Q. 최근 금융보안 강화 추세와 관련해 금융권의 우수 보안 구축사례가 있으면 소개해 달라.

A-1. 최근 금융권의 보안 추세를 요약하자면 망분리 이슈가 가장 크며, 이에 따른 규제 및 대응이 강화된 부분이 많다. 특히, 각종 포럼 및 간담회에서의 주요 이슈가 각종 해킹사고의 피해규모가 점차 커지면서 해킹사고를 근본적으로 방지하기 위한 최고경영진의 책임강화가 지속적으로 강조되고 있는 것이 이를 대변한다.

최근 3.20 사이버테러를 보더라도 아주 새로운 해킹 기법과 신기술을 통해 공격이 수행된 것이 아니라, 기본적인 보안 조치 및 관리가 이뤄지지 않아 발생한 케이스라고 볼 수 있으며, 공격자의 치밀한 공격수립 계획과 기존의 IT 환경을 잘 활용한 대표적인 사례라고 볼 수 있다.

앞서의 사례만 보더라도 사실 모든 해킹 사건/사고 등을 기술적으로 차단하고 막기는 어렵다. 그렇다면 어떻게 금융권에서는 보안을 강화시켜 나가고 있으며 이에 대한 대책은 어떻게 세우고 있을까? 최근 7월 발표된 ‘금융전산 보안강화 종합대책’ 중 다양한 방법의 대책이 발표되었고, 이를 뒷받침할 다양한 인프라 구축에도 노력하고 있다.

해당 내용 중 보안의 강제화에서 자율화로 보안에 대한 패러다임이 변경되었다는 것이 인상 깊었다. 해당 내용을 조금 더 심도 있게 살펴보면, 기존의 보안을 강화하기 위한 다양한 방법들이 강제화되다 보니 금융권에서는 이에 대한 규정을 준수하기 위한 노력을 해왔고, 해당 규제만 대응하면 된다는 식의 보안정책이 수행되어 왔다는 것이다.

이는 최신 보안 및 공격 동향에 대해서 능동적으로 대응하기가 쉽지 않다는 것이 증명된 셈이다. 이러한 부분들이 자율화되면서 각 금융권에서는 이제 기본 규제사항 이외에도 자체적으로 보안과 관련하여 계획을 수립하고, 대책을 마련해야 한다. 그 중에서도 가장 문제가 되는 부분이 바로 DB 보안/취약점 부분으로 볼 수 있다. 어떻게 보면 공격자들에게 가장 핵심 가치가 존재하는 부분도 바로 데이터베이스 부분이다.

이 DB에서 보안 우수사례라고 할 만한 사례를 간략히 소개하도록 하겠다. 2011년 말부터 일부 제1금융권 내부에서는 그 동안 DB암호화, DB접근제어 부분에 치중되어 있던 DB보안 분야에서 실제 DB를 가지고 있는 취약점 정보 및 위험요소들을 자체적으로 시스템을 구축하여 진단하고 있다.

이를 통한 결과를 일부 살펴보면 DB 이름과 패스워드가 동일하다거나, 만료된 계정을 계속 사용하고 있었으며, 애플리케이션에서 사용하기 위한 DB계정이 고정되어 있고 패스워드도 변경할 수 없는 상태로 구성되어 있는 경우가 많았다. 가장 심각한 것은 계정과 패스워드를 동일하게 사용한 계정이 다수 발견된 점이다. 그동안 DB영역에 대한 보안을 강화해왔지만, 자체적으로 DB보안에 대한 보다 심도깊은 노력을 기울인 결과 자칫 심각하게 이어질 수 있는 보안사고를 방지할 수 있었던 계기가 된 것이다.

실제 그동안의 규제사항을 잘 준수하고 지식정보보안컨설팅 업체를 통해 진단해 왔지만, 다양한 내부환경 여건을 고려해 DB 상시진단 체계를 구축한 것이 이러한 약점을 보완할 수 있었던 기회가 된 것이다.

실제 현업에서는 DB의 패치가 이루어지는 주기가 1년 이상 걸리는 경우도 많으며, 2~3년 동안 길게는 5년 이상 패치를 수행하지 않는 경우도 많이 있다. 사실 앞서와 같이 최신 해킹기법 등의 신기술을 막는 것이 아닌 지속적인 관리 및 취약점 진단 체계를 구축함으로 인해 관리가 필요한 영역을 감시/감독하고 직접적으로 공격을 당할 수 있는 취약점을 빠르게 사전 확인해 즉시 조치를 해야 한다.

마지막으로 보안은 각종 규제사항을 지키는 것이 최종 목표가 아닌 최소한의 기본임을 인지하고 지속적으로 위협요소를 빠르게 식별하고 적절히 통제하는데 목표가 있다. 이를 통해 공격 및 이상 이벤트의 발생위험을 감소시켜 허용 가능한 수준으로 최소화해야 하고 이와 같은 보안활동을 통해 혹시나 발생할 사고의 가능성을 줄이고 피해 발생시 피해를 최소화해야 한다.

(허효승 소프트와이드시큐리티 부장/herstar@softwidesec.com)

A-2. 씨티그룹의 데이터센터내에서 불법적인 무선 기기를 차단하기 위해 무선침입방지 시스템(WIPS)을 구축해 365일 24시간 무선기기의 탐지 및 모니터링을 하고 있다. 불법 무선기기로 확인된 디바이스 탐지 시 보안담당자에게 이메일로 관련 로그 기록을 전송해 허가된 작업자 및 디바이스가 아닐 경우 무선침입방지 시스템을 통해 즉시 차단하고 있다.

(강승일 퓨쳐시스템 과장/steve@future.co.kr)

[김태형 기자(boan@boannews.com)]