[디지털데일리 박기록, 이종현 기자] 코로나19 팬데믹 이후, 국내 금융권에서는 ‘랜섬 디도스’ 공격이 적지않게 시도됐다. 공격작들이 비대면 상황, 언택트 상황 자체를 이용했다는 분석이다. 물론 공격이 현실화되는 경우도 있었지만 때로는 ‘협박’ 자체로 끝나는 경우도 적지 않았다.
“금융산업에 있어 이제 보안 위협 일상화는 현실이 됐다”는 게 전문가들의 지적이다.
올해 국내 금융권의 IT보안 투자 전략은 ‘통합 보안’에 무게가 실리고 있다. 보안 위협의 범위가 크게 넓어진데다, 해킹이나 디도스와 같은 전통적인 보안 이슈외에 AML(자금세탁방지)와 같은 규제 대응 이슈에도 보안의 역할이 동시에 중요해졌기 때문이다. 여기에 비대면, 디지털 금융의 확산, 마이데이터 시대의 개막으로 데이터 보안도 새로운 고민이다.
이같은 광범위한 보안 위협의 증가는 더 이상 사람의 힘으로는 불가능하기 때문에 AI (인공지능)의 힘이 필요해졌다. 따라서 AI 기반의 보안 인프라 고도화 투자가 은행권을 중심으로 전방위적으로 진행되고 있다.
다만 아직도 현장에선, 국내 금융회사 CEO들의 보안 투자 마인드가 여전히 구시대적이라는 지적이 적지않다. 보안 위협에 대한 적극적, 선제적인 대응 전략보다는 여전히 과거의 방어적, 수동적인 입장에서 변하지 못했다는 분석이다. 또한 금융회사 내부 보안 조직의 구성과 직제에 있어서도 디지털 관련 조직에 비해서는 상대적으로 주목받고 있지 못하다는 평가다.
◆AI기반 보안인프라 고도화 투자 필요성 증대
KB국민은행은 올해 ▲사이버보안체계 고도화 및 정보보호 활동 강화 ▲AI 기반 방어체계를 지향하는 보안위협대응 자동화 시스템 및 프로세스 구축 ▲‘포스트 코로나’ 대응 정보보호 안정성 확보 및 정보보호 활동 강화를 주요 보안부문 IT사업 과제로 꼽았다. 특히 IT 신기술에 대응하기위한 정보보안 관리체계를 추가로 확보 예정이다. 이와함께 ▲개인(신용)정보 활용∙관리실태 상시 평가체계 구축 ▲마이데이터 확산 등 데이터활용 지원 및 법규준수 부문 효율화, ▲KB 중심의 오픈 생태계 확장에 따른 표준 정보보호체계 지원에도 나서겠다고 밝혔다.
NH농협은행은 ▲AI 기반 보안관제 2단계 사업(AI 위협탐지시스템 구축 사업자 선정) ▲EDR 3단계 사업 최종 완료 (전 영업점 대응) ▲‘문서 무해화 시스템’ 구축 추진 ▲2022년 SOAR 추진을 위한 사전 대응 완료(솔루션 선정 등)를 올해 주요 보안부문 사업 과제다.
우리은행은 ▲AI/빅데이터 기반의 최첨단 보안관제 등 운영 고도화, ▲해킹·DDoS 등 보안침해 효과적 차단 ▲클라우드·재택근무 등 가상화 환경 기반 보안 인프라 지속 강화 ▲그룹 제 2 IT센터의 신축 등 안정성 확보위한 보안 인프라 강화 추진 등이 주요 사업이다.
