• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

국내 금융보안의 현실과 이에 대한 대처 방안 2010.01.18

성재모 본부장 - 금융보안연구원 보안기술본부

“보안은 역시 교육투자가 가장 중요해요”


김춘식 과장 - 신한금융투자 시스템지원부

“통합관제센터 구축, 신속하고 정확하게 대응해야죠”


지난해에는 유난히 인터넷뱅킹 해킹과 같은 금융보안 사건ㆍ사고가 많았다. 특히 우리가 금융보안에 대해 중요하게 생각하지 않는 부분도 있지만 시스템과 정책적으로도 미흡한 부분이 많은 것이 사실이다. 이에 국내 금융보안의 현실과 이에 대한 대처 방안에 대해서 보안 전문가인 성재모 금융보안연구원 보안기술본부 본부장과 기업의 보안 업무를 담당하는 김춘식 신한금융투자 시스템지원부 과장이 만나 현실적인 보안 문제에 대해 이야기를 나눴다.


김춘식 과장 우선 신한금융투자의 현재 가장 큰 이슈는 두 가지다. 하나는 2008년부터 추진해 온 개인정보보호 이슈이고 또 하나는 2009년 7.7 DDoS 대란으로 인한 DDoS 방어에 대한 이슈다. 지난 2008부터 개인정보 유출 사고가 많이 발생했다. 물론 그 이전에도 사고가 많이 있었다.

 

그래서 신한금융그룹 차원에서 TFT를 조직, 개인정보보호 차원에서 보안수준을 각 그룹사별로 동일한 수준까지 끌어 올리고자 여러 가지 보안 업무를 수행했다. 이때 가장 먼저 수행산 것이 PC에 대한 매체제어이다. 이에 USB 등의 저장매체 제어와 인터넷을 통한 파일 외부유출 방지 등이었다. 당시 인터넷으로는 회사 메일만 사용할 수 있게 했고 나머지는 모두 차단했다. 그리고 두 번째 이슈인 DDoS 공격 대응방안은 현재 금감원 등의 지침에 따라 진행하고 있다. DDoS 공격 대응은 지난 2008년 TFT에서 장비를 구매해서 설치하고 현재 구체적인 대응 매뉴얼을 만들고 있다.

 

우선 DDoS 공격이 발생했을 때 초기 대응방법에 대해 고민하다가 우회 서비스 등을 고려했는데 비용 부담이 너무 컸고 서버나 장비 자체가 IDC센터에 있는 것이 하나, 나머지는 일산의 전산센터에 있어서 우회하는 방법은 맞지 않다고 판단했다. 그래서 일단 고객들에게 SMS 등을 통해 우회 사이트를 공지하고 URL을 바꾸는 방안을 마련했다. 현재 DDoS 공격 대응책은 그룹사 전체에서 같이 만들 수 있도록 대응 매뉴얼을 작성하고 있다. 이러한 보안강화 프로젝트를 추진하는데 있어서 무엇보다 가장 어려운 부분은 조직 내부의 조율 문제다. 상황 발생시 보안 전담팀을 구성한다거나 이와 관련된 예산의 배정과 확보의 문제가 가장 어렵다.

 

성재모 본부장 신한금융투자에서와 같은 개인정보보호 이슈는 지난 2008년부터 계속 되고 있다. 많은 기업과 기관들에서 개인정보보호를 위한 노력과 예산투자가 이뤄지고 있는데 가장 중요한 것은 보안에 대한 인식제고다. 예를 들면 얼마전 미국의 모 은행을 방문했는데 그 은행 직원들은 업무용 PC로 개인적인 일을 처리하기 위해 인터넷 쇼핑몰이나 포털사이트를 방문하는 것이 금지되고 있다. 즉 업무시간에는 자기 일 외에 다른 일은 하지 않고 해당 업무에 필요한 경우에만 허락을 받고 할 수 있다는 것이다.

 

미국의 경우 이러한 것들은 기본 정책이고 직원들도 당연하게 생각한다는 것이다. 회사의 컴퓨터와 메일 계정이기 때문에 이로 인한 업무상 발생하는 모든 것은 회사가 간섭할 수 있다는 것. 즉 회사의 자산으로 발생하는 모든 업무와 이로 발생되는 것들은  회사의 중요 자산이라는 인식이 중요하다. 우리나라 경영진들과 직원들도 회사 자산에 대한 중요성을 인식해야 한다. 또 이를 위해서 직원들에게 교육을 통해 보안에 대한 인식을 바꾸게 하는 것이 필요하다. 그래서 금융보안연구원에서는 최근 ‘금융정보보호아카데미’라는 온라인 교육 사이트를 만들어서 금융회사 종사자들에게 개인정보호의 개념 등을 교육하는 프로그램을 운영하고 있다. 심각한 개인정보 유출사고와 피해를 막기 위해서는 보안투자와 인식제고가 없으면 어렵다고 생각한다.


