[인터뷰] 강 신 코스콤 인프라본부 본부장·CISO/CPO

정보보호를 거버넌스의 관점에서 재평가하고 실행해야

[보안뉴스 김태형] 국내 30여개가 넘는 증권사 IT 시스템을 위탁관리하고 있으며 증권사의 비즈니스를 서포트하고 있는 코스콤은 국가보안 목표시설 ‘나급’인 만큼 보안도 매우 중요하다.

▲ 강 신 코스콤 인프라본부장은 “코스콤이 기존에는 증권사의 비즈니스를 서포트했다면 이제는 IT트렌드의 변화에 따라 증권사의 비즈니스 인프라를 서포트해야 한다”고 말했다.

지난 7월 코스콤의 인프라본부장 및 CISO·CPO로 부임한 강 신 본부장은 “코스콤 인프라본부는 금융ISAC 업무를 통해 증권사의 통합관제·취약점 평가·분석 및 컨설팅, 침해사고 대응 등의 업무를 하고 있다”면서 “기존에는 증권사의 비즈니스를 서포트했다면 이제는 IT트렌드의 변화에 따라 증권사의 비즈니스 인프라를 서포트해야 한다고 생각한다. 이를 위해서 정보보호를 거버넌스의 관점에서 재평가하고 실행해 나갈 것”이라고 강조했다.

코스콤 금융ISAC(FSISAC)은 회원사의 해킹이나 컴퓨터 바이러스 등 사이버테러와 정보침해에 효과적으로 대응하기 위한 서비스 체계로 사이버 테러 취약점과 침해요인, 대응방안에 관한 정보를 가입기관에 제공하고, 침해사고가 발생했을 때 실시간으로 정보와 분석업무를 처리하는 ISAC(정보공유분석센터) 업무를 수행한다.

강 본부장은 “코스콤 인프라본부의 업무는 두 가지로 사내 인프라 운용과 인프라 사업이 있다. 사내 인프라는 회사 내부 네트워크, 및 내부의 전자적 침해 정보보호 전체 업무에 대한 취약점 분석 업무를 수행한다”면서 “또한 인프라사업 부문은 증권망, 증권사의 본점 및 지점망의 네트워크 서비스, 전자인증, 금융ISAC, 전자인증, #메일 서비스 등을 하고 있다”고 설명했다.

최근 금융 기관 해킹과 정보유출 사고가 사회적 문제로 떠오른 가운데 증권회사나 증권관련 시스템도 예외는 아니다. 올해 개최된 한 포럼에서는 증권사 HTS(Home Trading System, 홈 트레이딩 시스템) 취약점을 이용한 해킹 시연도 있었다.

이에 대해 그는 “금융관련 보안 사고는 올해만 국한된 것은 아니다. 기존에도 지속적인 공격과 위협이 존재해왔다. 최근 금융업계의 보안위협은 디도스 공격과 APT 공격, 고객정보 대량 유출 등이 최대 이슈다. 하지만 다행스럽게 증권업계에는 이러한 사고가 없었다”면서 “이는 증권사들이 자체적인 보안관리를 철저히 했을 뿐만 아니라 공격자들에게 은행이나 카드사에 비하면 덜 매력적이기 때문인 것 같다”고 말했다.

특히 증권사들은 내부적으로 보안위협에 대한 대응이 잘 되어 있다. 특히 디도스 공격에 대해서는 탐지 및 차단이 가능하도록 시스템이 갖춰져 있다. 이는 금융ISAC 아래 단일 방어망을 통해 구축했기 때문이다. 또한 지난해 7월 금융당국이 발표한 금융전산보안 강화 종합대책에서 카드사에 한정되어 있던 FDS 구축을 증권사와 은행으로 확대해 올해까지 도입하라는 권고도 한 몫을 했기 때문.

이어서 그는 “지금은 예전처럼 금융회사들이 무방비로 보안 침해를 당하진 않을 것이다. APT 공격도 금감원의 금융회사 전산센터의 망분리 의무화, 그리고 내년부터 전체 의무화 가이드에 따라 APT 공격 피해를 최소화하고 있다. 코스콤도 AP공격에 대응하기 위해서 서서히 단계적으로 추진하고 있다”고 말했다.

또한 정보유출 방지를 위해서 코스콤은 고객정보에 대한 암호화를 실행하고 있다. 일부는 완료됐고 올해 말까지 모두 완료된다는 것. 그리고 출입통제 강화 및 매체 제어, 협력사 아웃소싱 부분과 망분리, 내부 업무 프로세스 변경, 고객정보 테스트 데이터 접근 차단 등을 통해 보안을 한층 강화해 왔다.

강 신 본부장은 “현재도 증권시스템에 대한 공격 시도는 상당히 많다. 하지만 대부분이 이와 같은 보안 시스템과 정책으로 차단되고 있어 큰 영향을 미치지 못한다. 이처럼 내부 시스템에 대한 침해 시도는 어쩔 수 없지만, 침해 시도가 있어도 이를 이겨낼 수 있는 힘이 중요하다”면서 “코스콤은 ISAC 업무활동을 통해 침해사고 위협 분석 결과를 고객에게 제공해 준다. 또 ‘시큐인사이드’와 같은 보안 컨퍼런스와 해킹대회를 통해 국내외 화이트해커들의 새로운 해킹 기법 및 공격 경향을 파악하고 이에 대응하는 부분에 활용하고 있다”고 설명했다.

