| 더존IT그룹, 전자금융서비스 보안 강화 | 2010.03.26 | ||
더존비즈온, 올해 최대 보안이슈는 개인정보보호와 접근통제강화
▲남승주 더존비즈온 전자금융사업부 상무는 “더존비즈온은 향후 보안강화를 위해 한층 강화된 접근통제 방안을 검토하고, 내부정보 유출방지에 대한 방안을 수립하여 주기적인 모의 침투 테스트를 실시하는 등 다양한 방안을 계획 중”이라고 밝혔다.
그런 맥락에서 더존비즈온은 웹 서비스에 대한 위협으로부터 보안을 강화하기 위해 트리니티소프트의 웹 방화벽 ‘웹스레이’를 도입했다. 솔루션 도입 이전에 가장 고려했던 사항은 OWASP에서 권장하는 보안정책의 준수 여부, 구축사례, 운영의 편리성 그리고 리포트 기능을 포함한 한글 인터페이스 지원이 가능한가 하는 부분이었다. 실제 웹 방화벽 구축 시에는 현실적인 공격패턴 분석 작업을 위해서 많은 시간과 인력투입이 필요했다. 그러나 구축 이후 불필요한 트래픽이 감소하고, 병렬로 운용되고 있는 웹 서버간의 부하가 균등해지도록 처리를 분산시키는 등 웹 서버 부하 해소를 지원하는 여러 기능을 통해 빠른 웹 서비스 제공이 가능해졌다. 더존비즈온은 전자금융서비스 구간에 웹방화벽을 이중화해 구축했다. Primary 웹방화벽이 장애 시 Secondary 웹방화벽이 그 기능을 수행함으로써 정상적인 웹 서비스가 제공되고, 정책 동기화를 통하여 실시간 동기화되어 정책을 공유함으로써 효율적인 정책관리가 가능하게 됐다. 또한 웹방화벽의 정책 및 로그를 정기적으로 백업해 네트워크 단절이나, 하드웨어 장애, 전원이 차단되는 등 장애 시 정책이 훼손되더라도 신속히 복구가 가능하다. 웹 방화벽을 이중화함으로써 가용성과 신뢰성을 향상시켜 고객에게 안정적인 서비스를 제공하게 됐다. 이에 유영재 트리니티소프트 기술지원팀장은 “웹스레이의 독자적인 기능 중 하나인 ‘White-URL 수집 기능’으로 단시간에 White-URL을 수집해 바로 탐지 및 방어가 가능하다는 장점이 있다. 타사 제품의 경우, 약 4주간의 학습기간 후 방어기능을 수행하기 때문에 학습기간 동안 탐지·방어 기능이 중단된다는 단점이 있다. 홈페이지 개편을 자주 하는 사이트의 경우 웹방화벽을 도입했더라도 개편 할 때마다 학습을 새로이 수행함으로 학습기간 동안 탐지·방어 기능을 제대로 수행하지 못하는 경우가 발생하게 된다”며 “웹스레이의 3단계 탐지기법, 학습기능, 오탐 방지를 위한 다중 패턴 검사 기능, 파라메타 입력값 유효성 검증 기능 등으로 탐지 방식을 다양화하여 성능을 향상시켰다”고 말했다. 또한 남승주 더존비즈온 전자금융사업부 상무는 “더존비즈온은 향후 보안강화를 위해 한층 강화된 접근통제 방안을 검토하고, 내부정보 유출방지에 대한 방안을 수립하여 주기적인 모의 침투 테스트를 실시하는 등 다양한 방안을 계획 중이다. 보안시스템 도입에 앞서 주기적으로 전사적인 보안 교육이 선행되어야 함을 물론이고 별도의 보안팀을 구성·운영해 정보보호에 대한 인식 제고에 힘써야 할 것”이라고 말하고 “또한 정기적인 감사를 통해 부족한 부분들에 대해서는 지속적인 보안대책을 실시하여 보안에 대한 경계를 늦추어서는 안 될 것”이라고 밝혔다. [김정완 기자(boan3@boannews.com)] <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지> |
|||
 |