DDoS 공격, 빠른 대응이 관건

김춘식 과장 DDoS 공격은 회사 차원에서 DDoS 공격을 대응해야 한다고 생각 했었고 DDoS 대응 장비가 그룹 내에서 각각 다르면 함께 대응하기가 어렵다고 판단해서 DDoS 대응 장비도 일괄적으로 같은 장비로 도입했다. 하지만 구체적인 대응체계와 절차가 미흡하기 때문에 현재 이에 대한 것들을 매뉴얼로 제작하는 작업을 하고 있다. 이로써 보안담당자가 없어도 누구나 대응할 수 있도록 하고 우회적인 서비스로 URL을 바꾸는 등의 대책과 대응조직 마련을 위한 작업을 진행하고 있다.

 

 다만 아직 DDoS 공격에 대비한 모의 훈련은 한 번도 하지 못해 이번에 모의훈련을 계획하고 있다. 공격 초기에는 이를 인지하기까지 시간이 걸리기 때문에 어느 정도는 서비스의 중단이 불가피한 상황이 될 것이다. 중요한 것은 DDoS 공격인지 아닌지를 빨리 파악하고 이에 얼마나 빨리 대응하느냐가 관건이라고 생각한다. 특히 증권사의 경우 서비스가 중단되면 기업 이미지와 신뢰도가 떨어질뿐만 아니라 고객들로부터 바로 손해배상 청구소송이 들어오고 이에 대한 증빙자료도 준비해야 하기 때문에 빠른 대응과 분석이 무엇보다 중요하다.


실제 상황에서 테스트 중요

성재모 본부장 금융권에서 DDoS 공격이 발생한 것은 지난 2007년이다. 그리고 지난 2008년에도 발생했고 이번 7.7 DDoS 대란에도 금융권에 대한 공격이 있었다. 이러한 이유 때문에 많은 금융회사와 기업 등에서 DDoS 장비를 도입했거나 도입을 검토하고 있다. 하지만 이러한 장비들이 실제 DDoS 공격시에 제대로 동작해서 방어할 수 있는지는 많은 담당자들이 의문을 가지고 있는 것도 사실이다. 그래서 금융보안연구원에서는 이를 지원하기 위해 실제 상황에서 테스트를 해보는 것이 필요하다고 판단하고 있다.

 

실제 망을 통해 공격하고 공격 유형에 맞게 이를 차단해보고 인력들이 그만한 스킬이 있는지 체크하는 것이 필요하다고 생각한다. 또한 최근 중국에서 다양한 공격 툴이 많이 나오고 있는데 이러한 공격 툴을 분석해 대응방안을 마련하고 새로 나올 공격의 유형을 분석해서 대비하는 것도 필요하다. 7.7 DDoS 대란에서도 장비 업체들은 이를 분석하기 어려워 대응이 늦어졌다. 특히 슬로우 어텍 형태의 공격이어서 많은 장비들이 초기에 어떻게 막아야 될지 몰랐고 시간이 많이 지연됐다.

 

이러한 이유 때문에 먼저 공격당한 기관에서 차단방법이나 패킷분석을 통한 정보공유와 금융ISAC, 금융보안연구원 등의 협조가 이뤄져야 한다. 또한 실제 모의훈련 테스트를 통해 언제든지 대응할 수 있는 준비체계가 필요하다. 또 한 가지는 우회 경로의 확보이다. 기술적 우회 경로를 확보해야 한다. 망 트래픽이 커버할 수 있는 영역을 넘어서 오는 거대한 공격은 전용장비로도 막을 수가 없기 때문에 이에 대비한 우회 경로를 확보해야 한다.

