본문 바로가기

현장속으로

[2017년 전망, 금융 IT Innovation 컨퍼런스] 고도화 되어가는 사이버 위협환경에 2017년 IT 대응전략은?

출처 : http://seminar.ddaily.co.kr/seminar21/

<디지털 데일리 컨퍼런스 소개 페이지 메인>

 

 

지난 12월 15일(목) 오전 9시 10분부터 오후 5시 20분까지 약 8시간 동안 서울 중구에 위치한 서울 플라자호텔 그랜드볼룸에서 인터넷 IT 언론지 디지털데일리가 [2017년 전망, 금융 IT Innovation]을 주제로 제12회 컨퍼런스를 개최했다. 핵심주제로 '금융서비스 고도화 시대와 효율적인 IT 대응전략'으로 정해 금융권의 최신관심사를 중심으로 논의할 계획이라고 밝혔다. 또한, 2017년 금융감독 방향과 금융서비스의 질적 성장을 위해 디지털라이제이션, 클라우드, 빅데이터, 차세대시스템 플랫폼 등 최신 금융 IT 트렌드를 기업 간 공유하고, 폭넓은 마케팅 기회의 장으로 마련하고자 주최했다.

 



행사에 참여한 국내외 기업들의 전시부스는 발표장에 들어서는 복도에 나란히 마련되어있었다. 전시부스에서는 기업에서 가져온 금융IT 기술 전시하고 시연 영상을 보여주는 등 금융 IT 종사자들을 끌어모았다. 종사자들의 질의에 대답해주며 설문조사를 진행하는 등 다양한 활동이 이루어졌고 복도는 그야말로 금융 IT 소통의 장소가 되었다. 

 


[클라우드 정보보호 컨설팅 수행 전략] - 안랩 장진섭 책임

 

 

안랩에서는 클라우드 정보보호 컨설팅을 주제료 발표했다. 클라우드 보안 위협은 데이터, 시스템/네트워크, 관리적 위협으로 분류하고 Gartner와 RSA 그리고 CSA 곳에서 실제로 발표한 취약점을 세부 위협항목으로 식별하게 된다. 클라우드 보안위협 환경에서는 기존에 있던 보안 위협과 클라우드 환경에 특성화된 위협이 존재한다. 그리고 클라우드 서비스는 제 3자가 제공하는 클라우딩 자원을 사용하고 자원을 자신이 통제하지 못하기 때문에 클라우드 서비스 제공자로부터 발생하는 관리적인 위협과 클라우드에 관한 법령 및 규정 준수가 위협으로 다가오고있다.

클라우드 보안 사고·사례를 보면 클라우드 서비스의 멀티테넌시의 특성으로 인한 관리 부주의, 고객정보 집중화로 인한 대규모 서비스 장애 그리고 클라우드 서비스 악용 및 해킹, 외부적으로 DDoS 공격으로 유형을 분류할 수 있다. 실제로 이렇게 발생하는 클라우드 보안 사고·사례를 방지하기 위해서 클라우드 인증에 대한 제도들이 개발되고 운용되고 있다.

국외 클라우드 정보보호 인증제도

국외 클라우드 인증제도는 클라우드 서비스를 제공하는 Provider, 클라우드 서비스를 사용하는 Customer 모두 적용대상이다. 적용되는 클라우드 서비스 모델은 하드웨어 자원을 제공해주는 IaaS(Infrastructure as a Service), 소프트웨어 개발을 위한 플랫폼을 제공하는 PaaS(Platform as a Service), 클라우드 환경에 동작하는 응용프로그램을 제공하는 SaaS(Software as a Service)이다. 클라우드 정보보호에 적용되는 국외 클라우드 인증은 ISO27017과 CSA(Cloud Security Alliance) STAR가 있다. 클라우드 개인정보보호 관련 인증으로는 ISO27018과 금융 관련 클라우드 인증제도로 PCI-DSS가 존재한다. 

