 메리츠화재, 롯데손해보험 등 11개 보험사가 최근 마이데이터 사업을 희망한 것으로 확인됐다.

 

마이데이터 사업은 개인정보를 활용해 금융정보 통합조회, 맞춤형 금융상품 추천, 신용정보관리 서비스로 수익을 낼 수 있게 한 신규 업종이다.

 

해당 사업이 본격화 될 경우 보험사는 정보 접근성이 높아진다. 특히, 고객의 비식별정보를 통해 보험료 납입내역과 보험기간, 보장내역 등의 보험정보를 통해 노후예측 및 건강 분석을 좀 더 면밀하게 할 수 진행할 수 있는 길이 열린다.

 

대신 정보를 활용할 수 있는 영역이 확대됨에 따라 보안강화에 대한 필요성은 더욱 높아질 것이라는 전망이다.

 

◆보험업계, 보안성 강화 지속 걱정없다=보험업계는 개인정보보호나 관련 시스템 보안에 대해 전혀 문제될 것이 없다는 입장이다. 사고를 예방하기 위한 준비를 철저히 하고 있다는 것이다.

 

구체적으로 삼성생명은 정보보호 최고책임자(CISO)를 선정하고 정보보호 전담부서를 조직해 영역별로 보안 역량을 강화하고 있다.

 

한화생명의 경우 인공지능(AI) 및 다중 계층 보안 솔루션(Multi Layer Security Solution) 기반의 사이버 침해 대응체계를 구축해 지능화된 외부 공격에 대응하고 있으며 디지털 트랜스포메이션 전환에 따른 클라우드 도입에 발맞춰 클라우드 특화 보안 아키텍쳐를 구성하는 작업을 진행 중이다.

 

교보생명에서는 부서별로 고객정보보호 연간계획을 수립해 운영하고 분기마다 고객정보보호 자율평가를 실시하는 한편 고객정보보호를 위한 실천사항을 평가하고 위험요인을 발견해 개선하고 있다.

 

또 부서별로 일일보안 담당자를 정해 매일 퇴근 전 정보보안 실천사항을 점검하고 있으며 매월 세 번째 수요일을 ‘사이버·보안진단의 날’로 정해 자율적으로 보안점검과 교육을 실시하고 있다. 이를 통해 임직원과 FP의 자율적이고 책임있는 보안실천 문화를 구축한다는 것이다.

 

교보생명 관계자는 “우리 회사는 지난 2009년 업계 처음으로 글로벌 수준의  IT 인프라를 갖춘 전용 데이터센터인 ‘교보데이터센터’를 송도국제도시에 구축했다”며 “진도 7.0의 지진을 견디는 내진설계로 시공된 것을 비롯해 정전사태에 대비하기 위해 이중 전원공급 장치뿐만 아니라 비상 발전시설까지 이중삼중의 안전장치를 갖췄다”고 설명했다.

 

신한생명은 회사 보안 정책에 기반해 사업 전·후 및 정기적으로 보안점검을 진행하고 있으며 임직원 인식개선을 위한 정기교육, 현장실사 등을 진행하고 있다. 또 마이데이터 사업과 관련  정보보호 부서와 개인정보보호 방안에 대해 함께 검토하고 있다.

 

NH농협생명은 보안 관련 전담부서인 ‘IT정보보호팀’을 통해 시스템 개발 등 신규 사업 때 사전 보안성 심의를 진행하고 있으며 홈페이지, 앱 등 소비자의 접근이 가능한 공개 프로그램의 취약점을 정기적으로 점검하고 있다.

 

이와 함께 금융보안원 등 외부 위탁기관을 통한 정기적 임직원 교육도 진행하고 있다. 최근 발생한 금융사고와 관련한 대책도 세웠다.

 

보험계약대출, 여신 등 고객이 인출할 경우 공인인증서 또는 카카오페이 인증을 통한 본인확인과 수령받을 고객 계좌는 보험료 납입내역이 2회 이상 존재하는 조건을 모두 충족한 경우에만 인출이 가능하도록 변경했다.

 

또 500만원 이상 금액이 인출될 경우 휴대폰 본인인증 또는 카카오페이 인증을 추가 시행하고 신분증 진위여부 확인시스템을 운영하도록 바꿨다.

 

손해보험사들도 다양한 방식을 통해 IT보안 강화에 힘쓰고 있다. 삼성화재는 고도화되고 있는 해킹 위협에 대응하기 위해 ‘삼성화재 다이렉트 서비스’에 대한 ‘정보보호관리체계(ISMS)’ 인증 유지 등 보안에 집중하고 있다.

