최재립 한국거래소 경영지원본부 통합관제팀 과장

보안감시솔루션 통해 개발시 보안위협 제거 및 효율성 극대화

한국 증권거래시장 시스템 안정화로 경쟁력 높여

한국거래소(KRX)는 그간 출범 전 3개 시장체제로 분산 운영되던 매매체결시스템·청산결제시스템·정보분배시스템 등 IT 시스템을 통합 및 선진화 하기 위해 준비해 온 차세대시스템(EXTURE)을 지난 3월부터 본격적으로 가동했다. 통합관제팀 최재립 과장을 만나 효율성, 처리용량 및 성능, 유연성, 안정성 측면에서 세계시장을 선도하는 최첨단 거래시스템인 KRX의 차세대시스템과 이에 대한 보안을 강화하기 위해 구축된 보안감사솔루션 구축 효과에 대해 들어봤다.

보안감사솔루션 구축 전의 상황이나 보안 위협 환경은 어땠나?

차세대시스템 개발 시, 수백명에 달하는 내ㆍ외부 개발 및 운영자들의 비인가 시스템 작업을 통제하는데 큰 어려움을 겪었다. 예를 들어 개발자들이 가동시스템에 접속해 무단으로 소스를 변경하거나 시스템 운영 인력이 승인을 받지 않고 구성을 변경하거나 실수로 명령어를 잘못 입력하는 등의 위험들이 존재했지만, 이를 통제할 수단이 존재하지 않았다.

또한 이러한 비인가 작업이 수행돼도 공유 계정을 사용하는 사례가 많아 어떤 인력이 어떤 작업을 수행했는지에 대한 감사 추적이 불가능한 상황이었다. 또 시스템에 저장돼 있는 감사로그도 언제든지 변조 및 삭제가 가능했으므로 신뢰하기 어려운 상황이었다.

개발 및 테스트 기간 중에는 이러한 위협이 발생해도 개선 및 조치가 가능하겠지만 시스템 오픈 이후에 발생하는 이러한 위협들은 하루 수천만 건에 달하는 주식 거래를 처리하는 시스템을 일시 중단시킬 수 있는 파급 효과를 지니고 있다.

보안감사솔루션을 구축한 계기와 목적은 무엇인가?

가동 이전 ‘통합보안관리체계’를 수립해 세부 보안 요소 등을 적용했는데 이중 시스템 영역의 요건으로는 ‘권한 및 인증’, ‘접근통제’, ‘모니터링’, ‘로깅 및 감사’의 4개 사항이 도출됐다.

이러한 보안 요구 사항을 시스템 자체 기능으로 구현할 경우, 관리 효율성이 저하되고 막대한 업무로드가 발생할 것으로 예상돼 효과적인 방안 적용을 위한 ‘게이트웨이 방식의 접근통제 및 감사 솔루션’을 도입하기로 결정했다. 솔루션이 제공하는 기본 기능에 거래소의 보안 요구사항을 추가로 구현해 ‘서버 영역’의 4개 영역 보안 요구사항을 충족할 수 있도록 개선했으며, 이를 통해 시스템 안정성과 운영 효율성을 극대화하고 보안 위협과 관리 복잡성을 최소화 하고자 했다.

보안감사솔루션 구축 시 가장 고려했거나 어려웠던 점은 무엇인가?

사용자의 반감이 가장 어려운 점이었다. 사람들은 기존의 생활 방식이 변경되고 통제가 가해지는 것에 대해서 불편함과 반감을 느끼기 마련이다. 특히 신속한 작업을 요하는 시스템 작업에서는 이러한 불편함이 더 크게 느껴졌을 것으로 생각한다. 하지만 운영 및 개발팀 역시 가동시스템을 안정적으로 보호하고 통제해야 한다는 동일 의지를 가지고 있었기 때문에 방향 수립 후에는 구축에 적극적인 지원이 이뤄졌다.

이밖에 시스템 작업에 지장을 주지 않는 범위 내에서 ‘금칙어(Risk Command)’를 도출하는 것이 어려웠다. 시스템 업무를 시스템 관리, 시스템 운영, DB 관리, 백업 관리, 배치 관리 및 기타 등으로 세분화해 기준 명령어를 제시하고 관련 팀과의 수차례 리뷰 및 확정 협의를 거쳐 솔루션에 적용할 금칙어를 도출할 수 있었다.

보안감사솔루션 구축 후에 나타난 가장 큰 효과는?

허가 받지 않은 인력이 대상 시스템에 접근을 하지 못하게 함으로써 무단 작업을 방지하고 시스템 이상 발생 시 과거에는 판별이 어려웠던 ‘실 작업자’를 추적할 수 있게 됐다.

또한 접속 시 이중 로그인(보안 계정과 시스템 계정)을 적용하고 사용자의 업무 및 권한 변경시 반드시 소속팀과 보안팀의 승인을 받는 절차를 거치게 하는 등 자신의 업무에 통제 및 관리가 적용되고 있다는 인식을 제고시켜 보다 안정적으로 작업을 수행하도록 하는 내재적 효과가 있었다.

보안감사솔루션을 도입하려는 타 기업 담당자들에게 조언을 한다면?

