분산서비스거부(DDoS), 지능형지속가능위협(APT), 스미싱, 악성코드, 좀비PC 등 보안전문가들만 알고 있었던 용어들이 이제는 일반 사람들의 대화 속에서도 단골주제로 등장한다. 우리나라 주요 전산망, 정부기관, 금융기관 등을 노린 해킹이 피부에 와닿는 현실이 됐기 때문이다.
지난 3.20, 6.25 사이버 테러 이후 보안위협은 설마 하는 사용자들에게 직접 피해를 입힐 수 있을 정도의 위험수위에 이르렀다. 지디넷코리아 특별기획에서는 우리 사회/산업의 핵심 보안 이슈를 점검하고, 개인/공공/기업의 정보 자산을 보호해 줄 수 있는 솔루션을 갖추고 있는 경쟁력 있는 보안 기업에 대해 살펴본다.[편집자주]
지난 7월 국내 1호 해커로 알려진 김재열씨가 KB금융의 최고정보관리책임자(CIO)로 발탁됐다. 금융회사에서 해커 출신 보안 전문가를 임원급 자리에 임명하는 것은 이례적인 일이다. 그만큼 금융권에서 보안에 대한 관심이 높아지고 있다는 사실을 반영한다.
실제로 3.20 사이버 테러 이후 수많은 스미싱 사건들이 쏟아지는 등 신종, 변종 전자금융사기가 끊이지 않고 있는 실정이다. 금융위원회, 미래창조과학부, 경찰청, 금융감독원 등은 지난달 29일 합동경보를 발령하고 신변종 수법에 대한 주의를 당부했다.
이 중에는 정상 인터넷 뱅킹 사이트에 가짜 팝업창을 띄운 뒤 이체에 필요한 보안카드 비밀번호 앞뒤 2자리를 탈취해 자금을 이체하는 일명 '메모리 해킹' 방법이 등장했다. 이 수법은 신종 방식임에도 불구하고 지난 6월~7월 중 112건, 6억9천500억원의 피해를 입혔다.
이밖에도 문자메시지를 통해 모바일 뱅킹 애플리케이션(앱)을 위장한 악성앱을 설치하도록 유도하고 여기에 표시된 번호로 전화를 걸면 사기 전화로 연결돼는 등의 수법이 등장했다. 문자메시지로 청첩장이나 돌잔치 등을 위장한 악성 파일을 설치하도록 유도하는 유형도 최근 급증했다.
■달라진 금융 보안 정책 뭐가 있나
전자금융사기를 예방하기 위해 지난 7월 금융위는 3.20 사이버 테러 이후 금융전산 종합점검 결과를 반영한 금융전산보안강화종합대책을 발표했다. 이에 따르면 금융권 공동 백업전용센터 구축, 금융정보공유분석센터(금융ISAC)의 역할 확대, 업무망과 인터넷망의 분리, 이상금융거래 탐지시스템 구축 확대, 침해사고전담반 운영 등이 포함된다.
지난 5월 22일 공포된 전자금융거래법 개정법률은 오는 11월 23일부터 본격적으로 시행된다. 여기에는 해킹사고로 인한 이용자 손해에 대한 금융회사의 일차적 책임 명확화, 금융회사 등의 정보기술부문 계획 수립 및 금융위 제출 의무화 및 계획 관련 CEO책임 강화, 금융회사 전자금융기반시설의 취약점 분석·평가 의무화, 해킹 등 전자적 침해행위 금지 및 침해행위에 대한 대응 체계 강화, 금융회사 등이 전자금융거래 안정성 확보의무 불이행시 제재 근거 신설 등을 담고 있다.
최근에는 전자금융사기 예방서비스를 이달 26일부터 전면 시행할 예정이다. 이에 따르면 기존 공인인증서 발급 및 재발급시 보안카드, 일회용 비밀번호(OTP) 외에 지정된 단말기를 통한 추가 인증을 거치도록 하고 있다. 이에 따라 피해예방을 위해 금융사들이 짊어져야 할 부담은 점차 늘어나고 있는 추세다.
■금융보안위협의 진화, 대응법은...
증가하는 전자금융거래의 취약점에 대응하고, 정부 차원의 규제에 맞추기 위해 금융권의 고민이 깊어지고 있다. 이에 대응하기 위해 국내 보안기업들은 파밍 방지용 솔루션, 파일전송구간 암호화, 웹방화벽, DB암호화, 비 액티브X 기반 솔루션 등으로 시장을 공략하고 있다.
이니텍 보안사업본부 사업기획팀 최정우 차장은 기존 보안 위협이 네트워크 망과 같은 핵심 인프라 침투를 통해 이뤄져 경계가 뚫리느냐 그렇지 않느냐가 관건이었다면 최근에는 내부 인력에 의한 사고, 모바일 기기, 애플리케이션(앱) 등을 통하 위협이 증가하고 있어 고려해야할 지점이 다양해지고 있다고 설명했다.