신한은행은 ▲보안 인텔리전스(Security Intelligence) 체계 강화 ▲‘침해위협 지능형 분석체계’ 및 ‘사이버공격 시뮬레이션 자동화 체계’ 구축 ▲디지털 금융보안 방어체계 확립 (‘보안 취약점 자동조치 시스템’ 및 ‘오픈소스 보안취약점 점검시스템’ 구축)에 나선다. ‘보안 취약점 자동조치 시스템’은 디지털금융서비스의 안정성·신뢰성 확보가 목적으로, 발견된 보안취약점에 대한 자동조치 체계를 구축하겠다는 전략이다. 특히 신한은행은 이 시스템이 국내 최초로 시도되는 보안취약점 개선 혁신 모델인 만큼 BM(비즈니스 모델) 특허도 출원할 예정이다. ‘오픈소스 보안취약점 점검시스템’은 국내 금융권에서 오픈소스 채택이 크게 증가하고 있는데 따른 보안 투자다.
하나은행은 하나금융그룹 전사적 차원, SOAR 구축위한 PoC 및 솔루션 점검 등 사전 대응 추진 (모니터링 및 장애 대응 체제 강화). 하나금융그룹 공동솔루션(FIDO, mOTP 등) 무장애 서비스 확대 등이 주요 추진 과제다.
IBK기업은행은 올해 2월, 보이스피싱 피해예방을 위한 인프라 구축 및 솔루션 도입, 업무 통합에 나섰다. 전기통신사기 AI모니터링 시스템 구축과 솔루션 커스터마이징을 통해 기존 FDS시스템의 기능 고도화를 진행했다. 기업은행은 과‧오탐 감소를 통한 정탐율을 높여 사고 예방건수를 증대시키고 AI주기적인 학습을 통해 최신 사기에 대한 탐지시나리오 설정과 FDS와 모니터링 시스템 통합으로 업무 효율성을 증대시킬 계획이다.
DGB대구은행도 올해초 언택트 확대에 따른 디지털 기술의 발전으로 다양하게 발생하는 금융사기를 예방하기 위해 이상금융거래탐지시스템(FDS)을 고도화했다. 기존 시나리오 기반 탐지방식으로는 지능화·고도화된 전자금융 부정이체, 보이스피싱 등의 전자금융사기 수법에 대한 신속한 탐지·대응에 한계가 있다고 판단, 고도화 프로젝트를 진행했다.
◆사례분석 - NH농협은행 IT보안전략, 주목받는 이유
금융권에서 NH농협은행의 IT보안 전략이 주목받고 있는 이유는 수년간 강도 높게 진행하고 있는 CERT(침해사고대응)전략 때문만이 아니다. 은행장 직속으로 CISO(최고보안책임자) 조직을 두고, 강력한 위상과 권한을 부여하고 있고, 동시에 농협금융 그룹 전반의 IT보안 인프라 강화를 추구하는 IT보안 거버넌스의 모범 사례로 꼽히고 있기 떄문이다.
현재 NH금융지주 산하에는 농협은행, 농협생명, NH손보, NH투자증권 등 다양한 금융계열사가 있고, 농협중앙회 전체적으로 보면 NH경제지주 산하에는 농협하나로마트 등 다양한 경제사업부문이 존재한다.
2011년4월에 발생했던 ‘전산대란’사태 이후, 국내 대형 카드사들의 대규모 개인정보유출 사건등이 연달아 터지면서 국내 금융보안 정책은 큰 전환점을 맞게된다. 농협은행은 경기도 의왕에 대규모 전산센터(NH통합전산센터)를 마련한 것을 비롯해 2014년부터 ‘정보보안부문’을 설립하고, 관리적 및 물리적, 기술적 체계를 담은 73개 종합대책을 마련해 시행에 들어갔다.
이후 농협은행은 성숙단계(2016년)에 이르러서 다시 31개 고도화 계획을 실행에 옮긴다. 이 시점에서 농협은행은 빅데이터 기반 관제가 기존 통합보안관리(ESM)에서 빅데이터 중심으로 전환했다. 이를 통해 하루 평균 3TB이상의 데이터 분석이 가능해졌으며 빅데이터 분석 관제 기능을 본격적으로 갖추게 됐다.