이처럼 코스콤은 웹 취약점에 대한 분석과 취약점 대응 활동을 통해 공격을 막을 수 있는 힘을 기르고 있다. 이 밖에도 코스콤은 재해·재난에 의한 리스크 발생 시 대응체계도 해킹 및 정보유출 만큼 중요하게 생각하고 대응체계를 마련하고 있다.

이를 위해 모든 시스템에 DR(Disaster Recovery:재난복구) 시스템을 갖추고 있고 전면적이진 못하지만 부분적으로 BCP(Business continuity Planning: 업무 연속성 계획)도 갖추고 물리적 재해·재난에도 대비하고 있다.

국가 보안 목표 시설 ‘나급’인 코스콤은 일반 금융회사보다 굉장히 높은 등급의 국가보안 목표시설에 속한다. 이에 코스콤은 위기대응 매뉴얼과 체계를 갖추고 모든 시스템과 조직을 구성하고 있다. 또한 주기적 재해복구 및 디도스 모의 훈련을 진행하고 있으며 매년 취약점 분석 평가 활동을 하고 있다. 이는 물리적 부분과 재해재난 등을 포함해 진행된다.

코스콤은 또 올해 전사 보안 컨트롤타워를 정립해 실질적인 CISO(정보보호최고책임자) 중심의 조직 정비 및 책임 부여, IT보안과 일반 보안의 일원화를 통해 체계적인 위기 대응 조직을 구성할 계획이다.

이에 대해 강 본부장은 “이 부분에 대해서는 내부적으로 계속 연구 중이다. 우선 내부정보보호 체계를 갖추고 CISO 역할과 체계를 엮어서 보안책임관 제도를 운영하고 있다. 또한 IT보안부문과 물리적 침해에 관한 부문인 보안관리실로 이원화되어 있는데 물리적 보안부서와 IT 보안부서의 조직 통합은 올 하반기에 가시적인 성과가 나타날 것”이라면서 “이를 통해 체계적이고 단일화된 위기 대응 조직을 구성할 것”이라고 말했다.

올해 카드사 고객정보 유출 사고를 보면 증권사도 마음을 놓을 수 없다. 증권사의 보안에서 가장 중요한 것은 보안전문 인력과 이를 기반으로 한 위기대응체계 및 시스템을 갖추는 것이다.

강 본부장은 “은행이나 카드사의 침해사고는 고객정보 및 계좌 탈취 등이다. 증권사의 경우, 타 금융사와 달리 전자거래가 상당히 활성화 되어 있다. 전체 거래의 50%가 HTS를 통해 이루어지고 있고 전체 거래의 20%가 MTS(Mobile Trading System)을 통해 이루지는 만큼 전자거래에 대한 침해, 즉 메모리·전송 데이터 변조, 리버스엔지니어링을 통한 사이트 변조 등과 같은 침해 우려가 크다”면서 “증권사들의 리스크 대처 자체가 향후 증권사 경쟁력을 좌우한다. 이에 더해 감독 기준 이상의 노력이 필요하다. 그러기 위해서는 보안인력을 충분히 확보해 취약점에 대응해야 한다”고 강조했다.

특히 코스콤은 증권사의 HTS·MTS의 취약점 점검 및 FDS 공동센터 등과 같은 부분을 지원할 수 있다. FDS의 경우, 증권사 개별적인 것 보다는 공동 센터를 구성해  상거래에 관한 새로운 패턴을 반영해 업그레이드해야 하고 해당 정보를 서로 공유할 필요가 있다는 것.

코스콤은 보안강화를 위해 인력 및 시스템 등 최대한 노력하고 있다. 하지만 보안은 100번 잘해도 1번 잘못하면 다 잘못했다는 평가를 받은 것이 보안이다.

 

이에 대해 강 본부장은 “침해사고의 수준은 갈수록 더 높아 질 것이기 때문에 지속적인 투자와 연구·개발은 필수”라면서 “코스콤이 올 하반기부터 준비하는 것이 정보보호를 각 사업부 안에 더 친밀하게 강화할 수 있도록 하는 것”이라고 설명했다. 덧붙여 그는 “이를 위해서 보안전문가를 지속적으로 육성하고 업무 관리자들의 주요 평가기준 및 갖추어야 할 것 중에 하나로 보안에 대한 마인드가 어느 정도인지와 보안에 대한 기술의 이해를 위해 적정한 투자와 교육을 진행할 것”이라고 설명했다.

코스콤은 회사 창립 이후 증권사의 비즈니스를 서포트 하는 역할을 수행해 왔다. 하지만 그동안 트렌드가 바뀌고 IT 기술이 일반화 되어 증권사들은 이미 자체 능력을 확보하고 있다. 이에 코스콤은 역할의 변화가 필요하다.

 

이제는 코스콤이 증권사의 비즈니스 인프라를 서포트하는 작업을 해야 한다는 것이 강 본부장의 생각이다. 또한 정보보호를 거버넌스의 관점에서 재평가하고 실행하고 이를 업계로 확산시켜 증권사 정보보호 체계 및 시스템의 변화를 지원해 나갈 것이라고 강조했다.

한편, 강 신 본부장은 현재 한국정보화진흥원의 전신인 한국정보문화센터를 시작으로, 1987년 코스콤에 프로그래머로 입사했다. 코스콤에서 시스템 개발 및 PM업무를 담당했고 1999년도부터 2004년까지는 전자인증 관련 업무를 담당했다. 그리고 나서 경영기획 업무와 마케팅, 해외사업 등을 두루 거쳐 현재 코스콤 인프라본부장 및 CISO/CPO를 맡고 있다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>