국내 클라우드 정보보호 인증제도

국내 클라우드 정보보호 인증제도는 클라우드 발전법을 기준으로 시작되었다. 국내 공공 클라우드 인증제도의 적용대상은 IaaS 민간사업자 대상으로 운용되고 있다. 클라우드 모델의 경우 IaaS로 적용되는 클라우드 서비스 모델 하나이다. 클라우드 정보보호 인증을 받기 위한 조항이 존재하는데 국외 인증제도인 ‘ISO27017’과 유사한 14개의 조항을 가지고 있다. 이 조항 중에 14번째 조항인 공공기관에 특화된 조약을 통과하기 가장 어렵다. 14번째 조항을 통과하기 위해선 물리적 망분리가 요구된다. 즉, 민간과 공공기관은 별개의 클라우드 시스템이 구축되어야만 인증을 받을 수 있다. 

ASEM 안랩의 독자적 정보보호 컨설팅 방법론

클라우드에 관련된 모델 특성들을 분석하고 발생할 수 있는 리스크를 식별해 이에 맞는 대책을 제시하는 것이 클라우드 정보보호 컨설팅이다.
클라우드 구축모델인 Public, Private/Community, Hybrid를 기준으로 실질적인 특성을 분석한다. 그리고 클라우드 서비스 모델이 IaaS,PaaS,SaaS 중 무엇인지 파악한다. 클라우드 구축과 서비스모델에 따라서 통제항목에서 요구되는 사항이 달라지기 때문에 클라우드 모델을 분석한 후 보안위협에 맞추어 COMPLIANCE 모델을 적용해야 한다. 실제로 클라우드 구축모델과 서비스모델을 분석하고 취약점을 찾고 발생할 수 있는 리스크를 분석하는 것이 클라우드 컨설팅의 핵심이다.

안랩은 클라우드 컨설팅을 위해서 독자적인 방법론인 ASEM(AhnLab Security Engineering Method)을 적용했다. ASEM은 계획수립-위험분석-대책수립-구현/관리로 구성된 방법론이다. ASEM 방법론을 통해서 AhnLab은 안랩 클라우드 정보보호 컨설팅 서비스를 실시했다.
클라우드에 리스크를 식별 및 평가하고 보안대책을 수립을 통해 안전한 클라우드의 이용과 제공에 기여한다. 클라우드 모델·유형별 IT 현황분석, 보안 취약점, 위협, 위험분석을 수행하고 보안대책을 수립하는 특징을 가지고 있다. 주요서비스로 Compliance, 정보보호인증, 모의해킹 및 시스템진단이 있다. 

안랩 클라우드 컨설팅 프로젝트는 다양한 클라우드 모델과 유형을 분석 - 관리적/기술적 취약점 진단 - 위험분석 - 보호 대책수립 순으로 수행된다. 특별히 위험분석은 비대칭적으로 수행하게 된다. 위험을 식별하고 위험처리전략을 세우게 된다. 예를 들어 클라우드를 구축을 도입하는 부분에서 너무 리스크가 크고 법률적이 문제가 크게 되면 위험을 회피하는 전략을 수립한다. 즉, 기존의 클라우드 모델을 차용하지 않고 다른 클라우드 모델을 이용하면서 위험을 회피하는 전략이다. 하지만 이 위험을 감수할 수 있다면 여러 가지 보안통제를 통해서 위험을 감소하는 전략을 수립한다.

 

 

[마치며...]

<컨퍼런스 발표장 그랜드볼룸>

 

많은 IT발전으로 금융 서비스는 우리의 삶속에 편리하게 다가와 인터넷을 통한 간편결제 및 은행업무가 가능하고 디지털 서명으로 서류가 아닌 IT 기기만으로 계약서를 장석하는 등 다양한 플랫폼으로 고도화된 금융 서비스를 제공했다. 이에 따른 지능적이고 고도화된 표적공격, 랜섬웨어, 신종 악성코드 같은 요소가 막대하게 증가하는 환경으로  대책을 수립해야한다. 따라서 IT 보안환경에 대해 개인과 기업, 국가적인 측면에서 관심을 가지고 안전하고 편리한 금융 IT시대를 준비해야 할 것 같다.