안전한 금융 시스템 위한 또 하나의 해법 NAC

현장속으로/세미나 2013.07.18 09:03

514일 화요일, 양재엘타워 그레이스홀에서 머니투데이, 데일리시큐에서 주관한 <FPIS 2013 금융보안&개인정보보호 페어>가 개최되었다. 이 세미나에선 국내외 보안 업계 최고 전문가들이 한 자리에 모여 직접 전하는 2013년도 금융 IT 방향과 함께 금융 보안 시스템 강화를 위한 다양한 보안 솔루션들을 접하는 시간을 가질 수 있었다.

       

2009년 7.7 DDoS 대란, 올해 3.20 사태까지 심각한 보안 사고들이 연달아 발생함에 따라 각 사의 보안담당자들이 보안 업무를 수행하기에 훨씬 어려워졌다. 많은 보안 솔루션을 구비했음에도 해킹에 대한 불안과 염려는 여전히 존재한다

이 날 넷맨(NetMan)의 마정우 전략기획부장이 전한 네트워크 접근 제어(NAC)를 통한 금융사 정보보호 강화 전략은 보안 담당자들이 지닌 걱정의 무게를 덜어주는 시간이었다 그는 현재 일어나는 해킹의 주요 사례와 이를 막는 보안 시스템의 구성, 네트워크 접근 제어(NAC)을 통한 보안, 그리고 이런 솔루션들이 보안 수준을 높이기 위해 어떤 프로세스를 거치는가에 초점을 맞춰 발표를 했다. 다음은 주요 내용.

 

 해킹 

IT 시스템이 만들어지기 시작한 1980년대 초기에는 공격자의 지식과 성향이 해킹을 성공시키는 가장 큰 요소로 작용하였지만, 2000년대로 넘어와선 툴의 활용도와 툴의 강력도가 해킹의 성공 요소로 작용하기 시작하였다. 현재 해킹의 공격 도구는 점점 다양해지고 있으며 해킹의 형태는 점차 웹을 통한 오픈서비스로 발전해 나가고 있다. 1980년대 초기엔 알려진 취약점을 통한 시스템 공격이 주류를 이루었으나, 1990년대 초반부터 2000년대 들어서는 네트워크적인 공격이 주류를 이루게 되었다.

해킹의 주요 사례로는 웹서버의 각종 취약점을 이용해 웹서버 계정을 탈취한 후, 클라이언트 보안 취약점을 통한 Botnet을 구성하여 컴퓨터를 공격하는 ‘DDoS 공격부터, 사용자 PC에 이메일 주소를 이용하여 대량의 스팸메일을 전송하는 스팸 릴레이 공격,’ 또는 해당 시간에 스스로 하드디스크 파괴 악성코드를 삽입하는 ‘PC 파일 시스템 파괴 공격,’ 정보 유출을 위한 폴더 리스트, 파일 리스트를 입수하는 개인정보 유출’ 해킹이 대표적이다. 최근 발생하는 해킹은 특정 공격 기법을 사용하기보다는 가능한 모든 방법을 동원하여 특정 타깃을 노리는 여러 공격의 집합체 형태를 가지고 있다.

 

 보안 시스템

그렇다면 이런 것들을 대응하기 위한 보안 시스템들은 어떤 형태가 있는지 알아보자네트워크에는 사용자, 서버, DB, 전산자원, 단말기 등이 여러 종류의 네트워크 스위치를 통해서 구성되어 있다. 각 접점에는 방화벽, 아이패스, 개인 정보 솔루션, 문서보안솔루션과 같은 각각의 기능으로 중점화된 보안 솔루션들이 각자의 위치에서 제 기능을 수행한다

과거엔 이러한 보안 시스템간의 접점이 보안의 가장 취약점으로 여겨졌으나, 요즘에는 하드웨어적으로 많이 오픈되고 시스템이 많이 강화되면서 공통화 된 보안 기능이 점점 늘어가고 있는 실정이다. 대표적인 예로 UTM 장비의 경우, 과거 UTM은 초기에는 방화벽과 IPS의 기능이 하나의 박스 안에 들어가 있는 형태로 제한되었다

하지만 현재는 Anti-Virus나 웹방화벽, SSL VPN등 각각의 기능을 모듈로 하여 UTM 장비가 만들어져 그 박스 안에서 점차 프로세스 되면서, 하나의 패킷이 안전하게 어플리케이션에 전달되기까지 일련의 과정을 수행하고 있다.

 

 네트워크 접근 제어(NAC)

이런 다양한 보안 솔루션을 사용하는 주체는 사용자로, 각 사에서 운영하고 있는 사용자들이 인터넷을 사용하는 주 대상이다. 하지만 사용자가 인지하지 못하는 사이에 일어난 보안의 허점들은 점차 큰 보안의 허점으로 커지게 되었다

네트워크 접근 제어(NAC)는 이런 보안 문제들을 해결하기 위한 사용자 인증 장치로, 사용자가 갖고 있는 권한 만큼만 접근할 수 있도록 인지하는 장치다. 비정상 활동을 탐지하고, 사용자가 정상적인 활동을 유지했을 때만 네트워크를 유지할 수 있도록 하는 장치로, 이러한 NAC를 통한 네트워크 보안의 필요성은 나날이 커져가고 있다.

                                 

현재 PC사용자들이 가장 불편을 토로하는 사항은 너무 많은 보안솔루션이 존재하여 PC를 한 번 켤 때마다 최소한 서너번 이상의 로깅을 해야지만 업무를 볼 수 있도록 시스템이 오픈된다는 사실이다. 그래서 NAC는 기존 보안제품과의 유기적 연동을 함으로써 각각 보안솔루션들의 좋은 기능을 모듈화 한 보안 체계를 보안 프로세스의 첫 요건으로 두고 있다 

NAC의 내부적 정책 몇 가지를 좀 더 설명하자면 사용자 권한에 대한 권리, 필수 소프트웨어 검증, 임시 사용자 검증, 우회 네트워크 경로 차단, IT 자산 통계가 있다. NAC는 차단 소프트웨어가 설치되어 있거나, 설치되어 있어야할 소프트웨어가 설치되어 있지 않은 경우 무조건 네트워크를 격리하여 설치 페이지나 제어 페이지로 리베이트시켜서, 사용자가 왜 네트워크에 접속하지 못했는가를 알림 창을 통해 확인하게끔 해준다. 또한 임시 사용자가 비정상적인 에이전트를 사용하거나 NAC가 희망하는 소프트웨어를 설치하지 않은 경우, 네트워크를 임시 사용자와 완전히 분리시켜 위험요소를 줄여준다.

한편 최근 사용자들은 스마트폰을 통한 테더링을 하여 회사망을 통하지 않고도 인터넷을 얼마든지 사용하고 있다. 하지만 문제는 보안 솔루션이 대부분 PC를 지원하고 스마트폰에는 정상적으로 지원되지 않아서 회사 내부에만 존재해야 할 중요 파일들이 테더링하는 과정에서 외부로 유출되는 상황이 발생하게 된다. 이러한 우회 네트워크와 같은 경우, 중요 정보 유출 피해가 일어날 수도 있기 때문에 NAC는 자동으로 우회 네트워크를 차단하는 정책을 시행하고 있다.

마지막으로, IT 자산 관리 기능의 경우 NAC는 에이전트를 통해서 확보가 되어있는 하드웨어와 소프트웨어 정보를 통해 회사에서 인가가 된 상태인 PC만 사용자가 생성할 수 있게끔 자산에 대한 관리, 소프트웨어에 대한 관리를 지원한다.

 

 보안 프로세스

마지막으로, 어떻게 보안의 취약점들을 최소화하고 보안의 효과를 극대화할 수 있는지 보안 프로세스 관점에서 보자. PC를 사용하든 노트북을 사용하든 각각의 자산을 사용하기 위한 프로세스는 반드시 필요하다

보안 프로세스는 단말사용자의 규제 준수 여부 등을 고려하여 프로세스 준수 여부를 파악하고 망 내 시스템의 네트워크 접속 정책과 연동하는 시스템이다. 이러한 보안 프로세스는 어떤 제품을 사용하는가의 문제가 아니라 어떤 절차를 시행하는가의 문제로, NAC는 각각의 프로세스를 단일화시킴으로써 프로세스를 통한 보안의 안정성을 높이는 역할을 한다. 

정보보안 시장에서 최근 네트워크접근제어(NAC) 솔루션에 대한 관심이 다시 높아지고 있다. 최근, 스마트폰과 태블릿 PC 등의 스마트 디바이스를 활용한 기업 업무 시스템이나 네트워크 접속이 점점 증가하고 있어, 보안 관리의 중요성도 나날이 커져가고 있다. 이에 따라 사내 보안정책을 준수하지 않는 경우나 네트워크 시스템에 접속하는 모든 단말에 대한 통제 및 관리를 하는 NAC는 필수적인 보안 대책으로서 주목받는 것이다. Ahn 

 


대학생기자 윤덕인/ 경희대 영미어학부

항상 배우는 자세를 잊지 말고 자신을 아낄 것

온몸을 던져 생각하고, 번민하고, 숙고하자

 


댓글을 달아 주세요

안전한 금융 거래 위한 금감원 정책 5가지

현장속으로/세미나 2013.07.05 07:00

금융보안 & 개인정보 페어(FPIS2013) 5월 14일 양재동 엘타워에서 개최되었다. 이 날 컨퍼런스에는 금융권 CISO, 금융보안담당자, 금융기관 개인정보책임자 및 담당자, 보안시스템 운영자 등 기타 여러 IT실무자들이 참가하였다. 지난 3.20 전산망 대란 이 후로 높아진 관심 때문에 금융사관계자 들이 많이 참석한 모습을 엿볼 수 있었고, 국내 경제지 중에서는 최초로 머니투데이에서 개최하는 보안 컨퍼런스라는 점 등 여러가지로 뜻 깊은 자리였다.

