• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

박성진 농협중앙회 IT지원분사 정보보호팀 계장 "인터넷뱅킹 서비스 AAA" 2007.06.18

주기적인 컨설팅과 안전진단ㆍ모의해킹 등 실시

문서상이 아닌 실질적 보안 프로세스 실현


2003년 금융권 최초로 ISMS 인증을 획득한 농협이 올해 3월부터 5월말까지 스톡피아에서 실시한 인터넷뱅킹 서비스 평가에서 ‘AAA┖등급을 획득해 최우수 인터넷뱅킹 서비스 업체로 선정됐다.


이번 평가는 개인고객을 대상으로 인터넷뱅킹 서비스를 제공하는 국내외 총 17개 은행을 대상으로 실시됐으며, 3개월간 전문 모니터링 요원들이 체크리스트를 작성해 평가를 했다. 서비스의 질과 안전성에 대한 평가가 주를 이루었다.


박성진 농협중앙회 IT지원분사 정보보호팀 계장은 “2004년에 금융권 최초로 보안 전담 인력 조직을 구성했고 문서상으로만 존재하는 보안이 아닌 실제로 업무에서 반영되는 실질적인 보안 프로세스를 가동하고 있다”고 말했다.<사진. 박성진 농협중앙회 IT지원분사 정보보호팀 계장 ⓒ보안뉴스> 


농협은 현재 9명의 보안전문 직원이 정보보호를 담당하고 있다. 2003년 정보보호 마스터플랜을 구축하면서 전담부서의 필요성을 인식하고 이듬해 전담조직을 구성해 정보보호에 주력해 왔다고 한다. 문현철 정보보호 팀장은 “모든 신규 프로젝트에 반드시 보안성 심의 절차를 거치게 돼 있다. 프로젝트 기획단계에서부터 사전 정보보호 요건을 점검하고 보안관점에서 프로젝트를 진행하고 있다”고 강조했다.


특히 외부 보안컨설팅 기관으로부터 주기적인 컨설팅을 받고, 매년 안전진단, 취약점 진단 및 모의해킹을 실시하며, 또한 자체적으로 분기에 1번꼴로 취약점 점검을 네트워크 측면과 애플리케이션 측면 등으로 실시하여 다각적으로 보안진단에 신경을 쓰고 있다.


박성진 계장은 “예전에는 웹서버 공격위주였는데 지난해부터는 서버보다는 해킹 트렌드가 바뀌면서 금전을 목적으로한 PC단 공격이 주를 이루고 있다”며 “상황에 맞는 대책방안을 세워 공격에 대응하고 있다”고 밝혔다.


웹서버에 대한 공격대응은 IPS, IDS, 방화벽 등 일반적인 네트워크 보안 장비로 방어를 하고 있고 고객 PC보안을 위해서는 키보드보안과 해킹툴방지를 위한 개인 PC방화벽, 악성코드치료 등을 서비스하고 있다.


특히 모의해킹시에 혹시나 해킹툴들이 고객 PC에 서비스되고 있는 보안툴들을 무력화 시키지 않나 지속적으로 테스트를 하고 있으며 문제발생시 공급사에 즉시 연락해 수정을 요구하고 있다고 한다.

 


문현철 팀장은 “보안솔루션만 도입했다고 해서 보안이 이루어지는 것이 아니기 때문에 공급사에만 의지하지 않고 자체적으로 모든 취약점을 점검하고 이상이 있을 경우 즉각적인 대응을 하고 있다”고 말했다. 또한 고객 정보보호를 위해 모든 통신구간의 데이터들이 암호화 돼 있고 고객 PC에 정보가 노출되지 못하도록 차단하고 있다. 혹시라도 있을 웹해킹을 방지하기 위한 조치라고 한다.


농협도 그동안 크고 작은 보안 사고가 없었던 것은 아니다. 올해 국민은행과 농협 인터넷뱅킹을 사칭한 피싱사고가 발생하여 사고 처리에 많은 어려움이 있었으며, 향후 철저한 피싱 방지대책을 세우는데 주력하고 있다.


안전한 전자금융거래를 위해 OTP와 HSM에 대한 서비스 준비도 마쳤다. OTP는 두 전문 업체의 제품을 사용하고 있으며, 공인인증서는 HSM 시스템을 도입해 안정성을 극대화 할 예정이다. OTP는 지난해 12월부터 도입했으며 HSM은 공인인증서를 안전하게 저장하는 매체로 공인인증서의 위ㆍ변조와 복사와 복제를 방지하는 장치다. HSM은 오는 6월말부터 7월 초정도에 서비스할 예정이라고 한다.


내부정보유출에도 대비를 하고 있다. 삼성SDS에서 개발한 PC보안 프로그램으로 각종 저장매체와 네트워크를 차단하고 있으며 전 직원 PC의 보안 기본 설정을 강제화하고 있다. 보안패치나 보안설정 등을 개인이 임으로 설정할 수 없고 중앙에서 관리를 하는 방법으로 전체 보안상황을 유지하고 있다.


또한 일반 직원이 중요 데이터망에 접근할 수 없다. 망 자체가 물리적으로 운영과 개발로 분리돼 있기 때문에 업무상 접근을 하려면 사전승인을 받아야 가능하다. 또 DB에 접근한 모든 작업은  로그로 남게 된다. 이상 징후가 발견되면 알람이 뜬다. 박 계장은 “현재 사내 인사정보에 DB접근 모니터링을 실시하고 있다.


모든 접근 정보가 로그로 남게 된다. 이 프로그램은 앞으로 고객 DB에도 적용해 보안을 더욱 강화할 방침”이라고 밝혔다. 현재 정보보호팀 9명 중 3명의 CISSP, 1명의 CISA를 취득한 상태고 올해 3명이 추가로 취득예정에 있다.


목표는 전직원이 CISSP를 취득하는 것이라고 한다. 박성진 계장은 “농협 인터넷뱅킹을 이용하는 인구만 550만여 명에 달한다. 또 영업점만 해도 5000여개에 직원만 해도 7만여 명이다. 거대한 조직에 일관된 보안 프로세스를 적용할 수 있도록 노력하고 있다”며 “특히 직원들의 보안의식을 높이기 위해 더욱 노력하겠다”고 밝혔다.

[길민권 기자(reporter21@boannews.com)]


<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>