우선 시스템 운영 영역 내부에 운영 및 개발자들의 작업 내역(접속 기록, 로그 등)이 적절히 저장되고 보관되고 있는지 여부와 이러한 기록들을 별도 시스템의 도움 없이 모니터링이 가능한지를 먼저 파악해 보기 바란다. 이러한 활동을 통해 솔루션 도입의 필요성 및 타당성을 분석해 보는 것이 우선 필요할 것으로 보인다.

또한 솔루션 적용에 대한 의사 결정이 내려졌다면, 적용 이전에 내부 사용자들과의 ‘공감대’를 형성하는 것이 무엇보다 중요한 일인 것 같다. 사용자들에게 통제의 필요성을 인식시키고 협의된 ‘관리체계’를 준수하도록 합의를 이끌어 내는 것이 솔루션 적용 이전에 반드시 선행돼야 할 과제라고 생각한다.

특히 접근 통제 및 감사의 기능을 가진 솔루션은 경우에 따라 사용자의 작업을 중지시킬 수도, 이상 작업에 대한 책임을 요구할 수도 있는 기능을 가진 관계로 사전에 충분한 협의가 없이 적용을 하면 제 역할을 충분히 수행하지 못하고 그저 로그인을 한번 더 하거나 단지 로그를 저장하는 솔루션으로 전락할 가능성이 높다.

향후 추가될 보안 시스템이나 변화되는 보안 정책이 있는가?

보안 영역은 공격과 방어가 지속적으로 이뤄지는 영역이다. 새로운 공격이나 보안 위협이 등장하면 이에 대한 새로운 방어체계를 구축하고 시스템의 안정성을 지속적으로 유지해야 한다. 뒤쳐지면 안정성은 떨어지게 마련이다.

보안감사 솔루션은 사용자 레벨의 통제 수단이지만 기타 영역에서도 지속적인 체계 개선 및 시스템 도입 등이 지속적으로 진행되고 있다. 7.7 DDoS 이후 KRX에서도 DDoS에 대한 보안 대책을 수립해 적용 예정에 있으며, 관련해 시스템, 네트워크, 사용자 레벨의 보안 정책도 지속적으로 갱신을 수행하고 있다. 이 외에 보안 정책 영역에서는 ‘개인정보보호’ 영역에 대한 현황 분석 및 보호대책 수립을 진행하고 있다.

기업 정보보호와 관련해서 정부의 정보보호 관련 정책의 문제점과 개선해야 할 점은 무엇이라고 생각하는가?

기업의 정보보호 수준을 향상시키기 위해서는 전문화된 보안 인력이 사회적으로 풍부하게 공급돼야 하고 기업이 자사의 필요에 따라 전문 인력을 쉽게 활용할 수 있는 방안이 마련돼야 한다.

KRX도 현재의 정보보호 인력 체계를 갖추기 위해 많은 노력을 기울였으며 타 기업들도 비슷할 것으로 예상한다. 특히 대형 금융 기업 및 주요 기관들을 제외한 중소기업 등은 정보보호 전문 인력을 구하지 못해 사내 교육 등을 통해 양성하는 곳이 많다고 들었다. 국가 및 기업의 정보보호 수준을 보다 개선하기 위한 인력 양성에 정부 차원의 적극적인 지원이 필요할 것이라고 생각한다.

최근 기업내 CSO의 필요성이 높아지고 있는데 이에 대한 의견은?

정보보안은 대부분의 기업들이 갖춰야 할 필수요소로 자리매김 했다고 생각한다. 따라서 정해진 역할을 수행하기 위한 전담 조직이 필요한 것도 사실이다. 하지만 CSO의 필요성은 기업의 규모 뿐 아니라 업무 특성, 인력 구조 등 다양한 차원의 고려가 필요할 것이다.

예를 들어 매출 규모는 크지만 온라인 및 실시간 거래가 없거나 제한돼 있거나 전체 인력이 소수인 기업이 전담 CSO를 두기에는 어려움이 따를 것으로 생각한다. 획일화된 기준에 따른 역할 보다는 기업의 환경과 특성을 고려한 신중한 선출이 필요할 것으로 보인다.

정보보호 관계자들에게 마지막으로 덧붙이고 싶은 말이 있다면?

기업 정보보안의 수준은 보안팀이나 IT 부서에서만 열의를 가지고 추진한다고 높아지는 것이 아니다. IT 인력 뿐 아니라 현업 및 의사결정 책임자 레벨까지 관심을 가지고 지원과 협조를 해야 기업의 소중한 자산, 정보를 안전하게 보호할 수 있게 되는 것이다. 사회적으로 큰 보안 이슈가 생기면 관심이 높아졌다가 이슈가 사라지면 다시 관심 밖으로 버려둔다면 외부 해커나 공격의 수준은 높아지는데 내부 대응 수준은 제자리에 머무를 수 밖에 없다.

주요 정보 유출, 데이터 변조, 서비스 중단, 업무 마비 등 보안 위협은 이러한 무관심과 비협조에서 비롯되는 경우가 대부분이다. 기업의 모든 임직원, 개인 모두 기업의 중요한 자산과 정보를 보호할 책임과 의무를 가지고 있다는 생각을 가지고 정보보호의 이슈에 보다 더 관심을 가져 주길 부탁한다.

<글 : 호애진 기자(is@boannews.com)>

[월간 정보보호21c 통권 제111호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>