 ▲ FPIS 2013 행사모습

우리나라 인터넷뱅킹 이용고객은 등록고객 수 기준으로 현재 8600만명을 초과하였고 은행권의 전자금융거래 규모도 전체 금융거래 대비 건수기준으로는 80%, 금액기준으로는 30%에 달하고 있다. 스마트폰을 이용한 금융거래도 크게 증가하고 있다. 이와 같이 금융산업과 정보통신기술간의 융·복합으로 인해 전자금융 이용자가 증가하고 금융소비자의 편의가 크게 높아졌으나, 해킹으로 인한 금융 정보유출과 전자금융사고발생 등 보안 위험이 증가하고 있다. 특히 파밍, 피싱, 스미싱 등 새로운 금융사기범죄가 증가하고 있어 금융정보보호에 대한 중요성이 증대되고 있다.

금융보안과 개인정보보호를 주제로한 이번 행사에서 김영린 금융감독원 부원장보는 오프닝 연설에서 안전한 전자금융거래의 기반을 마련하기 위해 금융당국은 다섯 가지에 중점을 두고 금융IT감독 정책을 추진한다고 말하였다. 다음은 주요 내용.

 

1. 개인정보보호 대책을 강화하겠다.

정부는 개인정보의 불법적인 수집·유출 등으로부터 사생활을 보호하기 위해서 개인정보 보호법을 제정하고 2012년 3월 30일 부터 본격적으로 시행해 나가고 있다. 이와 관련해서 금융감독원도 작년 5월 전담조직을 구성하여 금융권 개인정보제도의 안정적인 정착을 위해 노력하고 있다. 

2012년 6월 금융인 금융협회와 합께 금융권 개인정보 협의회를 구축해서 금융에서의 개인정보의 과도한 수집을 근절하였다. 또한 금년에는 개인정보 보호 가이드라인을 마련하여 금융 실무 처리 기술을 제시하는 등 앞으로도 개인정보 보호대책을 지속적으로 추진할 예정이다.

 

2. 전자금융거래의 안정성 확보를 위해 노력하겠다. 

모바일 전자결제, 전자지갑 등 다양한 금융IT신기술의 홍수 속에서 안전한 전자금융 서비스를 제공하기 위해서는 개별적인 보안위협에 임기응변적으로 대응하기보다는 중장기적인 인식전환이 필요하다. 이에 따라 금융기관의 최고 의사결정자가 정보보안에 대해 적극적으로 관심을 갖고 적정수준의 인력과 예산을 확보하는 한편 체계적인 조직운영을 통해 직무 담당자의 업무를 명확히 하고 오류와 실수를 최소화하는 기본을 확립하는 것이 중요하다. 

이러한 인식 하에 금융당국은 현대캐피탈 정보유출, 농협의 전산장애 사고 등을 계기로 IT보안업무모범기준을 제정하였다. 금융회사에 대해 최고 정보보호책임자(CISO)를 임명하고 적정 수준의 IT보안인력과 예산을 적정한 수준을 유지하도록 감독해 나가겠다. 또한 금융회사 CIO간담회, IT보안실무자 세미나 등을 통해 학계, 산업계 및 금융회사 간의 소통을 강화하고 상호협력 체계를 갖추겠다.

 

3. 전자금융사고 및 사이버 테러에 선제 대응하겠다.    

3.20에 대한민국은 큰 충격에 빠졌다. 사이버 공격으로 인해 일부 언론사와 금융회사의 전산망이 마비되는 사태가 발생하였다. 몇 시간 안에 고객의 직접적인 피해는 크지 않았지만 금융회사의 보안능력 및 전자금융거래의 안정성에 대한 국민들의 불안감이 높아지게 되었다. 이러한 사고를 재발하지 않게 하기 위해서는 보안취약점에 대해 신속히 대처하는 한편 예방대책을 마련하는 것이 중요하다.

2013년 5, 6월 중 전 금융권에 대한 IT보안실태 테마 검사 및 IT모범기준 이행 실태 점검을 실시하여 IT보안강화대책을 마련할 예정이다. 피싱, 파밍 사이트 등을 통한 고객정보 유출에 대해서는 금융감독원은 고객의 부주의로 고객정보가 유출되더라도 금전적인 피해가 최소화 되도록 공인인증서 재발급하거나 일일 누적 300만원 자금이체를 하는 경우에는 지정된 단말기에서만 가능토록 할 예정이다. 또한 SMS 본인인증 등 추가적인 인증서비스를 금년 중에 시행할 예정이다.

 

4. IT 부분 검사를 강화해서 금융 회사의 수준을 제고하겠다.    

최근 발생하는 해킹 유형은 지능형 지속형 공격(APT)이다. 작은 취약점을 장시간에 걸쳐 공략하여 전체 시스템을 무력화하고 주요 정보를 채취한다. 이에 금융감독원은 2013년 중 사고발생 금융회사에 대한 현장검색을 통해 IT내부통제, 취약점 및 조치현황을 점검하고 미흡한 부분은 신속히 개선하여 금융회사의 보안수준을 제고하겠다.

 

5. 전자금융을 이용하는 소비자 보호를 강화하겠다.               

전자금융이용과 관련해 발생할 수 있는 위험요인과 예방대책에 대해 홍보를 지속적으로 강화하는 한편, 장애인에게 좀더 편리한 전자금융서비스를 제공할 수 있도록 하는 등 상대적으로 전자금융이용에 취약한 계층에 대해서도 전자금융환경 개선을 위한 노력도 지속하도록 하겠다. 

이러한 정책과 제도가 성공하려면 현장에서 정책을 직접 수행하는 금융회사 임직원들과 금융소비자의 역할이 중요하다. 금융회사 임직원은 고객정보가 반드시 지켜져야 할 고객자산이라는 점을 명시하고 스마트 금융확산등 급변하는 전자금융환경에 적극 대응함으로써 IT보안 또는 고객정보유출 등의 사고가 발생하지 않도록 유념해야 한다.

금융소비자도 전자금융사고 예방을 위해서 보안인식전환이 필요하다. IT 및 통신기술의 발달과 융합으로 이루어진 오늘의 전자금융환경을 안전하게 이용하기 위해서는 무엇보다도 보안사고의 예방과 개인정보관리가 중요할 뿐 만아니라 다소의 불편과 비용지출이 불가피하다는 것을 명심해야 한다. Ahn

 

 

대학생기자 김대희 /  경기대 컴퓨터과학과

 

댓글을 달아 주세요

선량한 관리자가 되기 위한 필요조건

현장속으로/세미나 2013.06.14 08:43

지난 5월 14일, 양재동 엘타워에서 '스마트 융합 시대에 필수적인 개인정보보호와 금융보안'이라는 주제로 'FPIS 2013 금융보안&개인정보보호 페어'가 열렸다.

오전 세션에는 오프닝 연설과 기조연설이 진행되었고, 오후 세션에는 트랙A와 트랙B로 나뉘어 발표가 구성되었다. 발표장 바깥에는 전시부스가 마련되어 개인정보보호 관련 솔루션 등 다양한 프로그램의 체험이 가능했다.

소만사(소프트웨어를 만드는 사람들)의 김대환 대표의 기조연설 '컴플라이언스와 개인정보보호 2.0'를 들어보았다. 아래는 주요 발표 내용.

<개인정보 / 보안 침해사고 동향>

개인정보 유출사고의 원인에는 크게 두 가지가 있다. 첫째는 경제적 목적, 둘째는 정치적 목적이다. 개인정보를 통해 얻게 되는 이득이 커짐에 따라 개인정보 침해사고의 방식은 더욱 다양하고 치밀해지고 있다. 개인정보 침해사고의 신규 동향을 살펴보자. 

1. 웹서버나 어플리케이션에서의 개인정보 취득 : 어플리케이션 서버를 경유하여 개인정보를 조회한 후, 유출한다. 한번에 한 두건씩, 누적시켜 수십만건의 정보를 조회한다. 기존의 탐지 방식으로는 사용자의 이상조회를 식별할 수 없으므로 피해가 발생하게 된다.

2. APT 공격 : DB접속 권한자의 PC를 악성코드 배포를 통해 해킹하고, 권한자가 부재중일때 DB에 접속하여 개인정보 파일을 취득한 후 외부로 전송한다.

3. 웹서버에서의 개인정보 취득: 사용자들에게 활성화 되어 있지 않은 개발용 웹서버도 타겟이 된다. 웹어플리케이션 서버는 외부에 노출되어 있으므로, 가장 손쉬운 해킹의 대상이며, 웹서버 해킹만으로 수백만건의 개인정보 유출사고가 발생할 수 있다.