 

한편 마이데이터 사업 TF를 운영 중이며 관련 사업에 대한 침해사고 예방, 관련 법령 준수 방안을 마련 중이다.

 

롯데손해보험에서는 이번달 초 ‘모의 바이러스 메일 훈련 시스템’을 구축했다.

 

이는 모의훈련을 통해 랜섬웨어, 피싱메일 등 악성메일을 통한 보안사고에 대한 대응체계를 만들기 위함이다. 정보시스템 관련 전체 업무를 수행할 때 회사 정보보호담당부서의 보안성 심의를 별도로 받도록 규정화했다.

 

아울러 연 2회 인프라시스템(서버, 네트워크, DB 등) 취약점 점검과 모바일 앱·홈페이지 모의해킹을 통해 보안 취약점을 도출하고 이에 대한 조치 및 개선대책을 수립하고 있다.

 

현대해상의 경우 수시 보안 점검을 통해 취약한 연결고리 여부를 확인해 조치하는 등 노력을 지속하고 있다. 새로운 해킹 기법과 보안사고 사례를 분석하는 한편 신기술 검토와 교육을 꾸준히 진행해 구성원의 역량도 강화하고 있다.

 

KB손해보험은 고객용 모바일앱의 해킹 방지를 위해 보안 기능을 추가하고 내부통제 강화를 위해 내부 사용자들의 이상징후 모니터링 시나리오를 추가 개발했다.

 

DB손해보험은 2018년부터 정보보호파트를 운영하며 사내 정보보호 및 보안강화 총괄업무를 진행하고 있다. 전산시스템의 경우 내부망, 외부망을 나눠 사용하고 있으며 외부로 자료 전송때 확인프로세스가 운영되고 있다. 또 매년 직원들은 정보보호 관련 준법 서약서를 작성하고 있다.

 


 

▨보험사와 제휴 인슈어테크업체
백업‧재해복구시스템 바탕으로 보안성 최우선 확보

 

보험사들과 제휴해 정보를 공유하며 사업하고 있는 인슈어테크업체들도 보안성을 높이기 위한 작업을 계속하고 있다.

 

디레몬은 마이데이터 사업자 라이선스 인허가를 준비하며 사전 보안대책과 사후 보안대책으로 구분해 시스템 구성 및 보안체계를 갖춰 나가고 있다.

 

사전 보안 대책으로는 침입차단시스템, 침입탐지시스템 등을 마련해 비인가·비정상 접속을 차단하고 있으며 정보처리시스템의 망분리와 함께 직무분리, 접근통제, 접속기록 관리 등을 진행하고 있다.

 

사후 보안 대책과 관련해서는 백업 및 재해복구 시스템을 갖춰 빠른시간 내 금융사고에 대응할 수 있도록 준비하고 있으며 실제 유출사고 발생 때 대응체계를 수립하고 매뉴얼화 하고 있다.

 

명기준 디레몬 대표는 “앞으로는 시중 금융사에 준하는 수준의 서버·클라이언트 보호를 위한 다양한 보안솔루션을 도입할 예정”이라며 “사고에 대비한 비상계획을 수립 관리하고 재해복구 훈련 실시 체계를 갖춰 나갈 방침”이라고 말했다.

 

보맵은 글로벌 콘텐츠 전송네트워크 기업인 아카마이코리아의 클라우드 보안 솔루션인 ‘코나 사이트 디펜더(KSD)’와 ‘클라이언트 레퓨테이션(CR)’을 도입해 피싱, 디도스, 해킹 등 외부 공격에 대한 이중 보안시스템을 구축했다.

 

이를 통해 해킹, 디도스 등 사이버 공격을 외부에서 분산 형태로 방어하는 방식으로 내부 자원의 효율성을 높여 수많은 이용자가 동시에 접속하더라도 속도 저하 없이 안전한 서비스 환경을 누릴 수 있도록 했다.

 

보맵은 또 지난달 암호화폐 거래소에서 정보보호 최고책임자(CISO)를 영입했다. 보다 정교한 정보보호 관리체계를 구축하고 정보보안에 적극 투자해 마이데이터 사업을 대비하겠다는 목표다.

 

정선진 보맵 CISO는 “금융분야 정보보호 관리체계 컨설팅을 진행, 각종 접근통제 시스템을 도입해 데이터 영향도 기반의 보안 관리체계로 강화할 계획이다”라고 밝혔다.
 
정두영 기자 jdy0893@insweek.co.kr

  • 도배방지 이미지

관련기사목록
하나손해보험, 자동차 플랫폼 서비스업체와 제휴
광고
광고
광고
광고
광고
광고