• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

A금융기관, 보안강화 위해 무엇을 정비했나? 2013.07.19

변화하는 환경에 따라 계정관리와 인증방식으로 보안 강화


[보안뉴스 김경애] 과거 외부침입 통제였던 보안 시스템이 이제는 스마트폰, 태블릿PC 등 IT기기의 기술 발달과 BYOD(Bring Your Own Device), BYOI(Bring Your Own Identity)의 도입 등 환경변화에 따라  보안환경도 함께 바뀌어야 한다.

그러나 많은 기업들이 변화하는 환경만큼 보안 체계 및 시스템 환경 등이 뒷받침 되고 있지 못하고 있는 실정이다.

이러한 환경 변화에 가장 시급한 곳은 단연 금융기관이다. 이미 앞서 3.20 사이버테러와 6.25사이버테러, 파밍, 스미싱 등 크고 작은 각종 보안사고들로 인해 금융기관의 보안강화 대책은 시급한 상황이다. 더욱이 금융위에서 금융권 종합보안대책이 발표되면서 금융권의 책임이 강화되고 있어 골머리를 앓고 있는 상황이다.

 

그렇다면 금융권의 보안현실에 가장 큰 문제점은 무엇일까? 이와 관련해 CA 테크놀로지의 조상원 부장은 “우리나라 금융권을 비롯해 수많은 IT 담당자 및 보안 담당자들의 특성으로 애플리케이션, 서버관리, DB관리를 하는 담당자가 따로 있다. 그러다 보니 전체 큰 틀에서 보안 체제를 잡고 표준화 하는 등 기업의 보안 계획 수립과 정책의 맞춰 시스템 구축과 환경이 개선돼야 하는데 그렇지 않고 있는 실정이다. 어떤 솔루션을 도입할 때도 회사가 세워놓은 보안 모델을 놓고 그에 맞는 솔루션이 무엇인지 고민해야 하는데 그때그때 필요한 기능만 보는 것이 문제”라고 지적했다.


예를 들어 접근제어 솔루션이 필요하다고 하면 서버 보안 솔루션을 따로 도입하고 DB접근계열 솔루션을 도입해야 한다라고 하면 그에 따른 제품 등을 따로 또 구입한다는 것. 그러나 그렇게 도입한 솔루션은 각각의 솔루션 방법에 맞게 연동시켜야 하는데 제품들의 특성상 연동되지 않는 경우가 많아 결국 표준화가 되지 않는다는 것이다. 이러한 상황들이 나중에 보안 사고를 발생시킬 수 있는 틈이라는 것이다.


그렇다면 변화하는 환경 속에 금융권은 어떻게 보안시스템을 구축하는 것이 좋을까? 이와 관련해 CA테크놀로지 측은 한 예로 A금융기관의 구축사례를 소개했다.


A금융기관은 시중 은행의 업무 외에 다양한 금융 서비스를 제공하는 국내 대표 금융 기관으로 교육지원사업은 물론 신용사업, 경제사업 등을 함께 하고 있는 것으로 알려져 있다.


그러나 내부적으로는 IT 투자규모의 증가 및 변화관리에 대한 체계적인 계정 관리의 어려움에 당면하게 되었고 외부적으로는 전자금융거래법 규제 강화로 전자금융사고에 대한 책임 강화로 인해 전자금융거래의 안정성 확보의 문제에 직면하게 되었다.


그렇다면 과연 A금융기관은 내 외부적으로 당면 보안 과제에 대해 어떻게 재정비 했을까?


이와 관련 CA 테크놀로지스는 A금융기관이 컨설팅을 기반으로 서버, DB, 네트워크 계정관리 등이 중요하다는 인식을 하게 되었다고 밝히며 보안관리 시스템에 대한 계정발급을 통한 통합계정관리 체계를 수립하기 위해 ‘CA Identity Minder’와 ‘CA Auth Minder’ 솔루션을 도입했다고 밝혔다.


‘CA Identity Minder’는 계정 제어 및 관리하는 보안 솔루션으로 확장 및 구성 가능한 계정 관리 기반을 제공해 운영 효율과 효과를 높인다는 것이 회사 측 설명이다.


‘CA Auth Minder’는 고급 인증 방식으로 내부 애플리케이션과 클라우드 기반 애플리케이션에 한층 강화된 인증 보안을 제공하는 솔루션이다.


이는 계정 도난과 온라인 사기를 방지하기 위한 보안조치에 주력한 것으로 CA Auth Minder를 도입함으로써 주요 계정의 인증은 패스워드를 포함하고 OTP 등 다양한 인증 수단을 추가적으로 거쳐 계정 탈취를 방지하는 시스템을 구축했다. 이에 따라 효율적인 계정관리 업무환경을 위한 계정관리시스템 구축을 통해 통합적인 계정관리를 수행하고, 비효율적인 계정관리 업무로 인한 보안취약점을 방지할 수 있게 되었다는 것이 CA 측의 설명이다.


또한, 시스템 관리 효율 향상 및 프로세스 정립으로 체계적인 보안관리 체계를 수립해 금융 컴플라이언스에 대한 능동적인 대응체계를 구축하게 되었다. 아울러 내 외부 감사 요건 충족 및 통합계정관리의 투명성 확보를 위해 자동화된 통합 계정관리 시스템 구축은 관리 및 보안역량을 강화시켰고, 보안 사고에 대한 근본적인 대응 및 감사 추적기반을 확보할 수 있게 되었다고 밝혔다.

[김경애 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>