<개인정보 법적 분쟁 분석>

카드사, 증권사, 통신사 등 다양한 업종의 회사로 부터 개인정보가 유출된 사례가 있으며, 경로는 출력물, 웹서버, 이메일, FTP, 어플리케이션 등으로 다양하다. 이는 개인정보 집단 소송으로 불붙어 보안 사고 후의 화두가 되고 있다. 소송에 대한 법원의 판단 근거는 '선량한 관리자로서의 기술적 관리적 보호조치 의무를 다하였는가?' 이다. '선량한 관리자로서의 기술적·관리적 보호조치 의무'는 아래와 같다.


<개인정보 컴플라이언스>

개인정보에 대한 통제 체제(가버넌스)를 획득하기 위해서는 개인정보 보유 현황을 분석하고, 개인정보 조회와 취득을 통제하고, 개인정보 전송과 유출의 3단계에 대한 통제 및 감사가 이루어져야 한다. 

개인정보 보유 현황 파악 및 보호 조치 단계에서는 PC뿐 아니라, DBMS나 서버의 개인정보 보유현황을 체크해야 한다.

다음으로 개인정보 조회와 취득에 대한 통제 단계에서는 쿼리툴을 통한 개발자/DB관리자 접근, 어플리케이션을 통한 일반 취급자 접근, Shell service를 통한 시스템 관리자 접근에 대한 분리가 이루어져야 한다.

마지막으로 개인정보 전송과 유출 통제 단계에서는 인터넷을 통한 개인정보 전송, USB등 미디어를 통한 복사 및 전송, 망분리 요건, 비업무 사이트 통제 등의 통합 관리 체제가 이루어져야 한다.

<개인정보 기술적 보호조치 기술적 신동향>

사례 몇 가지만 살펴보자. 사례1의 'Content-Aware DB 접근통제'는 쿼리 자체의 통제가 아닌 개인정보 응답값 분석을 통한 통제를 통해 이루어진다. 사례4의 '개인정보화일 (웹)서버 저장 현황 분석'은 어플리케이션 서버, 파일 서버, 웹서버, 개발 서버에 무단보관된 개인정보 파일 분석/삭제/암호화를 활용한다. 사례5의 '출력물 개인정보 감사 통제'는 텍스트나 이미지 형태로 추출하여 로그를 저장하여 선별한다. 이 과정에서 개인정보가 포함된 것이 발견되면 결재를 필요로 하게 된다. 사례 6의 '오픈 소스코드 기반 분산병렬처리 분석(빅데이터 분석)'은 검색 조건에 따른 필드별 집계 표시로 상관 관계를 분석하여 실행한다.

발표를 통하여 개인정보 유출을 다루는 법적인 시각과 기술적인 부분을 모두 알아볼 수 있었다. 다양한 개념에 대해 심도있는 설명으로 뒷받침 하여, 가벼운 내용들이 아님에도 쉽게 이해할 수 있었다. 
잃고 나서 수습하는 것을 '소 잃고 외양간 고친다'라고 한다. 그러나 보안의 경우 '소를 잃고도 외양간을 고치지 않는' 기업들이 많다고 한다. '선량한 관리자의 의무'를 법적, 기술적으로 피해를 줄일 수 있는 방안이라 여기고 미리 지킬 수 있도록 해야 할 것이다. 알아야 지킬 수 있고, 지켜야 지킬 수 있다.Ahn

 

 대학생기자 이혜림 / 세종대 컴퓨터공학과

나를 바로 세우고, 타인을 존중하는 삶.

오늘도 새겨봅니다.


댓글을 달아 주세요

안전하고 편리한 금융 어떻게 해야 가능할까

현장속으로/세미나 2012.02.13 07:00

랜시간 존재해온 금융업은 현대에 이르러 IT를 만나 커다란 시너지를 얻게 되었다. 시간과 장소에 구애받지 않는 금융 서비스는 모든 금융사와 고객의 오랜 바람이었지만 오늘날에는 너무나도 익숙할 뿐이다. 하지만 금융의 전산화는 편리함뿐 아니라 위험까지 함께 가지고 왔다. 

특히 
지난 2011년은 IT와 금융 업계 모두에 다사다난한 해였다. 굴지의 금융사부터 연이어 발생했던 고객 정보 유출 사건 및 전산 마비 사태 때문이다. 
그런가 하면 지난해 말로 국내 스마트폰 가입자 수가 2000만을 돌파함에 따라 모바일을 통한 금융 서비스 이용자 수도 크게 증가했다. 

이처럼 위협이 증가하고 환경이 점차 새로워지는 가운데 금융과 IT 업계는 어떻게 대응해야 할 것인가? 이에 대한 해답을 찾기 위해 소공동 프라자호텔에서 열린 '2012 전망, 금융 IT Innovation 컨퍼런스' 현장을 찾았다.


금융 IT에 대한 제도적 지원 및 감독 방안


"2011년은 제도개혁에 중점을 두었다면 다가오는 2012년에는 관리 감독에 주력하겠습니다." 첫 기조연설을 시작한 정기영 금융감독원 수석조사역은 지난해 일어났던 금융사들의 보안사고들을 언급하며 금감원의 2012년 금융권 IT에 대한 감독방향에 대해 말을 이어갔다.  

'어떤 사고로 1명의 중상자가 발생했다면, 이미 같은 케이스의 사고로 약 29명의 경상자가 발생했고 그 전에 같은 이유로 300명 정도가 사고를 당할 위험에 있었다'는 하인리히의 법칙을 인용하며 그간 발생했던 굵직한 금융 보안 사태가 소리없이 다가온 것이 아니라고 강조했다.

특히 최근 들어 DDoS 공격과 APT(Advanced Persistent Threat) 등의 해킹의 위험이 지속적으로 증가하고, 모바일이나 IPTV의 금융서비스 이용한 해킹 위협이 새로이 떠오르고 있다는 점에서 2012년에는 금융보안에 이전 보다 더욱 철저한 관리감독이 필요하다고 전했다. 

이에 따라 금융감독원은 금융사들에게 의무적으로 CISO(정보보호최고책임자)를 지정케 하고, 일정 수준만큼의 IT 보안 인력 유지 및 IT 보안 예산 책정을 권고케 할 것이라고 전했다. 또한 금융사의 업무망과 인터넷 망을 분리토록 유도하고 금융 IT 보안에 대한 실태평가를 강화하며 사건사고 발생 시 제재 수준을 엄격히 할 계획이라고 강조했다.
 

멀티플랫폼 환경에서의 금융 서비스


"얼마 전 미국에서 조난당한 아이들이 911에 연락하지 않고 SNS로 이 사실을 업데이트했습니다. 이 사례를 통해서 우리는 기존 휴대전화에 대한 패러다임을 전환해야 한다는 사실을 알 수 있었습니다."

MS 기업고객사업부 서경구 이사는 앞서 말한 사례를 통해 급격히 변해가는 IT 환경을 시사했다. 이 사례를 통해서 최근 들어 
사람들은 모바일 기기가 가지고 있던 전화라는 기존 기능보다 SNS와 같은 부가적 서비스 이용에 더 익숙해져가고 있다는 점을 발견할 수 있고, 이를 통해 제품의 소비자 주도화가 거세지고 있음을 알 수 있다고 강조했다. 이러한 제품의 소비자 주도화는 자신이 사용하는 서비스를, 자신이 소유한 모든 디바이스에서 실행하고자 하는 욕구로 표출되기도 한다고 설명했다.

사진출처:http://technogems.blogspot.com

최근, 다양한 OS와 브라우저의 보급으로 인해, 기업들은 소비자의 컴퓨팅 환경에 관계없이 서비스를 제공 할 수 있는 환경, 즉 멀티플랫폼(크로스플랫폼) 환경에 대한 대비가 큰 이슈이다. 
 
온라인 결제 솔루션으로 유명한 이니텍은 'ActiveX에만 의존하던 온라인 금융 서비스들은 최근 들어 다양한 플러그인에 대응할 필요성을 느끼게 되었고, 
이니텍은 이런 필요에 따라 논 플러그인(Non-Plug in) 서비스 개발에 주력하게 되었습니다.' 라며 멀티플랫폼 환경에 대비한 자사의 전략을  밝혔다.

웹리포팅 업체인 포시에스는 출력 기반의 금융 문서 관리가 웹 기반으로, 다시 모바일로 이동하는 환경을 강조했다. 
이런 멀티플랫폼 환경에서 단순히 문서를 조회하는 수준에서 그치는 것이 아니라 작성까지 가능한 e-Form을 통해 금융사는 고객과 직원들의 다양한 컴퓨팅 환경에 대비할 수 있다고 전했다.  

2012년 주목할 보안 이슈


안철수연구소 소프트웨어개발실의 최은혁 실장은 모바일 환경의 변화에 대한 언급으로 연설을 시작했다. 최근 모바일로 급속히 옮겨가는 패러다임을 통해 모바일의 중요성을 강조하면서도 이로 인해 생기는 위협에 주목해야 한다고 전했다.

그 중 모바일을 매개로 한 DDoS 공격이나 스마트폰 해킹 등 신종 위협이 대표적인 예인데, 최근 모바일 금융 서비스 이용이 급증하는 반면 아직 취약한 부분이 많다고 전했다. 또한 '스마트폰 애플리케이션의 상당수가 난독화를 거치지 않고 출시되는데, 애플리케이션의 난독화만으로도 모바일 보안 수준을 높이는 데 큰 도움이 된다'고 말했다.  

