주기적인 보안 컨설팅으로 보안 취약점 점검·보완이 최선

건설공제조합은 지난 1963년 건설인들의 자주적인 노력으로 설립된 국내 최초의 건설전문보증기관으로서 그동안 건설보증의 한 길을 걸어오면서 국가 중추산업인 건설산업의 발전과 국민경제의 성장에 큰 기여를 해왔다.

설립 당시 조합원 425개사, 자본금 2억여원에 불과했던 조합은 현재 12,300여 조합원과 자본금 5조원, 보증잔액 77조원의 국내 최대 건설전문보증기관으로 성장했다. 이렇게 성장한만큼 보유하고 있는 정보자산과 조합원 정보 등 안전하게 관리·보호해야할 중요 데이터의 규모도 크다. 전국 43개 지점과 500여명의 임직원으로 구성되어 있는 건설공제조합 윤원기 IT운영팀 과장에게 조합의 보안시스템과 향후 보안 강화 계획에 대해 들었다.

현재 조합의 최대 보안 이슈는 무엇인가?

우선 바이러스와 웜, 그리고 DDoS 방어체계 구축이다. 최근 복잡하고 다양한 바이러스와 웜 공격 형태를 차단하고 대용량 DDoS 공격에 의한 사내 네트워크 장비가 다운되는 것을 방지가 중점을 두고 있는 보안 이슈다. 이에 차세대 시스템 구축이 완료되는 내년 하반기에 DDoS 방어 장비와 NAC 도입을 고려하고 있다.

그리고 DB 접근통제 및 감사 시스템 적용을 확대해 나갈 예정이다. DB 접근통제와 감사 모니터링을 적용해 내부자에 의해 중요 개인정보나 고객정보가 무단으로 접근·조회되는 것을 방지하기 위한 것이다. 또한 통합보안관제 시스템 구축을 통해 보안시스템의 통합모니터링으로 보안정책의 일관성 유지 및 운영업무의 효율성 증대, 네트워크를 통한 유해 트래픽의 유입 등의 징후를 조기에 발견하여 신속한 사고대응이 가능하도록 할 계획이다.

아울러 보안인력의 확보 및 적절한 배치로 보안 업무의 효율성을 증대하고 최신 보안 위협과 보안 요구사항에 신속하게 대응할 수 있도록 조직 내의 보안역량 강화, 정보보호 각 업무에 대한 역할 분리에 따른 책임성 강화 등의 정책적으로 기본적인 보안 체계를 정립해 나갈 것이다.

이와 함께 전사적인 보안 지침이 아직 마련되어 있지 않아 향후 조속히 이를 마련하고 PC보안, 내부정보유출방지, 서버 DRM 등을 추진할 계획이다.

사내 보안팀이 별도로 구성되어 있는가? 주요 업무는 무엇인가?

전사적인 보안팀이 별도로 구성되어 있지는 않지만 IT 운영담당자의 업무가 기능별로 나누어져 각 분야별로 업무를 처리하고 있다.

각 영역별 주요 업무는 전체적인 보안 구축에 대한 설계와 보안 레벨을 정의하는 IT 보안담당자와 외부인에 의한 불법적인 접근 제어와 바이러스나 악성코드를 감시하고 차단하는 네트워크 보안담당자, 그리고 서버에 대한 접근통제와 보안 레벨을 관리하는 하드웨어 보안담당자, 애플리케이션과 DB 접근제어를 담당하는 DB보안 담당자가 서로 유기적으로 협력하고 있다. 이렇게 현재 5명으로 구성되어 있는 IT보안팀의 각 담당자가 보안 업무를 맡고 있다. 향후 전문 보안 인력을 확대해 나갈 예정이다.

최근 온라인 기업과 금융기관 등의 기업의 보안 사고와 관련해 자체적으로 정보보안 강화를 위해 변화된 부분은?

서버 제조사별로 서버 OS 레벨에서의 취약점을 파악하여 서버별 시스템 영향도에 따라 분기별로 보안패치 작업 등을 수행하여 서버 보안성 향상을 위하여 지속적으로 작업하고 있다. 그리고 조합에서 보유중인 서버·네트워크의 취약점 툴을 사용하여 자체적으로 서버별 네트워크 취약점을 파악하고 서버별 시스템 영향도에 따라 분기별로 적절한 조치를 취하고 있다.

또한 2008년부터 정기적으로 보안 전문 업체에 의뢰하여 하드웨어적인 부분과 네트워크 및 통신장비에 대한 보안 컨설팅 작업을 수행하여 권고 사항에 대해서는 즉시 조치하고 있으며 2010년 보안 평가점수 85점 이상을 목표로 위험 요인 및 취약점 항목을 최소화 하고 있다.

현재 관리·보호하고 있는 정보자산이나 개인정보의 규모와 양은 어느 정도이며 이를 안전하게 보호하고 관리하기 위해 어떤 노력을 하고 있나?

조합이 가지고 있는 유형자산으로는 서버 48대를 비롯해 네트워크 장비 235대와 개인 전산장비 923대를 보유·관리하고 있다. 그리고 무형자산으로는 사원정보·회사정보·조합원정보(보증 및 융자 거래내역 포함) 등이 있으며 건설공제조합 업무의 특성상 일반인 계정관리는 하지 않아 개인정보의 양은 일반 금융사에 비하면 미미한 수준이다. 특히 조합사의 신용평가정보와 기업정보, 대표자 정보 등은 아주 중요한 고객정보라고 할 수 있다. 현재 3.5T 스토리지를 할당하여 1만 2,000여개 정도의 조합원 정보에 대한 보증·융자 거래 내역을 관리하고 있다.

