인터넷 뱅킹 분야에서 선두를 달리고 있는 한빛은행은 지난해부터 전사적인 정보보호체계 구축을 위해 정보보안의 세가지 분류인 관리,기술,물리 부문에서 전산보안 컨설팅을 진행해왔다. 또 보안 컨설팅의 가시적인 효과를 얻기 위해 정보보안 국제규격인 BS7799를 획득하기 위한 준비작업에 착수했다. 한빛은행은 우선 지난해 12월 인터넷 뱅킹을 ISMS(Information Security Management System)으로 선정함과 동시에 BS7799 인증획득을 위한 프로젝트팀을 출범시켰다. 프로젝트팀은 우선 인터넷뱅킹과 관련된 자산을 파악하는 작업부터 시작했다. 자산파악은 하드웨어,소프트웨어,애플리케이션 뿐 아니라 인적자산,물리적인 공간을 포함한 포괄적인 자산의 개념에서 이루어졌다. 다시말해 한빛은행 인터넷뱅킹의 안전운영이란 시각에서 인터넷뱅킹과 관련된 모든 유.무형의 자산가치를 평가한 것이다. 한빛은행은 자산가치 평가에 이어 각 자산이 갖고 있는 취약점과 위험 수준을 평가했다. 물론 모든 위험을 완벽하게 배제할 수는 없다. 자산에 대한 가치평가나 위험 평가는 지속적으로 검증하고 환경변화에 따른 변경관리가 이루어지도록 하는 게 중요하다고 본 것이다. 이런 과정을 통해 각 자산에 대한 관리포인트를 분석하고 각각의 관리포인트는 BS7799의 1백27개의 통제항목을 적용해 운영해왔다. BS7799의 1백27개의 항목의 실행유무를 판단하는 방법에서는 단순하게 한가지의 프로세스로 가능한 경우(예:화면보호기가 설정되어 있는가)가 있는 반면 대부분의 항목들은 일정한 규칙에 의해 각각의 행위가 연계돼 상호 보완적 통제가 가능하도록 요구하고 있다. 예를 들어 프로그램 변경절차의 적정성을 위해 프로그램의 목록,변경목록,테스트자료,제3자의 검증,변경전후 데이터의 백업,변경자의 권한여부 등 많은 절차를 거쳐 객관적으로 검증 받아야 된다. 이러한 절차들은 각 통제 항목별로 대응시켜 SOA(Statement of Applicability)에 기술해 BS7799 파트2의 규격에 맞도록 했다. 한빛은행은 지난 6월 서류심사에서 ISMS의 자산 누락이나 절차의 적정성을 검증받은 후 본심사를 위한 이행작업을 진행했다. 이 과정에서는 각 프로세스에 대한 절차를 규정했으며 절차이행에 따라 생성되는 산출물을 확정했다. 이어 지난 7월말 4일간의 본심사 과정은 BS7799 파트2에 규정한 10개의 분류와 1백27개의 세부항목을 기준으로 해 ISMS에서 모든 유.무형의 자산이 운영되고 관리되는 과정을 점검했다. 이는 곧 한빛은행 인터넷뱅킹 시스템이 국제기준의 정보보호기준에 의해 객관적으로 평가받는 과정이기도 했다. 본심사를 통과하면서 한빛은행이 주안점을 둔 것은 정보보호의 양면성을 어떻게 조화시키느냐는 것이었다. 다시말해 통제를 강하게 하면 사용자의 불편이 증가하고 사용자의 편리성을 고려하면 통제가 약화될 수 밖에 없다. 한빛은행은 이같은 양면성을 고려해 최소의 통제로 최대의 위험을 방지하는 방법론을 도출했다. 한빛은행 전산정보본부 한두현 과장은 그 방법론을 자동차에 비유,"간단한 조작으로 사용자가 수만가지의 부품기능을 의식하지 않아도 각 부품은 유기적으로 동작해 자동차를 움직이게 하는 이치와 같은 것"이라고 설명했다. 정종태 기자 jtchung@hankyung.com