이후 최근 들어 그 심각성이 증대되는 APT에 대한 이야기가 이어졌다. APT는 명확한 공격 목표에 지속적으로 고도화한 공격을 가하기 때문에 기존 보안 솔루션으로 대응하는 데 한계가 있다며, 망분리는 이에 대한 효과적인 대안이 될 것이라고 강조했다. 

눈부시게 발전한 IT 산업은 인류가 창조한 많은 분야에 날개를 달아주었다. 하지만 수없이 많은 순기능에 취해 경계를 소홀히 하면 역기능으로 인해 돌이킬 수 없는 사고가 발생하게 된다. 마치 프로메테우스가 인간에게 건네준 불처럼 말이다.

특히나 금융은 개인의 재산에 직접 영향을 미치기 때문에 악의적인 해커의 표적이 되기 쉽다. 그런 점에서 어떤 분야보다 보안 레벨을 높게 유지하는 것은 당연한 일이다. 그러나 여러 가지 위험에도 이번 컨퍼런스에서 엿본 금융 IT의 미래는 걱정보다 기대가 앞서는 것이 사실이다. Ahn 



대학생기자 장진권 / 경원대 경영학과 

'만화경을 꼭 쥔 채로 망원경을 들여다 보는 젊은 몽상가'

  
 

댓글을 달아 주세요

  1. 악랄가츠 2012.02.13 09:33  Address |  Modify / Delete |  Reply

    가끔 백신이 설치되지 않은 컴퓨터에서 개인정보를 입력할 때,
    금융사나 카드 홈페이지를 열어놓고 이용하였습니다.
    근데 정말 효과가 있는걸까요? ㄷㄷㄷ

    • Mr.OTA 2012.02.13 11:36 신고  Address |  Modify / Delete

      엇! 그러네요? 몰랐는데 그런방법도 있구나..
      키보드보안까지 작동되니 불가피하게 백신 미설치 컴퓨터를 이용할때 유용할 것 같아요!!

  2. 통통이21 2012.02.13 09:51  Address |  Modify / Delete |  Reply

    요즘 스마트폰으로 금융거래 하는데 정말 편하긴 편한데
    안전성에 대해서는 걱정이 앞서더라고요~

  3. 소으니 2012.02.17 18:46 신고  Address |  Modify / Delete |  Reply

    좋은글이네요~^^ 잘 읽었습니다^^

현직 금융인 4인의 조언 '금융보안 전문가 되려면'

현장속으로/세미나 2011.09.29 08:36
올해 유난히 금융권 보안 사고가 많았다. 앞으로 이와 같은 금융권 보안 사고를 막기 위해서 금융권 보안을 위한 더 많은 파수꾼들이 필요할 것이다. 그리고 자본주의의 꽃이라고 할 수 있는 금융을 지킨다는 사명감으로 미래의 금융권 보안 업계 파수꾼들을 꿈꾸는 사람들도 있을 것이다.

이러한 멋진 꿈을 갖고 있는 미래의 금융보안 전문가 양성을 목적으로  금융보안연구원에서 주최하는 「제2회 대학생 금융보안 캠프」(이하 금융보안캠프)가 지난 달 2박 3일 동안 농협 수안보 수련원에서 진행되었다.

작년에 처음 시작한 금융보안캠프(http://blogsabo.ahnlab.com/485)에 이어서 올해는 조금 더 다양한 프로그램으로 진행되었다. 그 중 취업 시즌인 만큼 금융 보안 업계로 진로를 생각하고 있는 분들을 위해 도움 될 만한 시간이 있어서 소개한다. 바로 현재 금융 보안 업계에서 종사하고 있는 분들의 패널 토론 시간이었다. 금융 업계는 크게 증권사, 보험사, 카드사, 은행 4가지로 나눌 수 있다. 각 금융사를 대표해서 보안 담당자 4인이 이 시간을 함께 해주었다. 다음은 주요 내용.

 

<하나SK카드 이성중 차장> 

작년까지는 한명으로 업무를 했었는데 올해 5월부터 새로 팀을 꾸려서 보안 인력을 갖추기 위해 사람을 채용하고 있는 상황이다. 면접을 진행하면서 느끼는 바가 있어서 말하려고 한다. 최근 한 달 사이에 2명 충원을 했다. 결론적으로 이야기 하자면 대학원을 나오고 현장 경험을 겪은 경력자를 채용했다. 

반면 떨어지는 사람들의 유형을 보니까 업무 스펙트럼이 너무 좁았다. 보안을 3~4 년 동안 해온 것은 좋았는데 문제는 너무 좁은 스펙트럼을 가지고 한정된 일만 해본 것이었다. 합격자들은 더 스펙트럼이 넓으면서 2,3,4 개에 대해서 더 넓은 지식을 갖고 있는 사람들이기 때문이다. 

정보보호를 할 때 여러 분야에 대한 인 사이트(Insight)를 갖는다. 하지만 그 전에 한 분야에 대해서 인 사이트를 가져야 한다. 예를 들어 방화벽이면 방화벽에 대해 전부 뜯어 봐야한다. 방화벽을 다 뜯어본 뒤에 놓고 IDS로 가고 다 뜯어보고 나서 네트워크로 가는 것이다.
그리고 회사환경이나 업무환경에서 자신이 이해가 되고 설명할 수 있고 논리를 만들 수 있으면 방어를 할 수 있다. 그 정도의 지식을 갖고 네트워크, 서버 … 이런 식으로 가면 경력이 4~5 년 밖에 안 되어도 대리급 일을 할 수 있다. 

하지만 어떤 분은 방화벽이야기만 한다. 좁을 수도 있다. 본인이 조금 더 노력을 했으면 좋겠다. 공부를 할 때에도  전문성을 가지고 설명을 할 수 있을 정도로 공부를 하면 좋겠다. 회사나 학교 내에서 기회가 안 되면 본인이 세미나나 여러 현장을 찾아다녔으면 좋았을텐데 하는 안타까움이 들었다. 

 

<생명보험협회 여창환 대리> 

이 자리에 참석한 분들 대다수가 보안을 하고 싶다고 온 사람들이 있을 것이다. 하지만 하고 싶다고 할 수 있는 것은 아니다. 어느 회사든 신입 사원에게 보안을 맡기지는 않는다. 어떤 회사 보안 팀에서 뽑을 수는 있겠지만 경력직으로 뽑는 경우도 있다. 대형 보험회사에서도 경력직을 많이 선호하고 있다. 
신입사원으로 길은 자신의 능력을 개발하는 것이다. 들어가서 자신이 그 분야에 대해서 넓게 공부하고 자신있는 스페셜리스트가 되면 좋다. 업무를 하면서 특이한 경력을 가진 분을 만났다. 바로 처음에는 통, 번역으로 일을 시작해서 지금은 보안 업무를 담당하고 있는 분이다. 보안 관련된 번역 요청을 받게 되어서 공부를 시작하게 된 것이다. 강점이라고 할 수 있는 번역을 하다가 자신이 스스로 보안에 대해서 공부를 하고 자격증을 땄었다. 그리고 때 마침 보안을 전담하는 사람이 없어서 보안 담당자로 들어가게 된 것이다.

입사를 할 때에 일반 IT , SI 업무를 할 수도 있는데 입사를 한 다음 자신의 패스(Path)를 잡아놓고 가면 앞으로 나갈 때에 좋을 것이다. 자신의 패스를 열심히 준비하면 좋은 결과를 얻을 수 있을 것이다. 바로 칠 수 없으면 돌려 쳐라. 다른 분야 보안 업체에서 실력을 기르고 경력직으로 가는 방법도 좋을 것이다.
 

<금융보안연구원 이상록 본부장>

전에 근무했던 국민은행 IT부서는 500명의 인원 중 13명이 보안인력으로 있다. 정규직13명 + 외주14~15 명으로 전체 30명 정도가 보안 업무를 하고 있다. 보안시스템을 유지 보수 하면서 24x365 체계(24시간 365일) 관제시스템 구축해서 보안인력들이 관제를 하고 있다. 
금융보안캠프에 참석한 학생들 대부분이 취업을 한다면 신입으로 가게 될 것이다. 다른 권역과 다르게 은행권의 특색은 신입들을 뽑는것이다. 보안 인력이라고 전담해서 뽑지는 않는다. 보안인력 TO는 있을 수 있지만 금융권에서 IT 인력으로 들어올 때에는 뽑힌 내에서 부서장들이 모여 보안인력을 차출하는 형태로 돌아가고 있다. 

하지만 최근 해킹 침해사고가 일어나면서 경력직을 많이 채용했다. 그 이유는 당장의 리스크를 막기 위해 전문 계약직을 채용했기 때문이다. 전문 인력이라고 해서 혜택 차이가 나는 경우는 없다. 보수도 정규직과 거의 같다. 복지 부분에서 어느 분야보다 좋기 때문에 많은 인력이 모일 줄 알았는데 생각보다 별로 모이지 않았다. 

은행권의 문화 중에서 가장 큰 특징은 변화가 쉽지 않고 잘 가르쳐주지 않는 것이다. 자기만의 영역을 쌓는 부분이 많기 때문이다. 이 말은 즉 기본에 충실해야 된다는 것이다. 예를 들어 국민은행에서는 매년 1,2 명씩 신입사원이 들어오면 1년간은 지점근무를 시킨다. IT 인력이라도 지점의 업무현황을 모르고는 일을 할 수 없기 때문이다.

