• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

현대증권, “HTS에 적합한 키보드보안 없다!” 2006.07.13

로그매니지먼트 도입→신속민원처리와 정보조작 방지 예상

“2년내, AD도입으로 내부정보보호 수준 최상으로...”


“보안담당자 권한은 미약하고 책임은 크다. 보안담당자들의 권한이 커져야 하고 전 시스템을 두루 섭렵한 인재들이 보안담당자가 돼야 한다.” 현대증권 IT기획팀 김영학 과장은 보안팀의 힘이 더욱 강화돼야 한다고 강조하며 이같이 말했다.


현대증권 IT기획팀은 지난 2001년 IT연구팀내 보안팀이 맡은 업무를 이어 더욱 전문적인 부서로 발전해왔다. IT보안 및 물리적 보안 등 전사적 보안프로젝트를 기획하고 보안정책을 만들어내는 역할을 담당하고 있다.


현대증권은 현재 금융감독원이 제시한 보안 종합대책을 준수하기 위해 세부적인 부분들을 체크하고 적용단계에 와 있다. 증권사는 은행권과는 달리 시간을 다투는 업종이기 때문에 조금의 리스크도 큰 부담으로 작용한다. 그래서 보안프로그램 도입도 은행보다는 더욱 보수적인 면이 강할 수밖에 없다. 만약 보안프로그램 적용이 거래 서비스에 지장을 초례한다면 증권사로서는 치명적이다. 


김 과장은 “특히 이번에 적용해야할 키보드보안은 증권사에서 주로 사용하는 HTS에 장애를 가져오기 때문에 완벽한 테스트를 거쳐 적용할 것”이라며 “키보드보안이 은행권이 주로 사용하는 웹에서는 별 장애가 없지만 HTS에서는 치명적이다. 경우에 따라서는 키보드 값을 제대로 읽지 못해 비밀번호를 엉뚱하게 인식해 이용자들에게 불편을 주는 경우도 있기 때문에 신중한 도입이 필요하다”고 강조했다.


실재로 증권거래에서는 비밀번호 5회 통합제한 규정이 있기 때문에 키보드보안의 장애로 비밀번호 입력이 5회가 넘어가게 되면 이용자들이 직접 증권사를 방문해서 새로운 패스워드를 설정해야하는 번거로움이 발생할 수 있다.


국내 키보드보안 웹에서만 정상...HTS에는 장애 발생

“시간싸움인 스톡시장, 보안프로그램 문제발생시 치명적”


또한 사이버증권 이용자들은 대부분 웹에서 보다는 증권사가 제공하는 HTS프로그램을 주로 사용하기 때문에 키보드보안이 HTS에 장애를 일으킨다면 증권사 입장에서는 치명적인 일이다. 증권거래는 분ㆍ초를 다투는 시간과의 전쟁이기 때문에 키보드보안 장애로 인해 자신이 매도하거나 매수해야할 시점에 거래 장애가 생긴다면 기업의 신뢰성이 무너지고 만다. 경우에 따라서는 시스템 장애로 손해배상까지 이어질 수 있는 부분이다. 


IT기획팀 김형림 대리는 “다른 증권사에서도 키보드보안 프로그램이 HTS와 맞물리면서 장애가 간혹 발생해 계속 테스트 과정만 반복하는 증권사도 있다. 현대증권도 철저한 테스트 과정을 거쳐 7월중에 적용할 방침”이라고 밝혔다. 스톡시장에서 보안프로그램 도입이 상당히 보수적인 이유는 이런 연유에서다.


또한 현대증권은 개인PC방화벽도 업체 선정 중에 있다. 특히 이 부분은 고객 동의 여부와 상관없이 고객 PC에 설치되는 것이기 때문에 더욱 신중을 기해 업체선정과 제품 테스트를 거쳐 도입하겠다는 입장이다.

 

이와함께 사내 보안에도 여러 가지 보안 정책을 적용하고 있어 눈길을 끌고 있다. 신속한 민원처리와 정보의 내부조작을 방지하기 위해 로그매니지먼트 시스템을 오는 9월중에 도입할 예정이며 자체적으로 실시하는 취약점 점검에도 강화된 점검툴을 도입할 계획도 가지고 있는 것으로 나타났다. 


김영학 과장은 “추가적으로 AD(엑티브 디렉토리)를 도입해 내부자에 의한 보안사고를 철저히 차단할 계획이다. 산발적인 보안적용보다는 전사적 차원에서 AD를 도입해 모든 보안상황을 중앙에서 제어할 수 있도록 시스템화 할 방침”이라고 밝혔다. 현재 금융권에서 AD를 도입한 곳은 제일은행 한 곳 뿐이다. 현대증권은 AD를 2년내에 도입할 예정이다.


하지만 증권사 특성상 각 영업점 별로 사원들이 보통 2대의 PC를 사용하면서 한대에는 자신만의 증권거래 노하우가 담긴 데이터들을 정리하고 있어서 AD와 같은 중앙제어 체계에는 다소 반발도 예상된다.


김 과장은 또 “2년에 한번 정기적으로 취약점 점검을 받고 있는데 3천만원 미만의 비용이 들어가지만 단지 금감원 보고용으로 점검이 실시되고 있다는 인상을 받았다”며 “적합한 업체를 선정하는대도 어려움이 있다. 그리고 실질적으로 기업보안에 도움이 될 수 있는 컨설팅이 이루어졌으면 하는 바람이다”고 말했다. 


사이버증권거래시 이용자들은 조금의 불편함이 있더라도 증권사에서 제공하는 바이러스툴이나 키보드보안, 개인방화벽 설치에 적극적으로 동참해야 한다. 금감원과 증권사에서 아무리 보안을 목놓아 소리쳐도 이용자들의 적극적인 보안인식이 없다면 무용지물이다.   

[길민권 기자(reporter21@boannews.com)]


<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>