 

DDoS 공격은 단순 해킹공격이 아니라 재난에 준하는 준비태세가 마련되어야 한다. 아직까지는 증권사들에 직접적인 공격이 없어 다행이지만 대부분이 이번에 대응준비를 하고 있고 예산과 인력, 시스템 확보, 모의훈련 등, 모든 것을 재난 차원에서 준비한다면 대응체계가 갖춰진다고 할 수 있다. 금융보안연구원에서도 올해에는 DDoS 모의훈련 지원을 추진하려고 한다. 이는 자체적으로 시스템으로 지원하거나 통신사업자와 연계에서 백본망에서 공격 테스트 등을 해보는 것 등으로 지원할 계획이다. 또한 내부적으로 중국의 최신 해킹 툴을 수집하면서 앞으로 나올 수 있는 공격과 예견되는 공격에 대해서 기술지원과 개발 등을 지원할 것이다.

 

김춘식 과장 현재 DDoS 대응은 준비하고 있지만 DR(재해복구, Disaster Recovery) 전환 훈련 같은 경우에 해보지 않으면 실제로 전환이 되는지, 안되는지 잘 모른다. 그래서 우리도 1년에 최소 2회 이상 해보려고 노력하고 있으며 2009년에는 두 번 실시했다. 2008년에 처음 DR전환 훈련을 했을 때는 잘 되지 않았다.

 

그러나 몇 번 해보니까 지금은 예상 시간 안에 마칠 수 있게 되면서 훈련이 중요하다는 것을 깨달았다. 그리고 최근 DDoS 공격 모의훈련을 계획하다보니 실제 상황과 비슷한 환경마련이 어렵다. 올해 금융보안연구원에서 지원을 해준다면 모의훈련을 잘 준비해서 실제 상황과 같은 DDoS 대응 훈련을 해볼 계획이다.

 

한 가지 더 DDoS 장비 선택에 대한 조언을 한다면 DDoS는 새로운 패턴의 공격이 들어오는 것이 문제다. 즉 새로운 패턴에 대해 얼마나 신속하게 패턴을 만들어내서 방어하느냐가 중요하다. 해커들은 이미 알려진 패턴보다는 새로운 패턴을 만들어 뿌리기 때문이다. 따라서 DDoS 장비는 기능보다는 새로운 패턴에 대해 얼마나 빨리 업데이트하느냐가 중요하기 때문에 이러한 점들을 고려해서 공급업체나 장비를 선택해야 한다고 생각한다. 금융보안연구원에서도 이러한 공격 패턴 같은 것들을 분석해서 공신력 있는 공개 자료들을 제공해주면 좋겠다.


“회원사에 보다 실질적인 보안정보 제공할 것”

성재모 본부장 금융보안연구원에서 아직까지 대외적으로 장비나 솔루션 업체별로 공개적인 평가·분석 자료를 제공하지 않고 있다. 업체에서도 이를 원하지 않는 부분이 있고 또 오해의 소지가 있기 때문이다. 하지만 금융보안연구원은 금융회사의 입장에서 이들을 보호해야 하기 때문에 이러한 부분들을 좀 더 체계화해서 금융회사에 공식적이든 비공식적이든 필요한 분석자료 등을 제공할 수 있도록 노력하겠다.

 

김춘식 과장 기업에서 보안장비 등을 구매하고자 할 때 해보지 못하는 것이 너무 많다. 특히 BMT 등을 할 때 실제 환경 구축이 힘들고 그렇다고 해서 실제 서비스를 하고 있는 환경에서 장비를 테스트하는 것이 불가능하기 때문에 힘들다. 그래서 금융보안연구원에서도 이러한 것들을 많이 지원해주고 있지만 앞으로 더 많은 것들을 지원해 주었으면 좋겠다.

 

성재모 본부장 신한금융투자를 비롯해 금융권에서 지난 2008년과 2009년 요청한 부분에 대해서는 일부 평가 분석자료를 제공했고 테스트 가이드 같은 것들도 회원사들에게 제공해주고 있다. 하지만 이러한 것들을 공식적으로 업데이트해서 제공하지는 않지만 그동안 테스트 장비가 없어서 유관기관과 협조를 통해 테스트했었다.

 

 하지만 2010년에 자체적 예산 확보가 된다면 전용 테스트 장비를 구축해서 회원사들이 원하는 테스트를 할 수 있도록 지원할 것이다. 또한 최근 금융권에서도 개인정보보호 체계를 구축하는 등 보안을 강화하고 있지만 애플리케이션 공격이 많아지고 있다. 특히 금융권에서 많이 사용하는 ActiveX의 취약성 공격이 많아졌다. 이러한 정보보호 솔루션에 대한 취약성을 보완하는 일과 추가적으로 금융권 애플리케이션 취약성에 대해서도 분석을 통해 도움을 줄수 있는 방향으로 추진할 것이다.