한 번 맡으면 몇 년 씩 하는 일이므로 신입으로 가게 되면 많은 일을 배워야 한다. 절대 먼저 알려주지 않는다. 이런 부분에 관해서 자신의 의지로 끌고 나가야 할 부분이라고 생각한다.

 

<미래에셋증권 백남준 차장>

얼마 전 신문기사를 보니까 유망직종 10위안에 보안전문가가 있는 것을 보았다. 그 만큼 앞으로의 전망 또한 밝다. 하지만 실제 기업에서는 보안인력을 뽑지 못하는 경우가 태반이다. 그 이유는 보안전문가는 정보를 보호하는 담당자로서 갖추어야 할 것이 많기 때문이다. 
예전에는 금융기관이라고 하면 이자를 크게 돌려주면 좋은 것이었다. 하지만 요즘은 시대가 바뀌면서 고객이 맡긴 정보도 소중히 다루어야한다. 365일 24시간 내내 한 건이라도 놓치면 문제가 생길 수 있다. 단순하고 반복적인 일이 될 수 도 있지만 어떤 연락을 받았을 때에 바로바로 나올 수 있는 책임감과 성실성 그리고 높은 윤리의식이 필요하다.
 
웹 , 네트워크, AP, 악성코드 분석/대응 , 침해사고대응, 리버스 엔지니어링 등 보안관련 전문지식도 있어야한다. 그리고 기업에서 보안을 어필하기 위해서 보고서를 쓰거나 설득을 잘하기 위한 커뮤니케이션 스킬도 필요하다.
 
보안 관련 경력 (동호회, 산학연계, 해킹대회, 자격증) 도 필요할 것이다. 미래에셋의 경우 모 해킹동아리하고 연관이 되어있다. 해킹동아리에서 모의해킹을 해서 취약점을 발견하거나 하면 인센티브로 동아리 활동에 필요한 지원을 해주고 있다.

모든 보안전문가들의 발표 후 질의응답시간을 가졌다. 금융 보안에 관심 많은 학생들이 모인 자리인 만큼  많은 질문이 쏟아졌다.
 
Q : 미래에셋증권의 경우 취약점 분석을 하고 실제로 모의해킹을 성공하면 포상을 준다고 했는데 다른 대학연구실도 지원 가능한가?

A : 미래에셋증권의 경우 현재 KAIST 보안동아리 Gon 과 관련이 있다. 시스템을 망가뜨리지 않는 범위 내에서 모의해킹을 가능하게 한다. 그리고 취약점을 분석해서 모의해킹에 성공을 하면 많게는 기존 동아리 활동비 3배 정도의 금액까지 지원을 해주었다. 다른 연구실도 물론 가능하다. 학생들은 현업에 있는 사람들과 다르다. 그래서 실제로 할 수 있는 기회를 주려고 한다.



Q : 아웃소싱을 이야기를 했는데 외부 업체에 어느 부분에 대해서 맡기고 내부 인력들은 구체적으로 어떤 업무를 하는가?
 

A : 보안 인력 아웃소싱은 24x365 관제만 주고 있다. 그 나머지(솔루션, 시스템, 네트워크, 방화벽 이런 부분에 대한 보안)는 내부 직원이 담당을 한다. 보안 기획은 1~2명 ,개인 정보관리 2명 ,100대 이상의 서버에 대해서는 3명 정도가 관리를 하고 있다. 내부에서 전 직원의 PC 보안 솔루션이 설치되어 있는데 USB를 담아가려고 시도를 하는 사람이 있을 수 있다. 이런 보안문제에 대해서도 모니터링을 해야 한다.
 
결론은 정보보호 담당자는 모든 부분에 대해 알고 있어야 한다. 전체적인 보안이 중요하기 때문이다. 아웃소싱을 맡겼다고 해서 끝이 아니라는 것이다. 아웃소싱을 맡긴 관제에 대해 모른다면 두 페이지의 로그가 올라오는 것에 뻗어버릴 것이다. 그러다 사고가 터지는 것이다. 

모르는 부분이 있다면 모르는 만큼 더 파고들어가야 한다. 예를 들어 우연히 경험할 기회가 생겨서 새로운 업무를 시작하게 된다면 파는 것이다. 깊이 있게 들어가려는 개인의 노력이 필요하다. 해보면 책과 다르다는 것을 알 수 있을 것이다. 

Q : 보안도 다양한 분야가 있다. 보안전문가 입장에서 추천해 주실 만한 보안 분야나 더 많이 공부하라고 말해주고 싶은 분야는? 
 

A : 신입직원에 대한 기대를 많이 하는 편이다. 하지만 기술적인 기대는 안한다. 금융보안에서 해킹 관련 기술을 많이 알면 좋으나 은행에 입사를 하면 은행원이다. 정보보안 분야가 유망하다는 것과는 다르다.

신입직원 2명 중 1명이 나가려고 한다. 반면에 1명은 잘 견디고 있다. 잘 견디고 있는 1명의 경우 IT 인력 면접에서 팔굽혀펴기를 했다. 쌩뚱맞는 행동이었지만 자신의 의지를 보여주려고 했던 행동으로 면접관들이 보았다. 기술의 초점이 아니라 얼마나 의지를 가지고 적극적으로 하는지가 중요한 것이다. 결국 4명의 신입사원 중 한 명으로 뽑혔다. 회사에 와서도 작은 회의를 하고 있었는데 4명 중 유일하게 귀동냥하고 회의에 끼어(?)들었다. 나머지 3명은 할 일 없이 가만히 있었다. 이 친구는 잘 모르는 부분이 생기면 가서 뭐하는지 보고 듣고 했다. 그래서 인정받고 지금까지 살아남았다.

요즘 대세가 대는 IT 기술이라고 하면 모바일, 클라우드, SNS 라고 할 수 있다. 하지만 향후 10년 뒤에는 어떻게 바뀔지 모른다. 우리가 중요하게 생각하는 것은 문제가 주어졌을 경우 문제를 해결하기 위한 성실성과 적극성이라고 본다. 그 이상의 기술을 습득하고자 한다면 이 단계를 밟아 가는 것이 중요하다고 본다.

보안전문가가 금융회사에 입사를 할 수 있다. 하지만 금융회사에서 일하기 위해서는 금융인이 되어야 한다. 보안 못지않게 금융 업무 자체에 대해서도 관심 갖고 배워 나가야 더 성장할 수 있을 것이다. 
그리고 보안을 협소하게 보는 것이 아니라 시야를 넓혀서 금융회사의 본질에 관심을 가진다면 미래의 금융보안전문가가 될 수 있을 것이다. Ahn

사진출처 : 금융보안캠프 (http://cafe.naver.com/fsuc2010)


대학생기자 김재기 / 한양대 안산 컴퓨터공학과


해보지도 않고 포기하는 것은 현명하지 않은 일이라고 생각합니다. 

타고난 천재가 아닌 이상 처음부터 잘하는 사람은 없겠지요. 
새로운 것에 도전하고 항상 노력하는 대학생기자 김재기입니다. 
 

댓글을 달아 주세요

  1. 와우앙 2014.01.28 13:00  Address |  Modify / Delete |  Reply

    와 글 좋네요.

인터넷 뱅킹 때 내 정보 지키기 보안 수칙 8계명

현장속으로/세미나 2011.09.08 06:30

최근 여러 해킹 사건으로 보안의 중요성이 강조되고 있다. 개인정보보호를 중요하게 생각하지만 금융 관련 문제들은 은행에서 알아서 지켜줄 것이라는 생각에 금융 보안에 대해서 망각하기 쉽다.

그러나
우리 것은 우리가 지켜야 하는 법!
나부터 조심해야 안전하게 지킬 수 있는 것이다. 잠들어 있던 보안 의식을 깨우기 위해 금융보안연구원이 9월 3일 여의도 한강 고수부지에서 '2011 범국민 금융보안 캠페인 걷기대회'를 개최했다. 바쁜 일상에 쫓겨 운동을 하지 않는 직장인들과 학생들, 그리고 주말에 집에서 TV만 시청하는 가족도 참여하여 건강을 챙기고, 금융 보안 의식도 강화할 수 있는 자리였다.

걷기대회의 시작은 1시였으나, 화창한 날씨와 12시부터 1시까지 다양한 이벤트가 마련되어 있어 사람들의 발을 일찍 움직이게 했다. '금융보안을 잡아라!', '말랑말랑 금융보안 이야기', '! 찝어-금융보안상식', '금융보안 Lock & ', '안전한 u금융 지킴이'의 부스에 찾아가면 금융 보안 상식도 얻고 경품도 가져갈 수 있는 재미있고 유익한 이벤트였다.

1시에 개회식을 시작으로 걷기대회가 시작되었다. 걷는 거리는 약 4.5km였다. 등 수와 상관이 없는 대회였기 때문에 다들 편안한 마음으로 걸었다. 걷다 보면 군데군데 표지판이 보였다. 방향과 앞으로 몇 Km가 남았는지와 함께 금융 보안 지침을 써 놓았다. 그리고 반환점에서 풀어야 할 문제인 반환점 퀴즈도 적어 놓았다.