또한 DB에 저장된 중요 데이터의 유출 위험을 근본적으로 예방하기 위해 중요 데이터에 대해 사용자 인증, 접근통제 및 감사를 수행하고 향후 대칭키 기반의 암호화 알고리즘을 이용한 선별적인 암·복호화 기능을 적용을 고려하고 있다.

최근 해킹이나 DDoS 공격, 내부정보유출 등 보안 위협이 크게 증가하고 있는데 이러한 보안 위협에 대한 대책은?

현재 DDoS 공격 방지를 위한 장비는 앞서 밝힌 바와 같이 아직 도입하지 않은 상태지만 차세대 시스템 2단계 구축 시 도입할 예정이다. 그리고 내부정보 유출방지를 위한 대책으로는 IT업무 내부통제지침에서 보안관리 절차와 네트워크, 보안장비관리 절차를 수립하여 시행하고 있고 PC보안 관리절차에 따라 사용자 수준의 보안을 관리하고 있다. 아울러 DB보안, 서버 네트워크 취약점 진단 및 서버보안 솔루션을 도입하여 관리자를 제외한 접근을 제어·통제하고 있다.

특히 건설공제조합 특성상 건설분야 조합원만이 인증서를 통해 웹 접근을 허용하기 때문에 일반인의 접근이 용이하지 않다는 것이 타사와 차별화 된다. 조합은 또 통합유지보수업체, 네트워크유지보수업체, 네트워크 스캔툴 등을 이용하여 매년 보안 취약점 점검 및 조치를 진행하고 있다는 점도 차별화된다.

지난 2008~2009년 사이 진행된 서버보안컨설팅 결과 지속적인 보안 취약점에 대한 적절한 조치와 보안강화 활동으로 서버군의 보안지수가 크게 향상되었으며 서버보안 및 DB 보안 툴의 업그레이드와 보안 시스템의 추가 도입 등으로 꾸준히 관리 기능을 강화하고 있다.

또 최근 증가하는 DDoS 공격에는 IPS 모니터링을 통해 보안 관리자가 유지보수업체와 공조로 위협 탐지시 3시간 이내에 방어할 수 있도록 대응하고 있으며 해킹사고 예방을 위해 IDS 및 웹 방화벽에 대한 모니터링을 강화하고 외부의 위협으로부터 보다 안정적인 망 운용을 위해 차세대 시스템 구축과 네트워크 구조 단순화 및 보안장비 강화에 많은 투자가 진행되고 있다.

네트워크 보안, Anti DDoS, DB보안, DB 암호화  등의 보안 솔루션이 구축되어 있는가?

현재 네트워크 보안은 IPS, 방화벽, IDS, VPN 등이 구축되어 있고 Anti DDoS는 내년에 도입 예정으로 검토 중이다. 그리고 DB보안 및 암호화솔루션은 피앤피시큐어의 DB Safer를 도입해 운영하고 있다. 기타 응용보안 솔루션은 EAM을 이용한 사용자 인증 및 계정통합 관리와 웹 방화벽, 키보드보안 솔루션, 업무시스템 문서 보안 적용을 위한 DRM, 네트워크 스캔, 홈페이지 보안요소 적용을 위해서 웹암호화 솔루션 등을 운영하고 있다. 기타 보안관리는 지문인식을 통한 전산실 출입 및 외부인력에 대한 전산실 출입대장 관리를 하고 있으며 NMS를 이용한 내부 네트워크의 모니터링·관리와 서버보안 등이 구축되어 있다.

올해 최대 보안 이슈는 무엇이며 이에 대한 전사적인 대책은?

올해 초대 보안 이슈로는 DDoS 공격과 통합보안관제, 그리고 내부정보유출방지다. 특히 DDos 공격에 대한 대비책으로 전문적인 DDoS 공격에 대한 차단 장비가 도입 될 때 까지는 IPS, IDS 및 웹 방화벽을 1일 3회 정기적으로 점검하여 트래픽의 양과 이상 트래픽 발생 현황에 대한 모니터링을 하고 있다. 그리고 통합보안관제시스템을 도입해야 하는데, 이를 도입하기 전까지는 웹 방화벽, IPS를 매일 3회 모티터링하여 이상 트랙픽에 대한 탐지와 대응하는 조치를 취하고 있다. 또한 내부정보 유출방지를 위한 PC 보안 강화도 전사적으로 보완이 필요한 부분이다. 특히 보안USB나 저장장치 암호화 등이 필요하며 이를 위해 보안지침의 제정 및 직원들의 공감대 형성을 위한 지속적인 교육을 진행하고 있으며 향후 하나하나 단계를 거쳐 마련해 나갈 방침이다.

국내 기업의 보안환경에 있어서 문제점은 무엇이며 올해 강화되는 보안정책과 시스템은?

무엇보다 기업 보안 최고의 위협은 ‘내부자’인데 이러한 내부자를 모두 관리하기에는 보안 전담인원이 턱없이 모자라는 실정이다. 이 때문에 조합은 Anti DDoS 장비와 NAC 장비, 그리고 DB보안 장비를 도입해 사전 감지기능을 강화하고 적은 인원으로 최대의 효과를 발휘하기 위해 통합보안관제 시스템의 조기 구축 등을 추진하고 있다. 또한 올해 안으로 현재 이중화 되어 있는 방화벽의 기능 개선 작업과 중요 DB에만 적용되어 있는 DB 접근제어를 전체 DB에 확대하여 적용할 예정에 있다.

<글/사진 : 김태형 기자(is21@boannews.com)>

[월간 정보보호21c 통권 제107호 (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>