한 은행에 다니는 김 모씨는 아침에 출근해 PC를 켜자마자 보안 관련 퀴즈를 풀어야만 했다. ‘제휴 업체에 최소한의 고객 정보를 줘야 한다 (O, X)’라는 문제가 나왔다. 김 모씨는 “매주 특정 요일에 회사 컴퓨터를 켜면 난이도 있는 O, X 문제를 풀어야 한다”며 “문제를 풀면 결과는 나중에 통보된다”고 말했다.

국내 은행들이 정기적으로 직원들의 보안 의식을 테스트하거나, 화이트 해커(해킹 막는 보안 전문가)를 직접 고용하며 적극적인 대응에 나서고 있다.

4일 금융권에 따르면 시중은행 중 KB국민은행을 비롯해 신한은행, IBK기업은행은 직원들을 대상으로 ‘악성 이메일 대응 훈련’을 실시하고 있다. KB국민은행은 직원이 PC를 켜면 악성 이메일 대응 관련 문제를 풀도록 한다.

신한은행은 매월 직원들에게 악성 이메일 훈련을 정기적으로 실시한다. 매월 둘째 주 목요일은 정보보안 교육 날로 정하고, 영업점도 점검한다. 신한은행 관계자는 “직원 온라인 교육 사이트인 ‘신한SOK’을 통해 ‘아는 만큼 보이는 정보보안’이라는 교육과정을 수강해야 한다”며 “온라인 교육 후에는 설문 등을 통해 시험도 본다”고 했다. 해당 정보보호 온라인 강의을 임원은 3시간, 일반 직원은 6시간, ICT 직원은 9시간, 정보보호담당은 12시간 이상 의무적으로 들어야 한다.

IBK기업은행도 전 직원을 대상으로 국가기관 사칭 악성 메일 유포 관련 주의 안내를 수시로 하고 있다. 기업은행 관계자는 “정보보호 온라인 교육도 실시하고, 최신 해킹 사례 등이 담겨있는 소식지도 직원들에게 매월 제공하고 있다”고 말했다.

이처럼 은행들이 악성 이메일 대응 훈련을 하는 이유는 보안의 최대 취약점이 이메일이기 때문이다. 순간적으로 불안감을 주는 주제의 메일을 보낸 뒤 사용자가 제목을 누르면 PC에 악성코드를 심는 식이다. 최근 농협은행 보안팀을 사칭해 ‘고객님 명의의 대포통장이 개설돼 불법 거래에 사용된 정황이 포착됐다’는 이메일을 보내는 해킹 시도가 있었다.

KB국민은행과 신한은행은 보안 시스템을 강화하기 위해 화이트 해커를 직접 고용했다. KB국민은행은 정보보호부 내에 있는 화이트 해커가 보안시스템 점검 업무를 하고 있다. 국민은행 관계자는 “외부망과 은행 내부망이 물리적으로 분리돼 있어 악성코드 침투 시 단계적으로 심층 방어를 할 수 있다”고 설명했다.

우리은행도 그룹차원에서 지난 5월부터 내부 화이트 해커들로 구성된 사이버레드팀을 운영하고 있다. 우리은행 관계자는 "사이버레드팀의 화이트해커들은 공격자 관점에서 그들의 방식을 모방해 조직의 약점을 철저히 파고듦으로써 보다 완벽하고 치밀한 방어전략을 만들어내는 역할을 수행한다"고 했다.

신한은행 역시 2011년부터 정보보안 전문가를 직접 채용해 최신 보안 기술을 정보보호 영역에 반영하고 해킹 위협에 대응하고 있다. 정보보안 전문가들은 악성코드 분석, 취약점 진단, 모의해킹 등을 진행한다. 이 외에도 신한은행은 그룹 차원으로 신한DS에 정보보호 전문조직을 구성해 각종 위협 상황에 대해 협업하고 있다. 그룹통합보안관제센터를 24시간 365일 운영해 공격시도 발견 시 즉시 대응할 수 있는 체계를 운영하고 있다.

신한은행과 마찬가지로 KEB하나은행도 하나금융그룹 차원에서 24시간 365일 통합보안관제를 통해 상시 모니터링 체계를 구축하고 있다. 위협 요소를 사전에 감지하거나 사고가 발생하면 즉시 대응할 수 있는 시스템을 갖추고 있다. 전자금융 불법이체 대응을 위해 시나리오 기반 인공지능(AI)탐지 모델을 추가한 인공지능 FDS(Fraud Detection System)를 고도화 운영하고 있다.

KEB하나은행은 정보보호부서 내에 침해대응팀에서 보안 취약점을 상시 모니터링한다. 다만 모의 해킹 업무는 외부 전문가에게 맡기고 있다. NH농협은행도 보안 전문가를 직접 고용하지 않고 외부 보안업체의 도움을 받고 있다.

한 시중은행 관계자는 “신뢰와 보안이 생명인 은행 입장에서는 ‘고객 정보’가 가장 중요하다”며 “고객 정보 유출 등 보안 사고를 막기 위해서 악성 이메일에 대한 직원들의 보안 의식을 높이는 데 중점을 두고 있다”고 말했다.