하나은행이 차세대 시스템 구축을 위해 분주히 ‘뛰고’ 있다. 2000억 원 규모에 달하는 하나은행의 차세대 시스템 구축 프로젝트는 지난해 구축 계획을 확정, 지난 5월 30일 LG CNS를 주사업자로 선정하면서 더욱 박차를 가하고 있다.

2009년 2월 차세대 시스템 구축 프로젝트가 끝나면 하나은행은 하나금융그룹 전체를 아우르는 최첨단 허브시스템으로 재탄생할 것으로 보인다. 차세대 시스템 구축이라는 큰 밑그림 하에서 진행되고는 있지만 한 발짝 앞서 진행되고 있는 분야도 있다. 바로 보안시스템이 그것.

지난 2002년 내부 문서보안 구축을 완성한 데 이어 올해 초에는 웹 취약성 분석 프로세스 구축을 완료, 어느 은행보다 잰걸음으로 앞서 나가고 있다. 한마디로, ‘뛰는 시스템 위에 나는 보안’인 셈이다. 하나은행의 발빠른 보안시스템 구축 실적은 타 행의 모범사례로서 손색이 없다.

웹 취약성 분석·내부 문서보안 솔루션

국내 최초의 민간 금융기관인 하나은행의 역사는 한국투자금융에서부터 시작된다. 지난 1971년 한국투자금융으로 출발, 이듬해 주식을 상장하고 증권업을 겸영했고 1991년 은행업 인가를 받아 상호를 현재 이름으로 변경, 업종을 전환했다. 1998년엔 퇴출된 충청은행을 인수하고 1999년 보람은행과 합병, 2002년 서울은행과 합병했다.

2003년엔 하나생명보험을 설립했고, 2004년엔 중국 청도국제은행을 인수했다. 그리고 2005년 12월 하나금융지주를 출범시켰다. 하나금융지주는 현재 자회사로 하나은행, 하나증권, 하나생명, 하나캐피탈, 하나금융연구소, 하나아이앤에스, 대한투자신탁운용, 청도국제은행 등을 두고 있다.

 

금융권 ‘차세대’ 구축 바람...하나은행 ‘선전’

금융권의 차세대시스템 구축 사업이 올해 들어 활기를 띠고 있다. 현재 하나은행의 차세대시스템 구축을 중심으로 국민은행, 대신증권 등이 차세대 시스템 구축 청사진을 제시하고 있고 지방의 대형 은행들도 올해 안에 분위기에 합세할 것으로 보인다.

은행권에서는 우리은행, 외환은행, 기업은행 등이 차세대 프로젝트를 완료했고, 하나은행과 농협은 차세대 프로젝트를 한창 진행 중이다. 여기에 국민은행까지 가세함으로써 모든 은행권이 차세대 시스템 구축을 진행하고 있다고 해도 과언은 아니다. 이 같은 금융권의 공통된 행보는 오는 2008년부터 실시되는 자본시장 통합법 시행을 앞두고 급변하는 금융환경의 변화에 미리 대비하기 위한 것으로 분석된다.

LG CNS를 주사업자로 선정한 하나은행은 시스템 구축 및 코어뱅킹 솔루션 개발 사업자 선정 등을 마무리한 후 오는 7월부터 계정계와 정보계 일부 업무를 포함한 차세대 시스템 개발에 나설 계획이다. 하나은행이 올해 추진하게 될 주요 차세대 시스템 프로젝트는 △상품처리시스템 구축 △MCA(멀티채널아키텍처) △고객정보 통합 △EAI(전사애플리케이션 통합) △통합 인터넷뱅킹 시스템 구축 등이다. 재해복구센터 구축, 그룹웨어 및 지식관리시스템(KMS) 도입 등도 올해 추진할 것으로 알려졌다. 최근에는 차세대 프로젝트에 앞서 PMO 사업자로 액센츄어를 선정, 힘찬 출발을 알리기도 했다.

또 하나은행은 차세대 시스템 구축과 관련, EAI 솔루션 사업자로 BEA시스템즈를, UMS 솔루션 사업자로 브리지텍을 선정했다. EAI와 UMS 구축은 올해 말 완료를 목표로 진행하고 있다. 코어뱅킹 프레임워크 사업자의 경우 티맥스소프트와 협의 중이다. 하나은행은 2009년 5월 차세대 시스템을 개통한다는 목표다.

사실 하나은행의 차세대 시스템 구축 프로젝트는 다른 은행들보다 늦지만 그렇다고 뒤쳐진 것은 아니다. 국내 은행권 가운데 최초로 구현한 IT 거버넌스가 대표적인 경우. 지난 2005년부터 시작된 하나은행의 IT거버넌스 프로젝트는 IT PPMS 구축과 IT 관리포털 구축을 시작으로 올해 2단계로 ITSM 시스템 구축과 IT거버넌스 지원시스템 구축을 진행 중이며, 오는 2009년부터는 3단계로 시스템 고도화를 통한 SLA 기반의 IT 서비스를 제공한다는 계획이다. 이 경우에서 보듯 하나은행은 각 부문별 발빠른 대응으로 은행권의 IT시스템을 선도하는 역할을 하고 있다.