통합관제의 필요성 부상

김춘식 과장 신한금융투자에서 2010년 보안 강화를 위해 또 하나 추진하고 있는 것이 관제부분이다. 지금까지는 기술적인 부분으로 정보보호를 위한 방어를 했다면 이러한 것들을 운영·관리하고 모니터링하는 것도 매우 중요하다. 수 많은 보안 장비들을 도입했지만 이를 관리·운영하고 모니터링하지 않는다면 언제 공격이 발생했는지 모르고 대응이 늦어져 피해를 입을 수 밖에 없다.

 

그룹사 차원에서 TFT를 구성해 통합관제센터를 구축하고 있으며 2010년 상반기까지 통합관제센터를 구축하고 사고 발생시에도 전체에 대한 신속하고 정확한 대응을 위해 같은 장소에서 모든 것을 모니터링 할 필요가 있다. 그 다음에는 ISO 27001, ISMS와 같은 서비스 인증 등 고객에게 신뢰를 주는 방안과 무선랜 보안 강화 등에 주력할 것이다.

 

끝으로 금융보안연구원에 바라고 싶은 것은 어떤 보안 프로젝트를 진행할 때 금융권이나 기업의 경영자나 관리자들의 보안의식은 최근 많이 바뀌어 예전보다 어렵지 않게 진행된다. 그러나 실제 업무를 하는 직원들의 보안의식은 아직 많은 변화가 필요하다고 느낀다. 이 때문에 직원들의 의식전환을 위한 교육자료와 교육프로그램 등을 만들어 제공했으면 좋겠다.

 

성재모 본부장 신한그룹의 통합 모니터링 체계 구축은 매우 잘 하고 있는 것이다. 웹 서비스를 제공한다면 감시체계를 구축하는 것이 필요하다. 특히 해커들은 밤에 활동하는 것을 좋아하기 때문에 통합모니터링 체계가 구축되어 있으면 그래도 안심을 하고 모니터링할 수 있게 된다.

 

해킹을 당해 서비스가 중단되면 회사의 이미지가 나빠지기 때문에 웹 서비스에 문제가 없는지 있는지 24시간 지켜봐야 한다. 그리고 개인정보보호, DDoS 공격에 이어 또 하나의 보안 이슈가 무선랜 보안인데 이에 대해서도 관심을 갖고 보완한다니 다행이다. 대부분의 사람들이 사용의 편리성 때문에 많이 사용하고는 있지만 무선랜은 보안에 취약하고 보안 위협도 많다는 것을 잘 인지하지 못하고 있다.

 

예를 들면 커피숍 등에서 노트북을 이용해 오픈되어 있는 무선인터넷에 접속해서 사용하는 것은 보안조치가 되어있지 않기 때문에 보안에 취약하다. 이러한 것들은 기업에서 사용한다면 정보유출의 다른 하나의 통로가 될 수 있기 때문에 금융보안연구원에서는 무선랜 점검 시스템을 구축해서 2009년에 30여개의 금융회사에 무선랜 점검서비스를 제공했다.

 

그리고 무선랜 보안에 대한 정책이나 암호화와 인증이 필요하다는 위험성을 인식시켰다. 또한 정보보호 관리체계 인증 부분에 대해서 이를 비교 평가해 분석자료로 제공할 것이다. 그리고 금융권 피해시 금융감독원에서 요구하는 규정 등에 필요한 것들을 분석 보고서 등으로 제공하고 IT 컴플라이언스 등의 필요한 자료들을 제공할 것이다.

 

금융보안연구원이 지난 3년간 해왔던 일들은 대부분 실제 취약성과 사고에 대응하는 업무들을 주로 해왔고 2009년에는 금융보안담당자들과 직원에 대해서 많이 교육했는데 이제는 금융 이용자들과 직원들에 대한 교육도 필요하다고 생각한다. 금융회사의 보안 담당자 이 외에 다른 사람들에 대해 교육과 정보를 제공할 것이다. 특히 2010년에는 온라인과 오프라인 교육을 통해서 보안의식을 끌어올리는 교육을 많이 할 예정이다.

<진행 : 길민권 기자(editor@boannews.com) / 정리ㆍ사진 : 김태형 기자(is21@boannews.com)>


[월간 정보보호21c 통권 제113호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>