이 회사는 상반기에 DB암호화 솔루션 '세이프DB', 모바일 싱글사인온 솔루션 '이니세이프 소넵스', 통합접근제어 솔루션 '시넵', 비액티브X 방식의 금융거래 솔루션 '모아사인' 등의 솔루션 구축 계약을 체결했다.
하반기에는 새롭게 선보일 통합 보안 프레임워크 '이니서비스'의 첫번째 솔루션인 '이니서비스 팜프리'를 통해 파밍을 방어한다는 계획이다. 이 솔루션은 외부 프로그램을 통해 종료되지 않고 부팅과 함께 상시 구동돼 보호 대상 도메인, 보호범위를 정책 서버로 부터 수신받아 불법 사이트를 탐지/방어하는 기능을 수행한다. 해당 솔루션은 인터넷익스플로러를 지원 중이며 크롬, 사파리, 파이어폭스 등 다른 웹브라우저까지 지원한다는 계획이다. 이 회사 관계자는 최근 문제가 된 '메모리 해킹' 방어 기능도 포함하고 있다고 밝혔다.
소프트포럼은 자사 금융보안솔루션 중 웹위변조 방지 솔루션인 '제큐어 웹쉴드'를 업그레이드 했다. 이 회사측은 기존과 달리 비액티브X 방식으로 별도의 프로그램을 설치하는 대신 서버 기반으로 동적 해시를 통해 웹무결성, 위변조 방지기능을 제공한다고 설명했다.
파밍에 대응해 특정 웹사이트에 악성스크립트가 삽입되는 등의 공격을 막는다는 것이다. 지난해 말 선보인 제큐어웹 멀티는 비액티브X 기반 웹표준에 따른 공개키암호화(PKI) 인증 툴킷으로 멀티OS/멀티웹브라우저를 지원한다.
소프트포럼 관계자에 따르면 이 회사는 오는 26일부터 시행 예정인 전자금융사기 예방서비스 의무화에 따라 투채널 인증이 확산될 것으로 예상된다. 이 회사는 이달 말께 관련 제품을 출시할 계획이다.
■지란지교, '금융사 내부정보' 관리 솔루션 제공
금융사 내부 정보의 관리도 중요한 영역이다.
지란지교소프트는 기존에 대기업, 금융기관 등에 구축한 보안 웹하드 기반 전송결재시스템을 통해 보안성을 높일 수 있다고 설명했다.
이 회사는 '오피스하드 타스'라는 솔루션을 통해 USB드라이브, CD 등의 저장매체를 이용하지 않고서도 온라인 상 기안품의, 결재, 수신인 지정 발송, 암호화 전송 등의 기능을 구현할 수 있다고 밝혔다.
이 방식은 쉽게 말해 온라인 상에 파일을 송수신할 때도 관리자로부터 허가를 받도록 하는 솔루션이다. 금융권 내부에서 오가는 정보들 가운데 개인정보, 계좌번호, 신용카드 내역 등이 유출되지 않도록 온라인 상의 결재를 거쳐 파일을 전송하도록 하는 방식이다. 이 솔루션은 현재 신한카드, 삼성화재, 한화손해보험, 한화생명 등에 도입됐다.
기존에 회사 내에서 파일 송수신을 위해 일반적으로 사용되는 방식 중 하나가 FTP서버/파일서버를 통한 송수신이다. 그러나 이 방식은 사용에 대한 로그가 남지 않고 별도의 승인과정이 없어 보안위협으로부터 취약하다는 지적을 받아왔다.
관련기사
- 주민번호 유출한 금융기관 5억원 과징금2013.09.04
- 돌잔치 스미싱 등 금융사기 정부 합동경보2013.09.04
- [ICT특별기획 2013]빅데이터 보안, 정교함이 관건2013.09.04
- [ICT특별기획 2013] "보안 적색경보...우리에게 맡겨라"2013.09.04
이와 더불어, 금융 분야에서는 네트워크 방화벽 외에 은행 사이트에 대한 위변조를 막기 위해 웹방화벽이 필수다. 2011년 개인정보보호법 개정안이 시행되면서 데이터베이스(DB) 암호화 시장도 급부상했다. 관련 시장에서 펜타시큐리티는 웹방화벽 '와플', DB암호화 솔루션 '디아모'를 공급 중이다. 이 회사는 와플은 현대증권, 메리츠종금증권, DB암호화는 대신증권에 도입했다.
금융권에서 DB암호화는 뜨거운 감자다. 증권사의 경우 이를 도입하면 성능이 느려져서 수 초 단위로 이뤄지는 거래에 장애가 올 수 있다는 점을 걱정한다. 이와 관련 펜타시큐리티측은 비즈니스 업무를 면밀히 분석해 고객사의 아키텍처에 맞게 적용한다면 안전성, 성능 등에 문제가 되는 일은 거의 없다고 설명했다.