KB국민은행의 경우 차세대 시스템 구축에서 다른 은행보다 다소 출발이 늦은 편이다. 국민은행은 향후 5년 동안 차세대 시스템을 구축한다는 계획 아래 최근 프로젝트에 본격 착수했다. 차세대 시스템 구축은 은행권 외에 증권, 보험 등으로 확산되는 분위기. 대신증권, 증권선물거래소, 대우증권, 삼성증권 등이 차세대 시스템 구축에 착수했는데, 대신증권 프로젝트의 경우 SK C&C-현대정보기술 컨소시엄, 대신정보통신-LG CNS 컨소시엄, 그리고 티맥스소프트 등 3곳이 경합을 벌이고 있다. 보험업계에서는 지난해 현대해상화재를 시작으로 올해는 LIG손해보험이 차세대 프로젝트를 추진 중에 있다.

웹 취약성 조기 발견으로 안정적 운영

“웹 애플리케이션 보안에 대한 논의는 2006년 초부터 시작됐다. 올해 1월부터 전자금융법이 시행됐는데, 외부적인 요소에 대한 규제가 시작되기 전에 준비하고자 함이었다. 또한 바젤II나 서베인 옥슬리법 등으로 인해 내부 통제의 필요성도 있었다. 또 다른 이유 중의 하나는 정보자산을 보호하기 위함이었다.” 정의석 하나은행 전산운영부 네트워크 보안팀장은 웹 취약성 분석 솔루션 도입 배경에 대해 이같이 전했다.

은행들은 상용화된 일반 소프트웨어 패키지를 그대로 쓰는 경우가 거의 없다. 은행 내의 거의 모든 소프트웨어 프로그램들은 개발하거나 일반 패키지를 커스터마이징한 것들이다. 개발의 경우 과거엔 대부분 자체적으로 개발했지만 최근엔 점차 외부 개발업체에 아웃소싱으로 맡기는 비율이 늘고 있다. 은행 내 전산담당 직원들은 개발보다는 관리와 운영을 위한 인원이라고 해도 과언은 아니다.

은행들이 이처럼 개발을 외부 개발업체에 의존하다보니 커뮤니케이션의 부족으로 애초에 계획했던 만큼의 결과를 기대하기란 매우 어렵다. 그렇다고 은행의 업무가 인터넷 뱅킹 등의 활성화로 365일 24시간 계속되는 상황에 프로그램 개발을 다시 원점으로 돌릴 수도 없는 노릇이다.

또 프로그램 코딩 작업이 사람이 하는 일이라 설사 여러 오류가 발견됐다손 치더라도 시스템을 무작정 중단시켜놓고 한줄 한줄 꼼꼼히 체크한다는 것도 사실상 불가능하다. 이러한 문제점을 보완하고자 나온 것이 바로 웹 취약성 분석 툴이다. 흔히들, 소스코드 취약점 분석/점검 솔루션으로도 불리는데 웹 서비스의 지속적인 증가로 최근 금융권과 통신시장을 중심으로 수요가 증대되고 있는 상황이다.

웹 취약성은 단순히 프로그램상의 오류로 끝나는 것이 아니라 외부 해킹에도 쉽게 노출될 수 있다는 점에서 반드시 해결해야 하는 문제다. 어느 은행이나 공통적으로 안고 있는 숙제라고 할 수 있다.

하나은행은 △웹 취약성을 이용한 불법적인 침해사고를 사전에 방지하고 △웹 애플리케이션의 근본적인 취약점의 조기 발견 및 제거 △웹 애플리케이션의 개발 및 운영 프로세스 개선 △웹 취약점 점검 지침 및 개발 보안기준 가이드 마련 △웹 애플리케이션에 대한 상시/정기적인 취약성 점검체계 구축을 하고자 했다.

이에 적합한 것이 바로 포티파이(Fortify) 소프트웨어의 소스코드 분석 솔루션이었다. 국내에 포티파이소프트웨어 솔루션 총판을 맡고 있는 인터비젠 테크놀로지의 문성준 이사는 “최근 해커들의 공격이 갈수록 지능적으로 발전해가고 있는 가운데 전체 공격의 75% 정도가 소프트웨어 결함을 이용하는 것”이라면서 “인터넷 뱅킹이 확대되고 각종 웹 서비스가 증가하고 있는 금융권에서는 웹 애플리케이션의 보안 취약점을 미리 찾아내 해커의 공격을 막는데 집중해야 할 것”이라고 전했다.

이에 따라 하나은행은 포티파이의 솔루션을 적용하기로 결정했다. 2006년 11월부터 시스템 구축 및 변경관리시스템 연동 작업에 들어간 것을 시작으로 올해 6월까지 개인용 인터넷 뱅킹의 웹 취약성 점검시스템 적용, 웹 애플리케이션 업무 지침 및 보안가이드 작성, 기업용 인터넷 뱅킹의 웹 취약성 점검 시스템 적용 등을 마쳤다. 

