“차세대 시스템 완성되면 깨끗한 보안 가능할 듯”

취약점에 대한 근본적인 대책을 마련하고자 함이었다. 또 프로세스 체계를 수립하는 것도 필요했다. 여기에 적당한 솔루션이 없을까 찾아봤다. 인터넷 해킹이나 크랙은 웹의 허점이나 거래의 허점을 공격하는 것이 트렌드이다. 현재로선 웹 방화벽이나 웹 스캐너가 대안인데 이 방법을 사용하다보니 악순환이 반복됐다. 장비로 문제를 해결하는 건 한계가 있고 여러 취약점에 일일이 대응하기 어려웠다. 또 개발자들은 장비에 대한 기대감 때문에 신경을 덜 쓴 상태에서 개발에 임한다. 스캔을 돌리면 문제가 나올 것 같지만 운영 중 시스템을 내리거나 수정하는 건 매우 어려운 일이다. 그래서 웹 취약성 분석 솔루션이 필요했다.

웹 취약성 분석은 어떤 프로세스를 통해서 이루어지나.

지난 2000년 인터넷 뱅킹을 오픈한 이후 악순환이 반복된다. 주로 외주에 의존해 프로그램을 짜는데 코어에 대한 부분은 인수 단계에서 받기도 한다. 잘못 짰다고 처음부터 다시 하기란 쉽지 않다. 그래서 급한 것만 막고 가는 경우가 많다. 근본적인 태생부터 장애를 가진 상태에서 출발하는 것이다. 소스코드 단계부터 제대로 된 프로그램을 만들어보자는 게 취지였다. 소스에서부터 제대로 올리면 문제가 줄어들겠다고 판단했다. 웹 프로그래밍 프로세스에 형상관리 툴이 있는데 소스에 취약점이 발견되면 포티파이 서버에서 아예 형상관리로 올라가지 못하게 한다. 그리고 개발자들의 노트북에도 클라이언트용 소프트웨어를 깔아준다. 사람이니깐 실수할 수 있기 때문에 중복으로 체크하기 위함이다. 또 한 가지로, 단위 프로그램 상에서는 취약점이 없었는데, 전체 프로그램으로 통합하고 나면 엮이는 취약점이 간혹 있다. 이 문제를 해결하기 위해 하나은행은 매일 새벽 두시에 전체 소스를 다운로드 받아서 아침 8시부터 전수조사를 함으로써 승인이 되지 않으면 다음 단계로 넘어가지 못하도록 하고 있다. 프로그램 단위로 통과가 되면 새벽에 또다시 연계성 테스트를 실시한다. 또 한 달에 한번씩 모의 해킹을 함으로써 개발자들의 문제점을 파악하고 있다.

웹 취약성 분석 솔루션 구축 일정은?

지난해 8월부터 시작해서 올해 1월에 작업이 끝났다. 전수조사에만 3개월이 걸렸고 이후 요건 분석, 커스터마이징 등의 과정을 거쳤는데 체계를 만드는 게 중요해서 시간이 오래 걸렸다. 지금까지 정의된 취약점은 모두 솔루션 안에 포함되어 있다. 그렇다고 거기에 의존한다는 건 아니다. 크로스 체킹하는 게 중요하다. 리소스 자체를 클린하게 한다는 데 의미가 있다. 또 다른 취약성 점검과 연계하면 시너지 효과가 더 날 것으로 보인다.  그리고 솔루션을 설치한다고 모든 취약점들이 한꺼번에 없어지는 것은 아니다. 적용 단계를 지속해서 밟아 나갈 것이다. 차세대 시스템이 완성되면 정말 깨끗한 상태의 소스코드가 만들어질 것으로 확신한다.

내부 문서보안 솔루션 구축은 어떻게 진행됐나.

2002년에 문서 보안을 구축했는데 타행보다 빨리 시작했다. 내부 정보자산 유출 방지에 대한 필요성이 그 이유다. 업무에 대한 결과물, 계정계가 아닌 정보계 사용자의 접근 통제에 대한 필요성이 제기됐다. 또 지난해에 지주사로 전환되면서 내부 문서보안 솔루션의 업그레이드를 했다. 완전히 바꾼 것이며, 지주 하에서 문서 전체를 하나로 다 볼 수 있도록 만들었다. 이런 부분은 국내 은행권 중에서 가장 잘 된 것으로 안다. 지주까지 문서보안 컨트롤 할 수 있는 건 하나은행이 유일하다.

내부 정보 유출 방지 솔루션의 구축 의미는?

정보의 공유가 많은데 이를 한 곳에서 통제할 수 있는 툴이 갖춰졌다는 데 의미가 있다. 내부적으로 통제할 수 있는 최소한의 방책을 마련했다. 14개 업무(정보계)에 이 솔루션이 구축되어 있다. 고객 정보나 중요 정보를 다루는 업무는 모두 문서보안. CRM이나 검사 정보, 인사, 컨설팅 등도 문서보안을 걸어놓았다. 설령, 가지고 나갈 수는 있는데 볼 수가 없다. MS오피스, 한글, PDF 등 문서의 90% 이상은 다 지원된다.