인터넷 뱅킹 등 전자 금융 거래 시 고정된 비밀번호 대신 매 1분마다 다른 비밀번호를 사용하는 일회용 비밀번호는?
(1) OTP     (2) SMS    (3) USB


답은 당연히
1번이다. 걷기대회를 끝으로 경품 추첨 후 모두들 기쁜 마음으로 집으로 발걸음을 옮겼다.

아래는 금융 보안 캠페인의 핵심인 인터넷 뱅킹 이용자 유의사항이다.

1. 공인인증서, 보안카드, 비밀번호 등은 이메일함, 웹하드 등 인터넷에 보관하지 마세요. 보관한 경우 즉시 삭제하시고 금융 회사를 방문하여 교체하세요.

2. 공인인증서는 PC보다 USB, 보안토큰 등 이동식 저장매체에 보관하세요.

3. 보안카드는 복사 또는 스캔하지 말고, 오래된 보안카드는 재발급 받으세요.

4. 금융 거래 아이디, 비밀번호는 인터넷 포털 및 쇼핑몰 등의 아이디, 비밀번호와 다르게 설정하고 절대로 타인에게 알려주지 마세요.

5. 가장 안전하게 인터넷 금융 거래를 이용하려면 OTP발생기, 보안토큰, 전화승인 서비스를 이용하세요.

6. 계좌이체, 공인인증서 재발급 등의 이용내역을 즉시 알려주는 휴대폰 문자서비스(SMS)를 신청하세요.

7. PC, 도서관 등 공공장소에서 인터넷 금융 거래를 삼가하세요.

8. 예금인출 사고를 당한 경우 즉시 해당 금융 회사에 신고하고 출금정지를 요청하세요.

 

그 동안 많은 걷기대회를 참가해보았지만, 금융 보안 캠페인이라는 주제는 매우 참신했다. 모두가 쉽게 참가할 수 있고, 그로 인해 많은 것을 전달할 수 있었다Ahn

대학생기자 윤소희 / 순천향대 정보보호학과


윤소희가 '보안세상'에 왔습니다. 아직도 절 모르신다구요 ? 더 강한 파워, 더 색다른 매력, 더 불타는 열정으로 ! 풋풋함과 눈웃음까지 겸비한 여자! 그리고 뻔뻔함까지 ! 누구라도 기억할 만하지 않나요?



 

댓글을 달아 주세요

  1. 라이너스™ 2011.09.08 09:54 신고  Address |  Modify / Delete |  Reply

    알면서도 저지르기 쉬운 실수들이네요..
    좋은글 잘보고갑니다^^

은행 선택 시 보안 등급도 판단 기준 되어야

현장속으로/세미나 2011.07.21 08:22

올해 지난 4월에 잇달아 발생한 금융권 보안 사고는 국민의 재산에 직접 피해가 갈 수 있는 사건이라 심각성이 컸다. 얼마 전 삼성동 코엑스에서 열린 '2011 금융보안 그랜드 콘퍼런스'는 이 같은 금융 보안 문제를 다루는 자리였다. 

여러 발표 중 고려대 정보보호대학원 임종인 원장은 '사용자가 금융기관을 선택할 때 보안 수준 등급을 볼 수 있게 공시 제도를 만들어야 한다'고 제안해 눈길을 끌었다. 또한 그는 ‘금융 IT 정보보안 정책 방향’을 주제로 
개별 금융기관, 금융당국, 정부에서 각각 어떻게 대책을 마련해야 하는지를 짚었다. 이 중 많은 부분이 최근 금융위원회가 발표한 '금융회사 IT 보안강화 종합대책'에 반영되어 있다. 다음은 주요 내용.

보안의 중요성을 인식시킬 제도가 필요


농협 사건은 보안관리가 기술 측면뿐 아니라 관리 측면에서도 중요한 과제임을 보여준 사례이다. 즉, 우리의 과제는 보안의 기술적, 관리적, 물리적 측면을 어떻게 균형 맞출 것인가에 있다. 

현재도 보안 관련 법이 많이 있다. 즉, 보안 사고가 빈번히 일어난 이유는 법의 부재 때문이 아니라 제대로 지켜지지 않아서이다. 보안금융당국에서 관리 감독을 제대로 할 수 없었고 단기적인 성과를 요구한 것도 하나의 이유이다. 무엇보다도 보안을 비용이라고 보는 풍조가 금융보안 사고의 근본원인이다. 

보안을 하지 않을 시 CEO를 처벌한다, 책임지게 한다는 징벌 측면 외에 보안을 열심히 한 CEO에게 어떤 인센티브를 줄 수 있을 것인가도 생각해야 한다. 개인정보보호법에 따르면 개인정보 처리자가 보안 의무를 준수하고 상당한 감독을 게을리하지 않을 경우 개인정보의 분실, 훼손으로 인한 손해배상책임을 감경 받을 수 있다.

또한 보안수준에 대한 금융기관의 공시제도를 제안하고 싶다. 국민이 단순히 이자율만 가지고 보는 것이 아니라 보안수준이 몇 등급인지 살펴보고 금융기관을 선택하는 것도 필요하다.

보안총괄임원인 CSO, CISO가 실제로 부장, 팀장 정도의 낮은 직급이라는 것도 문제다. 직급이 낮다보니 리스크(risk)가 있어도  CEO한테까지 전달이 잘 안 된다. 그렇기에 CSO, CISO에게 전체 업무에서 감사 역할을 하고 아웃소싱 업체에 대한 전반적 관리를 하도록 권한을 줘야 한다. 다시 말하자면 CSO, CISO가 개별, 독립적 입장이 되어야 한다 것이다. 문제는 이러한 CSO를 길러내는 것이 어렵다. 하지만 지금부터 우리가 사회적 투자를 한다면 실행할 수 있는 부분이다. 시스템만 도입하는 것은 일시적 방책이지 진정한 해결책은 아니다. 우리가 해답을 몰라서가 아니라 해답을 실제로 시행하지 못하는 것이 큰 문제이다.

아웃소싱 부분도 살펴봐야 한다. 아웃소싱 자체가 문제 있다는 것이 아니다. 사고 발생 후의 실질적 대응도 아웃소싱 업체에만 맡길 정도로 아웃소싱에 너무 의존하는 상황이 문제다. 아웃소싱 업체들이 제대로 이행하고 있는지 여러 가지 방법으로 점검해야 한다. 특히, 아웃소싱 계약, SLA 계약 등 보안과 관련된 규정이 일부회사밖에 들어 있지 않다. 그러다보니 많은 보안 전문 회사들이 아웃소싱 계약을 맺어도 잘하나 못하나 티가 나지 않는다. 즉, 동기 유발이 되지 않는다. 이런 부분을 명확히 고쳐 제대로 된 보상이 이뤄져야 하며 개인정보보호와 관련된 대책이 마련돼야 한다. 또한 아웃소싱 업체의 전문성과 실력을 고려해서 선정해야 하는데 이에 대한 전문성을 가진 자체 직원이 없는 것도 문제다.

* 아웃소싱(outsourcing) :
기업 업무의 일부 프로세스를 경영 효과 및 효율의 극대화를 위한 방안으로 제3자에게 위탁해 처리하는 것을 말한다. 다른 의미로는 외부 전산 전문업체가 고객의 정보처리 업무의 일부 또는 전부를 장기간 운영·관리하는 것을 뜻하기도 한다.


개별 금융기관이 취해야 할 대응 방안

금융전산망 보안 강화에 대한 개별 금융기관이 취해야 할 대응은 다음과 같다. 계정관리, 전산장비 관리, 직원 관리 등 전사적 위험 관리 차원의 내부 통제 수행해야 한다. 앞에서도 말했듯이 보안 아웃소싱 관리를 개선해야 하며 최소한 IT 예산 대비 보안투자 비율을 10%이상으로 현실화해야 한다. 금융사고 발생 시에 사고의 원인을 자체적으로 분석해내고 능동적으로 대응할 수 있는 보안 인력을 갖추는 것도 중요하다. 보안조직의 독립성과 효과성을 보장하는 것도 필수적이므로 최고정보보호책임자(CSO)를 독자적 임원급으로 두어야 한다는 것도 대응책이다. 그 외의 진정한 신뢰를 줄 수 있도록 위험 커뮤니케이션을 개선해야 하고 사고 증거를 수집하기 위해 포렌식 준비도(Forensic Readiness)도 확립해야 한다.

금융당국이 취해야 할 대응 방안

금융당국이 취해야 할 대응 방안은 첫째, 전체 금융권 차원의 보안 거버넌스를 구축하는 것이다. 내부적으로 은행 쪽의 금결원(금융결제원), 증권 쪽의 코스콤 그리고 금융연구원이 있지만 개별적이며 협조체계가 서로 이뤄지지 않고 있다. 보안 사고가 생기면 민간분야에서 해결하는 것은 KISA(한국인터넷진흥원)이다. 하지만 KISA가 대응 및 해결을 다 할 수가 없기에 금융권이 효과적으로 일관된 대응을 할 수 있는 공동 대응 시스템 구축이 필요하다.

둘째로는 금융보안 전담 법적 기구를 설치하는 것이다. 이는 전체 금융권 보안 거버넌스 차원에서 금융보안연구원과 같은 금융보안전담기구를 법적 기구화하는 것이다. 셋째로는 금융기관의 보안수준에 대한 공시 시스템을 구축하는 것이다. 앞에서 언급했듯이 고객들에게 각 금융기관의 보안 투자 수준, 최고보안책임자 존재 여부, 보안위험관리수준 등에 대한 투명한 공시시스템을 제공하는 것을 말한다.

