"보안에서 가장 중요한 것은 정보보호최고책임자(CISO)가 얼마나 업무 프로세스를 이해하고 있느냐입니다. 업무의 정확한 이해도를 바탕으로 보안의 취약점을 발견하고 강화하는 작업이 선행돼야 하기 때문입니다. 새로운 시스템을 개발·설계하기 전에 보안을 선제적으로 반영해야만 운영 과정에서 오는 보안 사고를 최소화할 수 있습니다. 보안 사고가 일어난 뒤 사후 반영을 하는 것은 여러 취약점에 노출될 수 있어 위험부담이 큽니다."
18일 서울 서초동 비씨카드 퓨처센터에서 만난 류재수 전무(사진)는 무엇보다 CISO의 업무 이해도가 중요하다고 강조했다. 서비스의 편의성과 보안 두 마리 토끼를 잡아야 하는 핀테크(FinTech) 환경에서 자칫 편의성에 매몰돼 보안을 등한시하거나 그 반대의 경우가 나타날 수 있다는 것이다.
류 전무는 "최근의 금융결제 환경이 대폭 변화하고 있는 만큼 서비스의 편의성을 우선적으로 생각하되 서비스 설계과정에서 보안성에 대한 검토가 철저하게 진행돼야 한다"고 덧붙였다.
류 전무는 1986년에 대우증권에 입사해 키움증권 등 증권사를 중심으로 IT 운영시스템 관리에 힘썼다. 이후 에스원으로 자리를 옮겨 물리보안을 맡다가 이달 비씨카드의 새로운 CISO로 부임했다.
그는 "증권사에서도 IT 시스템을 오랫동안 관리해왔지만 카드사가 훨씬 더 보안영역이 넓다"며 "증권은 홈트레이딩시스템(HTS) 리스크를 관리하는 데 집중돼 있지만 카드사는 고객과의 접점이 크고 모바일 결제 서비스도 다양해 고려해야 할 부분이 많다"고 말했다.
류 전무는 올해 밴사, 지급결제대행(PG)사 등 비씨카드와 연계된 앞단의 시스템의 보안을 고도화하는 데 집중할 계획이다.
카드사 혼자 잘하는 것만으로 보안위험을 최소화하기가 어렵다는 판단에서다.
그는 "밴사나 PG사는 직접 카드사의 통제 시스템에서 벗어나 있는데 올해에는 이들의 보안 취약점도 관리할 것"이라며 "비씨카드가 가지고 있는 이상거래탐지시스템(FDS) 노하우를 전수하고 같이 접목해 시스템 앞단에서 일어날 수 있는 보안사고에 대해서도 대비를 할 예정"이라고 말했다.
보안 모니터링을 고도화하기 위해 화이트해커 등 외부 IT 전문인력과의 핫라인 구축도 진행한다는 계획이다. 현재 카드사 FDS의 경우 모니터링을 통해 위험을 감지하고 이를 보호하는 데까지가 한 사이클로 진행되는데, 여기에 분석까지 더해 새 이상징후 패턴을 즉시 FDS에 반영하는 모니터링 시스템을 구축하겠다는 것이다.
류 전무는 "FDS에서 의심되는 부정거래 징후가 감지되면 외부 화이트해커에 바로 연락을 해 즉시 해당 유형을 분석하고, 회사의 취약점을 바로 체크할 수 있는 원사이클(One Cycle) 체계를 만들 계획"이라면서 "내부적으로 인력과 조직을 구축하는 것보다 더 효율적이라고 판단하고 있다"고 말했다.
![[기획] 정년연장의 역설… 희망퇴직 ‘삭풍’](https://wimg.dt.co.kr//news/cms/2025/12/08/news-p.v1.20251208.f1471b933449443ba6f35c532dd8e7aa_T1.jpg)
![[기획] 정년연장의 역설… 희망퇴직 ‘삭풍’](https://wimg.dt.co.kr/news/cms/2025/12/08/news-p.v1.20251208.f1471b933449443ba6f35c532dd8e7aa_R.jpg)
![[단독] ‘기본’만 지킨 보안스펙… 쿠팡, 뒤늦게 ‘SOC2’ 인증 검토](https://wimg.dt.co.kr/news/cms/2025/12/08/news-p.v1.20251208.1c87510431f14adda9729be9b22338ad_R.jpg)
![[기획] ‘2군’ 코스닥의 눈물… 시총 1위 알테오젠마저 코스피행](https://wimg.dt.co.kr/news/cms/2025/12/08/news-a.v1.20251208.2d32d37ea1c144f88eb01790c16ceb18_R.png)