그로부터 4년뒤인 2020년, 농협은행은 AI 기반의 관제시스템으로 전환하고 보다 광범위하고 복잡해진 IT인프라의 보안을 위해 ‘SOAR’ 도입을 본격적으로 검토하기 시작했다.
농협은행이 역점을 두고 있는 CERT전략은 보안관제, 위협인텔리전스, 위협정보통합검역소, EDR 등으로 구성된다.
보안관제(SIEM)는 농협은행이 가장 집중하는 보안영역이다. ‘가시성’과 ‘제어성’이 보안에서는 가장 중요한 영역이다. 농협은행은 악성코드탐지, 디도스 탐지, 보안관제 인프라 가용성 단말탐지 웹해킹 탐지를 위한 투자를 강화하고 있다.
‘위협인텔리전스’ 대응을 위해 금융보안원 등 외부 전문기관과의 긴밀한 연계체계를 구축했다. ‘위협정보통합검역소’는 현재 유통되는 모든 파일에 대한 통합 검역, 제로 트러스트, 기종 샌드박스활용, 정적 및 동적분석 활용 위협 탐지를 위해서 가동중이다. 이를 통해 악성코드 및 비정상트래픽 대응시스템 연계 보안관리효과의 극대화를 달성하고 있다.
‘EDR’은 농협은행이 지난 2019년부터 3단계의 일정으로 진행하고 있는 보안 인프라 강화사업이다. EDR구축을 통해 적극적인 방어가 가능해졌으며 사용자의 행위분석을 완벽하게 파악할 수 있게됐다. 개인정보 오남용 모니터링, 개인신용정보 생애주기 관리 통합 보안체계 구축, 빅데이터기반 사용자 행위분석, 정보보호 점검 활동의 효율적 수단 제공 등이 주요 과제다.
농협은행의 CERT전략 구현은 크게 3단계로 나눠 진행된다. 1단계 ‘보안 데이터 레이크’(Data Lake) 전략, 2단계 AI 기반 보안관제, 3단계 SOAR기반 사이버 종합관제 체계 구축이다.먼저, ‘보안 데이터 레이크’ 구축과 관련, 농협은행은 금융서비스가 5G에 연결되고 빅데이터, 오픈뱅킹, 오픈플랫폼, AI 등 무수히 쏟아지는 데이터에 효과적으로 대응하기위해 AI기반의 분석 툴이 필요하다고 판단했다. 1차적으로 AI기반의 위협 탐지의 역할을 수행한다.
2단계는 ‘AI기반의 보안 관제’로, 이는 올해 주력 사업이다. AI기반 보안관제는 1차적으로 오탐 방지가 목적이다. AI를 통해 오탐을 최소화하고 단순 박복적인 업무를 맡긴다면, 관제에 투입되는 많은 인력을 최대한 효율적을 활용할 수 있을 뿐만 아니라 나아가 보안 인력의 효율적 재배치도 가능해진다는 점에서 주목된다.
3단계는 ‘SOAR기반의 사이버보안 종합관제’ 체계의 구축이다. 금융보안과 관련한 관제의 범위가 너무 넓어지는 것에 대한 일종의 거버넌스 이슈이기도 하다. 오픈뱅킹, 마이데이터, 이상행위(FDS) 등 외부 데이터에 대한 관제가 1차적으로 필요하고, 이어 2차적으로는 금융회사 내부의 개인정보 유출위험도 모니터링이 가능하도록 내부관제도 이를 통해 완성한다. 나아가 클라우드 도입 등 IT인프라의 제3자 위탁 상황에도 적극적으로 대응할 필요성이 있다고 보고 있다. 현재 농협은행은 어떠한 부분을 SOAR에 접목시키는 것이 중요한 것인지, 또한 어떻게 성공적으로 이끌 것인가를 놓고 방안을 구상중이다.
* 본 기사는 디지털데일리가 7월 발간한 <2021년 디지털금융 혁신과 도전>에 수록된 내용을 요약한 것으로, 편집 사정상 책의 내용과 일치하지 않을 수 있습니다.