넷째는 보안 사각지대를 제거하는 것이다. 제2금융권을 포함한 전체 금융권 위험관리 차원에서 모니터링의 확대를 실태조사하는 것이 필요하다. 마지막으로 보안 검사 인력을 확충해야 한다. 그동안 검사가 부실하다는 점도 지적되었기 때문에 보안 검사 인력을 충분히 확보할 필요가 있다.


정부 차원에서 취해야 할 대응 방안

정부 차원에서도 금융 보안 강화를 위한 대응 방안을 해야 한다. 첫째, 금융보안인력을 양성할 수 있도록 지원하는 것이다. 다양한 위험에 신속하게 대응할 수 있는 전문성을 가진 인력이 해결책 중의 하나이기 때문이다. 둘째, 사이버 안보 강화 차원의 민관 협력을 강화하는 것이다. 금융권이 사이버테러의 주요목표대상이 되고 있는 상황에서 민관공동협력방안이 필요하다. 셋째, 금융권 정보통신의 기반시설을 점검하고 확대해야 한다. 이것은 필요조건이지 전체적인 문제 해결은 아니다. 시스템 및 기반시설을 확대하는 것은 일시적 방책일 수 있기 때문이다.

전체적으로 보면 개별 금융기관, 금융당국, 정부가 취해야 할 대응 방안은 다 나와 있다. 가장 중요한 것은 각 주체들의 의지다. 의지를 가지고 제대로 실행할 때 전체적 금융 서비스에 대한 신뢰가 반영되기 때문이다. Ahn 

대학생기자 류하은 / 강남대 경영학과 
 
거거거중지(去去去中知),  행행행리각(行行行裏覺)
가고 가고 가는 중에 알게 되고, 행하고 행하고 또 행하면서 깨닫게 된다.
- 노자의  <도덕경> -
제 글이 조금이나마 당신이 가는 그 길에 빛이 되었으면 좋겠습니다. 

 
 

댓글을 달아 주세요

  1. 2011.07.25 10:47  Address |  Modify / Delete |  Reply

    비밀댓글입니다

    • 하나뿐인지구 2011.07.25 11:55  Address |  Modify / Delete

      지하철 버스 할머니(아줌마) 이야기도 있었는데...
      ...
      저야 일반 2g폰 쓰고, 집에만 왔다갔다 하니, 별 문제 없지만...
      남자들 문제 많네요...여자 분들 주의...
      ...
      데이팅 앱(어플) 접속했다...성폭행...봉변...
      http://news.naver.com/main/read.nhn?oid=082&aid=0000303154

선배 보안 전문가들이 말하는 미래에 대한 준비

현장속으로/세미나 2010.09.01 08:38
"금보원 ! 금보원 ! 금.보.원.!"
금보원은 금융보안연구원의 줄임말이며, 위는 
8 18일부터 20일까지 금보원이 개최한 ' 1 2010 대학생 금융 보안 캠프’의 구호이다. 이 캠프는 미래 정보기술 환경에 능동적으로 대처할 금융보안 전문가 양성을 목적으로 올해 처음 열린 행사이다.

 

18일 첫날, 안성연수원에 도착한 참가자들은 각자 짐을 정리하고, 조끼리 모여 앉았다.
 
첫 강연으로 전자금융 이러면 안전할까?’라는 주제로 김인석 금융감독원 부국장이 강연을 했다. 전자금융의 IT 사고 사례를 들며 그에 대한 조사 방법을 설명했다.

이어서
신기술 기반 금융보안 추진 현황’을 장재환 금융보안연구원 팀장이 발표했다. 신기술 기반 금융보안으로 스마트폰과 IPTV, VoIP에 초점을 두고 그에 대한 금융보안 서비스와 위협 등을 설명했다.

그리고 정보보호 전문 교육 및 자격증 소개’를 맡은 서광석 한국정보보호교육센터 원장의 발표가 진행되었다. 센터가 추구하는 목표를 인성교육, 기술교육, 직무의 전문화라고 소개한 후 보안 기초, 공격 및 침해 대응까지의 교육 과정과, 알아두면 유익한 보안 자격증을 소개했다. 

나를 차별화하기 위해 남보다 2배 더 시간을 써라


약간의 휴식 후 대학생과 전문가 간 만남의 장이 있었다. 가장 많이 나온 질문은 취업 관련 질문보안 캠프가 3, 4학년을 대상으로 한 만큼 당연한 일이었다안철수연구소 조시행 상무는 나를 다른 사람과 차별화할 수 있는 것이 무엇인가? 다른 사람보다 2배 더 시간을 쏟아라.라고 말했다.

또한 이 시간에는 MS사가 추진하는 신뢰할 수 있는 컴퓨팅’이 보안, 개인정보보호 등을 기준으로 둔다는 것, 보안 관제가 여러 시스템의 로그를 분석하고, 실시간으로 문제점을 조사 및 분석하는 업무라는 것을 알게 되었다.
 보안 업계에 관심이 있는 대학생들이 전문가들에게 궁금증을 해결하고, 조언도 얻을 수 있는 흔하지 않은 기회였다.

뒤늦은 개회식에서 한국정보보호학회 임종인 회장은 최근 정보보호 동향 및 향후 과제’를 발표했다. 최근 정보보호 동향으로 스마트폰 보안을 소개하고 스마트폰의 보안 위협 및 대응, 확대하여 모바일 오피스 보안, 그리고 스마트폰 전자금융 서비스 보안까지 설명했다. 스마트폰 관련 주체별 정보보호의 역할을 강조하며 "정부를 비롯하여 금융과 보안업계, 통신업계 등 이해관계자가 적극적으로 참여하여, 신뢰성 있고 안정적인 정보보호 인프라 구축을 해야 한다."라고 말했다.


둘째 날인 19일, 첫 발표는 제 7회 해킹방어대회 최우수상을 수상한 순천향대 최현우씨의 해킹의 이해였다. 해커와 해킹은 무엇인가에서부터 해킹의 역사, 해킹의 사고 사례, 국내외 해킹대회 그리고 해킹방어대회 문제풀이를 설명했다. 같은 대학생이지만 해킹방어대회에서 입상하고, 발표까지 능숙하게 하니 모든 대학생의 부러움을 받았다

이어서  악성코드 현황과 대응 전략’을 주제로 조시행 안철수연구소 상무가 발표했다. 2010 상반기의 주요 보안 위협으로 사회 공학 기법, 허위 백신, 제로데이 취약점, SNS기반의 보안 위협 등을 꼽았다. 그리고 그에 대한 안철수연구소의 대응 방안을 소개했다. DDoS 대응 방안과 위협 관리’를 발표한 박종석 나우콤 과장은 7.7 DDoS 대란 때의 상황과 DDoS 탐지 및 방지 방안, 그리고 보안 관제 시스템을 소개했다.

임형준 이글루시큐리티 과장은 정보보안관리 동향 및 발전 방향을 발표했다. 발표하기에 앞서 흥미로운 퀴즈를 내 흥미를 유발했다.

대학 중퇴자이며 자기 회사에서 쫓겨난 사람은
10
100승은?

그럼 애플과 구글의 공통점은?
.
.
각 질문의 답은 스티브 잡스구글, 차고에서 시작했다는 것.
그렇다면
, 우리의 차고는 어디인가?


마지막으로 ‘IT 컴플라이언스와 보안 컨설팅’을 주제로 최동근 롯데정보통신 이사가 발표했다, IT 컴플라이언스란 금융기관의 임직원 모두 법규 및 규정을 준수하도록 통제 감독하는 것을 의미한다. 이것의 필요성과 구축 사례, 정보보안 컨설팅 방법론 등을 소개했다.

 직접 본 관제센터, 역시 철통 보안


모든 세미나가 끝나고
, 조별로 토론회가 열렸는데 주제는 전자금융 보안 개선 아이디어 토론 및 제안이었다. 5시간에 걸친 이 토론회는 전공자, 비전공자 모두 함께 참여할 수 있고, 더욱 간편하게, 더욱 안전하게 전자 금융 거래를 할 수 있도록 스마트폰, OTP, 공인인증서, 보안토큰 등의 단점을 보완할 수 있는 아이디어들이 많이 나왔다. 또한 현 실무자가 아니기 때문에 아이디어의 참신성도 돋보
였다
.

 

셋째 날인 20, 정든 안성연수원을 떠나 롯데정보통신 통합관제센터를 방문했다. 보안이 생명인 만큼 사진 촬영이 불가능했고, 비밀번호+정맥인식을 통해 출입이 가능했다. 관제센터에는 전세계에 존재하는 운영체제 및 네트워크 장비가 구축되어 있었다. 이어 서버가 있는 전산기계실과 문제 발생 시 배터리를 백업하는 UPS실을 둘러보았다. 그리고 LG CNS에 있는 OTP통합인증센터를 견학했다. 이 곳은 비밀번호 입력, 정맥 인식, 그리고 몸무게 측정을 해야 출입이 가능했다. 현 몸무게와 저장된 몸무게의 오차 범위 내에 비교하는 것이었다관제센터와 클라우드 컴퓨팅, 유비쿼터스 기술과 통합 OTP를 볼 수 있었다.