정의석 팀장은 “소스코드 보안 취약성 분석 툴은 은행들의 공통적인 숙제였다. 개발자에 의한 사고의 개연성은 언제나 상존했다. 보통 개발서버와 운영서버를 분리해서 운영하는데 문제를 검증하고 그 다음에 운영으로 넘기는 프로세스를 밟는 게 정상이다. 개발할 때는 직원이나 외부 직원이나 동일하기 때문에 문제가 발생할 소지가 크다. 이제 이 솔루션의 적용으로 사전에 취약성을 한번 더 체크하고 나갈 수 있게 됐다”고 말했다.

 

 

내부정보 유출방지 솔루션으로 보안 강화

금융기관은 모든 산업군 가운데 가장 미션 크리티컬한 정보를 다룬다. 첫째가 돈의 정보이고, 둘째가 고객에 대한 정보다. 때문에 이들 정보가 유출됐을 경우의 피해는 상상할 수 없을 만큼 방대해질 수도 있다. 특히나 IT 기술의 발전과 더불어 정보의 형태는 종이 출력물에서 점차 전자 정보화가 되어가고 있다. 전자문서관리시스템(EDMS)이나 지식관리시스템(KMS) 등이 대표적이다.

그래서 정보유출 방지의 방법도 과거와 달리 통합적이고 유기적으로 관리되어야 한다. 금융기관의 보안 관리자는 중요 정보를 보호하고 고객 정보를 안전하게 관리할 수 있는 방안을 마련하기 위해 여러 고민들을 해야 한다. 보안 관리자들의 고민은 표1과 같다.

 

 

결국 보안관리자는 인적 보안 방안과 사용자 직무별, 직급별 문서의 보안등급 설정과 분류 체계 강화 및 이행, 그리고 중요 정보에 대한 기밀성을 높일 수 있도록 정보의 암호화 대책과 함께 중요 정보의 사후 추적 방안까지 제시해 줄 수 있는 내부정보 유출 방지 솔루션이 필요함을 절감할 수밖에 없다.

하나은행은 타 금융기관보다 빠르게 내부 정보 유출 방지에 대한 방안들을 모색해 왔으며 강력한 보안 솔루션을 통한 고객 정보보호 및 하나은행 내 중요 정보에 대한 보안 관리를 실현하고 있다.

하나은행이 내부 정보 유출 방지를 위해 소프트캠프의 문서보안 솔루션의 도입을 진행한 것은 2002년 초의 일이다. 내부자의 악의적 또는 오용에 의한 기업 내 문서 유출을 방지하며, 아울러 외부 비인가자의 접근을 불가하도록 만들어 사내외 안전한 정보 공유 및 전산 업무 환경을 제공하고 있다.

내부 정보 유출 방지 솔루션을 도입한 이유에 대해 정의석 팀장은 “은행 내에 존재하는 다양한 고객 정보의 유출로 인해 발생할 수 있는 금융 사고를 미연에 방지하기 위함이 첫 번째 이유이고, 두 번째는 기존에 구축되어 있는 EDMS나 그룹웨어 등과 같은 다양한 정보시스템과의 연동을 통한 통합 문서보안 플랫폼을 구축하기 위해서였다”고 말했다. 

 

하나은행이 구축한 내부 정보 유출 방지 솔루션은 현재 5년 이상 운영되고 있는데, 보안 관리자가 안고 있는 고민인 통합적이고 유연한 보안 정책 수립과 중요 정보에 대한 로그를 통한 관리 기능 및 사후 추적 등 중요 정보에 대한 철저한 보안 관리가 가능한 것이 장점이다.

하나은행은 임직원에 대해 업무 영향도를 고려한 문서보안 사용 환경을 제공하고, 기존에 구축된 각종 연동 시스템 및 신규 도입하게 될 업무 시스템에 대해 최적화된 보안정책을 적용했다. 또한 보안 정책을 설정할 때 외부 협력업체 및 관계사의 시스템 적용을 통해 협업 관계 시에 유연하게 대처할 수 있는 동일한 문서보안 환경을 제공했다.

이를 위해 하나은행은 통합 인사정보 연동을 위한 사용자 및 조직정보를 동기화시켰으며 사용자의 PC 내 생성문서에 대해 암호화 및 문서의 사용권한 통제를 통한 정보유출 방지를 구현했다. 또한 하나은행 내에 구축 및 운영되고 있는 연동 시스템별 사용권한 통제를 통해 보안을 강화했으며 문서의 열람 및 출력에 대한 사후 추적기능을 구현함으로써 보안 감사를 진행할 수 있는 환경을 구축했다.

[월간 정보보호21c 통권 제83호 김완선 기자(info@boannews.com)]

             

             <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>