[은행 보안 점검③] CISO가 CEO에 직보…하나銀, '상시 보안' 경영체계로 전환
  • 이선영 기자
  • 입력: 2026.01.07 00:00 / 수정: 2026.01.07 00:00
24시간 365일 그룹 통합보안관제 운영
ASM 고도화·화이트해커 점검 병행
침해사고 24시간 내 보고·유출 72시간 내 통지 체계
하나은행은 정보보호를 독립 조직과 경영진 보고 체계를 중심으로 운영하고 있다. /하나금융
하나은행은 정보보호를 독립 조직과 경영진 보고 체계를 중심으로 운영하고 있다. /하나금융

디지털 전환과 비대면 금융 확산으로 은행 정보보안이 신뢰를 가르는 기준으로 떠올랐다. 고객 정보 유출과 전산 장애가 되풀이되면서 보안은 내부통제와 조직 문화, 의사결정 구조를 가늠하는 지표로 읽힌다. <더팩트>는 국내 은행의 정보보안 대응을 점검하고, 디지털 금융 시대 은행 보안의 현주소와 과제를 짚는다. <편집자주>

[더팩트ㅣ이선영 기자] 하나은행은 정보보호를 독립 조직과 경영진 보고 체계를 중심으로 운영하고 있다. 임원급 CISO가 임직원 교육과 법규 준수 점검 결과를 최고경영자(CEO)에 주기적으로 보고하고, 24시간 365일 그룹 통합보안관제와 공격표면관리체계(ASM) 고도화로 외부 위협에 대응한다는 구상이다.

하나은행은 정보보호를 '독립 조직'과 경영진 보고 체계를 중심으로 관리하고 있다고 밝혔다. 정보보호최고책임자(CISO)는 임직원의 정보보호역량 강화를 위해 매년 교육계획을 수립·시행하고, 이에 대해 최고경영자 앞 보고를 주기적으로 수행하고 있다. 또한 임직원이 정보보안 관련 법규를 준수하고 있는지 정기적으로 점검하고, 점검 결과 및 보완 계획을 최고경영자에게 주기적으로 보고하고 있다는 설명이다.

하나은행은 중요 정보보호 사안을 심의·의결하는 정보보호위원회도 운영한다. 위원회 심의·의결 사항은 최고경영자에게 보고하고, 정보보호최고책임자가 전자금융거래의 안전성과 신뢰성에 중대한 영향을 미친다고 판단하는 안건은 이사회에도 보고할 계획이다. 이사회 및 경영진을 대상으로는 지난해 9월 말 정보보호 교육을 실시했고, 랜섬웨어 공격 대응 체계 보고와 인터넷뱅킹 보안솔루션 취약점 점검 보고도 이뤄졌다고 덧붙였다.

조직 측면에선 독립된 정보보호조직(정보보호본부)을 운영하고 있으며, 정보보호의 중요성이 커지는 흐름 속에서 민감한 정보 보호와 금융시스템 안정성, 고객 보호를 위해 정보보호 인력 비중을 꾸준히 높여가고 있다. 또한 24시간 365일 운영되는 그룹 통합보안관제 조직을 통해 외부 위협을 실시간으로 탐지·차단해 안정적인 서비스를 제공한다는 방침이다.

사이버 침해 예방을 위한 대응으로는 △그룹 통합보안관제센터 기반 실시간 탐지·분석·대응 △공격표면관리체계(ASM) 고도화를 통한 관제 강화 △전문 화이트해커 점검(운영 환경·실제 데이터 기반, 공격자 관점 점검) △정기적 데이터 백업 및 소산을 통한 비상 대응 복구 체계 △주기적인 사이버 침해 예방 훈련 등을 제시했다.

하나은행은 올해 발생한 일련의 보안사고(SKT 정보유출, 서울보증보험 랜섬웨어, 롯데카드 고객정보 유출 등)와 관련해 지속적인 자체점검 및 자체 훈련을 수행해왔다. /하나은행
하나은행은 올해 발생한 일련의 보안사고(SKT 정보유출, 서울보증보험 랜섬웨어, 롯데카드 고객정보 유출 등)와 관련해 지속적인 자체점검 및 자체 훈련을 수행해왔다. /하나은행

공격 표면이 넓어질수록 관제의 부담도 커지는 만큼 ASM 고도화, 화이트해커 점검, 훈련을 '상시 운영 체계'로 안정화하는 일이 과제로 꼽힌다.

최근 발생한 타사 보안사고와 관련한 내부 점검도 진행 중이다. 하나은행은 올해 발생한 일련의 보안사고(SKT 정보유출, 서울보증보험 랜섬웨어, 롯데카드 고객정보 유출 등)와 관련해 지속적인 자체점검 및 자체 훈련을 수행해 왔으며, 쿠팡 정보 유출사고의 원인으로 추정되는 사안을 기반으로 긴급 점검을 수행하고 있다고 밝혔다.

사고 발생 시 대응과 고객 통지 절차도 마련했다. 해킹 등 전자적 침해 사고 발생 시 자체 금융전산분야 현장조치 매뉴얼에 따라 위기대응 조직을 운영하고, 금융감독원·금융보안원 등 유관기관 및 수사기관과 공조해 대응한다는 체계를 갖췄다고 설명했다.

전자금융업무 중단이 10분 이상 발생한 경우, 전산자료·프로그램 조작 및 오류 관련 사고가 발생한 경우, 전자적 침해행위로 정보처리시스템에 사고가 발생한 경우에는 해당 사실을 안 때로부터 24시간 내 금융당국에 보고한다.

개인정보 유출의 경우 유출 사실을 안 때로부터 72시간 내 고객 통지를 수행하며, 고객통지문·게시문 작성, 개별 통지, 홈페이지 및 고객센터 등 개인별 확인 시스템 구축 프로세스도 마련해 운영하고 있다고 밝혔다.

내부 통제 측면에선 시스템 접근통제와 문서보안 절차를 강조했다. 퇴사 시 은행 소유 정보자산을 회수하고 퇴직자의 정보자산 사용계정 및 권한을 종료·정지·삭제한다. 부서 이동 시에도 업무 수행에 불필요한 권한을 종료·정지·삭제하며, 직무 간 분리 원칙 위배 여부를 확인한 뒤 업무 수행에 필요한 최소 권한에 따라 사용 권한을 부여한다는 설명이다.

주요 정보와 고객정보가 담긴 서버·DB 접근 시에는 접근통제시스템을 통한 접속, 시스템접근용 OTP 등을 이용한 인증 등 통제 절차를 적용하고 내부망 문서는 암호화하며 USB 등 외부 매체 접근은 통제하고 있다.

하나은행 관계자는 "내부통제 항목의 '손님 정보보호'를 KPI로 반영(정보보호 교육, 개인정보보호 점검, 모니터링, 침해대응 등)하고 있으며, 향후 확대할 예정"이라고 말했다.

seonyeong@tf.co.kr

발로 뛰는 <더팩트>는 24시간 여러분의 제보를 기다립니다.
· 카카오톡: '더팩트제보' 검색
· 이메일: jebo@tf.co.kr
· 뉴스 홈페이지: https://talk.tf.co.kr/bbs/report/write
· 네이버 메인 더팩트 구독하고 [특종보자→]
· 그곳이 알고싶냐? [영상보기→]
Tag #하나은행#은행보안재점검#정보보호
AD