 

2 3일 간 세미나, 현장 견학으로 금융 보안에 대해 배우고, 최근의 보안 동향까지 알 수 있었다. 또한 새로운 친구를 사귀고, 다른 사람의 생각도 들을 수 있는 자리였다. 첫 발을 뗀 캠프가 잘 자리잡아 많은 대학생에게 좋은 경험과 앞으로 나아갈 발판을 제공했으면 한다. Ahn

대학생기자 윤소희 / 순천향대 정보보호학과


윤소희가 '보안세상'에 왔습니다. 아직도 절 모르신다구요 ? 더 강한 파워, 더 색다른 매력, 더 불타는 열정으로 ! 풋풋함과 눈웃음까지 겸비한 여자! 그리고 뻔뻔함까지 ! 누구라도 기억할 만하지 않나요?



댓글을 달아 주세요

  1. 율무 2010.09.01 10:05  Address |  Modify / Delete |  Reply

    "나를 차별화하기 위해 남보다 2배 더 시간을 써라"라는건 취업 준비생 뿐만 아니라 직장인에게도 해당하는 말 같아요. 요즘 일이 바쁘다고 느슨해 진 것같은데 포스팅을 읽으니 정신이 번뜩 드네요~^^

전문가가 말하는 안전한 HTS 인터넷 증권 거래

얼마 전, 많은 개인 투자자를 놀라게 할 만한 뉴스가 나왔다. 손쉽게 주식 거래를 할 수 있어 개인투자자 대다수가 이용하는 HTS(HomeTrading System)가 해킹에 취약하다는 것. 방송에서 한 해커는 계좌번호만 알면 그 계좌에 얼마가 들어있는지도 알 수 있고 임의로 주식 주문을 넣거나 돈을 이체할 수 있다며, 실제로 간단한 조작으로 돈을 빼내는 것을 보여줬다.

뉴스에 따르면 금감원과 증권사도 이미 이런 문제점을 파악해 적절한  방안을 마련 중이라고 했다. 그 '방안'의 열쇠는 역시 안철수연구소에 있었다. 
증권 거래 중 개인정보 유출을 막아주는 보안 솔루션인 'AOS 시큐어 브라우저'(AhnLab Online Security Secure Browser)가 바로 그것. 한국투자증권, 우리투자증권, 신한금융투자 등 국내 유수 증권사에 공급되어 해당 증권사의 HTS 사용자는 맘 편히 HTS를 사용할 수 있는 것이다.
세계 최초 시큐어 브라우저 기술 특허 획득
안전한 HTS 거래 위한 시큐어 브라우저 확산

독보적인 고유 기술로 인터넷 증권 거래 보안 분야에서도 리더십을 보여주는 이들. 안철수연구소 보안기술팀의 AOS 개발자들을 만나보았다.  

PM(프로젝트 매니저)인 지창해 선임은 AOS는 시큐어 브라우저뿐 아니라 키보드 보안, 방화벽, 안티바이러스 및 안티스파이웨어까지 다양한 기능을 갖춘 '금융보안 패키지'라고 소개했다. 그리고 이 4개 프로그램을 업데이트해주는 스마트 업데이트i로 구성된다고

제품의 고객이 주로 금융권이라 신속한 대응이 필요해서 개발팀 내에 기술지원팀도 함께 있는 것이 특징이다
보안기술팀이 개발실이 아닌 글로벌사업본부 내에 속한 것도 같은 이유라고.

4개 프로그램 중 최근에 부각된 'AOS 시큐어 브라우저'를 도입한 고객사의 반응은 어떨까? 지PM에 따르면 언론에 보도된 3월 이후 많은 증권
사에서 테스트
, 도입을 검토 중인데 긍정적인 반응이 많다. AOS가 HTS의 취약점에만 초점을 맞춘 제품은 아니지만 한번 이슈가 되고나니 고객의 관심이 주로 그쪽에 쏠릴 수밖에 없다.

사실 HTS를 사용하는데 보안 프로그램이 작동하면 귀찮아하는 사용자도 있을 터. 일반인이 'AOS 시큐어 브라우저'를 사용할 때 불편한 점이나 주의할 점이 있는지 물었다.

김윤석 책임연구원은 "증권사 HTS에 들어가는  'AOS 시큐어 브라우저'는 SDK로 제공되어 별도 UI 없이 작동하기 때문에 사용자가 불편해할 점은 거의 없습니다."라고 설명했다.

이어서 "사실
보안 프로그램은 약간의 불편함과 어색함, 거부감이 있을 수 있어요. 'AOS
시큐어 브라우저'는 안철수연구소 사내 그룹웨어에 먼저 적용되었는데 직원들도 처음엔 인터넷 익스플로러나 크롬 등 주로 사용하는 브라우저가 아닌 시큐어 브라우저가 먼저 실행되니 불편을 겪었을 거에요. 하지만 직원들의 협조로 안정화 작업을 잘 마쳤습니다. 향후 조금의 불편함이라도 줄이기 위해 전용 브라우저가 아닌 형식으로 제공하는 개선 방안을 생각 중입니다."라고 말했다. 

*SDK(Software Development Kit) : 일반적으로 소프트웨어 기술자가 특정한 소프트웨어, 하드웨어 플랫폼, 운영체제 등을 위한 응용 프로그램을 만들 수 있게 하는 개발 도구의 집합이다.  샘플 코드를 포함하여 기술 참고나 지원 문서를 지원함으로써 사용자에게 명확한 요점을 제공한다. 때로는 API(Application Programming Interface)와 같은 의미로 사용된다.


기술지원을 담당하는 원종혁 연구원은 개발 중 에피소드로 '컴키퍼' 악성코드 이야기를 들려주었다. 이는 안철수연구소, 마이크로소프트 등 특정 웹사이트의 URL을 차단하는 악성코드.

"
컴키퍼"에 감염된 고객이 증권 프로그램을 잘 사용하다가 안철수연구소 제품이 적용되면서 사용을 못하게 되는 경우가 있었어요.
그런데 이런 문제가 발생하는 이유가 PC 환경에 따른 문제가 많고, 안철수연구소 제품이 적용되기 이전에 바이러스나 스파이웨어가 PC에 있어서 보안 솔루션이 동작하지 않는 경우가 많아요. 인터넷 뱅킹이나 증권 프로그램을 이용할 때 기본적으로 백신을 먼저 설치하면 이런 문제를 겪지 않을 수 있죠."


이연조 선임연구원은 "최근 보안 시장이 급변하고 있어요. AOS가 조금은 알려졌지만 아직 많이 부족한 상태라고 생각해요. 시장과 기술의 변화를 따라가기 위해서 앞으로 더 많은 노력을 해야합니다."라며 긴장을 늦출 수 없는 정보보안 개발자의 면모를 드러냈다. 

이들은 안철수연구소 내부에서 AOS, 보안기술팀이 차지하는 비율이 크지는 않지만 틈새시장을 넘어서서 V3 못지않은 수익원이 되기 위해서 열정을 태우는 중이다. 

덧붙여 "금융권 보안 시장이 경쟁이 치열하다보니 살아남기 위해 취약점을 과장해서 이슈화하는 정직하지 않은 경우도 있는데요. 저희는 지금까지 해왔듯이 정직함을 기초로 한 개발과 영업을 하고 싶어요."라고 입을 모았다. Ahn

사내기자 유지형 / 안철수연구소 디자인팀
대학생기자 김경수 / 한양대학교 전자통신컴퓨터학과


댓글을 달아 주세요

  1. 하나뿐인지구 2010.08.05 11:01  Address |  Modify / Delete |  Reply

    와...맥주병 토끼시다...^^;...

  2. 초록별 2010.08.05 11:04  Address |  Modify / Delete |  Reply

    그리고...v3라이트 베타 하던데...현재 여러 서버 업데이트 하는 거...
    주변 뭐더라 하면...v3 감염된 거 업데이트 받게 되면...
    좀비 확산 되는 거 아닌가요?...(그럴리는 없겠지만...)

    • 보안세상 2010.08.09 08:50 신고  Address |  Modify / Delete

      분산파일전송엔진 업데이트를 말씀하시나봐요 ^^
      저희 안랩에서 제한된 접근권한으로 특정팀에서만 업격하게 관리하고 있고, 지난 1년 반 이상의 준비 기간 중 제시된 다양한 보안관점의 요구와 수많은 사내 해킹 테스트를 마친 상태이기때문에 더 안전하고 성공 확률도 높답니다 ^^

  3. 율무 2010.08.05 11:45  Address |  Modify / Delete |  Reply

    HTS가 해킹에 취약하다니.. 주식은 하고있지 않지만 왠지 무섭네요;; 그래도 안랩이 있어서 언제나 든든합니다~>ㅁ<

  4. 이름없음 2011.01.14 10:44  Address |  Modify / Delete |  Reply

    증권사에서 취약점을 근본적으로 제거하면 좋겠지만 그게 여의치가 않으니 지금까지 방치?되고 있는거겠죠. 그런점에서 aos가 모두는 아니더라도 어느정도 보호를 해주는 것 같은데..

    문제는 aos가 미적용된 증권사 hts(동양)를 쓰고 있는데 좀 불안하네요.
    포스팅된지가 8월이고 지금은 해가 바뀌고 1월이니 지금쯤이면 해결되었을지도 모르겠군요.