“강력한 정책도 필요하지만, 감독기관·업계 보안사례 공유돼야”

농협중앙회는 국내 어느 금융기관보다 정보보호 체계를 강화한 조직 중에 하나로 꼽히고 있다. 이는 지난 2011년 4.11사태와 3.20사태의 영향을 겪은 이유도 크다. 특히 지난 3.20사태 이후 농협중앙회는 5월 3일부로 조직개편을 단행했다. 이에 따라 정보보호 기획/보안운영/보안분석 3개팀 37명이 정보보호부 직속에 포함된다. 외주 보안인력까지 합친다면 약 80여 명에 달한다. 이번에 신설된 보안분석팀은 외부 공격이나 내부 정보 유출을 방지하기 위해 지속적인 로그 및 형태 분석, 관련 정보들의 흐름을 분석해 보안 사고를 사전에 방지할 수 있는 체제를 갖추게 되며 그 역할은 점차 중요해질 것으로 예상되고 있다.
농협중앙회는 종합보안대책 지침에 따라 인터넷망과 업무망을 구분하는 망분리의 방향성이 확정되게 되며 현재 망분리까지 포함해 약 1,500억 원에서 2,000억 원에 육박하는 보안 예산을 투입하게 될 것으로 전망하고 있다. 이는 금감원에서 권고하는 5.5.7 모범규정을 상회하는 수치다. 복구체제 시스템, 각종 인터넷 통제 정책 등 주요계획을 올해 연말까지 진행한 뒤 내년 고도화를 앞둘 계획인 농협중앙회. 이곳의 정보보호를 책임지고 있는 박주일 정보보호부 부장을 만나 최근 이슈와 계획에 대해 들어봤다.

이지혜 팀장 jh_lee@ciociso.com

“외부 공격에 대한 방어, 내부 정보 유출 방지. 정보보안의 기본적인 두 가지 역할을 충실히 하기 위해 총력을 기울일 예정이다.”
지난 5월 조직개편으로 농협중앙회 정보보호부의 책임자를 맡게 된 박주일 부장은 이와 같이 말하며 농협중앙회의 계획을 정리했다. 특히, 농협은 지역 단위 농협부터 농협은행, 손보, 생보 모두 중앙회 IT 본부에 위탁해 관리하고 있다. 은행, 보험, 카드, 축산 등 다양한 분야를 아우르고 있는 만큼 각각에 맞춰 어떠한 보안정책을 적용해야 할 지에 대한 농협중앙회의 고민도 이어지고 있다.
이에 대해 농협중앙회 측은 금융당국의 보안종합대책을 기반으로 그에 대한 규제 준수와 함께 상세한 부분의 보안강화가 이뤄질 것으로 내다보고 있다.

▲ “국가급이 주도하는 테러기관이 타 국가를 표적 삼아 몇 년간 준비한 공격을 시행한다면 이를 피하기는 힘들다. 국가 감독기관이 금융기업과 서로 공조해 대응할 수 있는 커뮤니티를 마련해주는 것이 시급한 일이다” 박주일 농협중앙회 정보보호부 부장

농협중앙회는 3.20사태 이후 5월 3일자로 일부 보안조직개편을 시행했다. 정보보호부 조직 강화를 위해 실무 팀장과 책임자등 총 3명의 인원을 추가 투입한 것이다. 현재 농협중앙회 정보보호부는 정보보호기획팀, 보안운영팀, 보안분석팀으로 구성돼 있으며 내부 인원은 37명에 달한다. 외주 인력까지 합칠 경우 80여 명에 달하는 대형 조직이다.
정보보호기획팀은 보안과 관련되는 각종 정책과 그게 따른 분야별 세부 수행기능 등을 총괄하게 된다. 보안운영팀은 현재 운영중인 각 보안시스템을 담당하며, 보안분석팀은 로그 분석 및 통계, 사전 감지되는 사항들에 대한 부분을 면밀히 체크한다. 기존 농협중앙회는 정보보호기획팀과 보안운영팀만을 전담으로 운영했으나 최근 보안분석에 대한 중요성이 높아짐에 따라 추가 배치시켰다.
박주일 부장은 “외부 공격이나 정보가 유출되는 두 경로를 철저히 차단하기 위해서는 다수의 로그 형태를 분석해야 할 필요성이 있다”며 “사고 가능성이 있는 부분들을 면밀히 체크해 사전 방지할 수 있는 체제를 갖춰야 하기 때문에 보안분석의 역할과 요구사항은 점차 높아지고 있다”고 전했다. 현재 농협중앙회의 가장 큰 보안 이슈는 망분리이다. 과거에 논리적/물리적 망분리를 모두 테스트 했던 농협중앙회는 각 방법마다 일장일단이 있다고 밝히고 있다.
지역단위 농협부터 농협은행, 손보, 생보 등이 모두 농협중앙회 IT 본부에 위탁된 만큼 IT 본부는 올해 하반기에 4,000여 개 지역단위 농축협까지 내부망과 외부 인터넷망을 분리한다는 계획이다. 농협중앙회는 또한 지난 3.20사태 직후 영업점에서의 인터넷망 사용을 전면 금지한 바 있다. 4월부터 은행, 사업, 경제 등 각 본부부서들을 비롯해 지난달 부로 화이트리스트(White list)까지 모두 차단시킨 상태다.
박 부장은 “이에 대해 영업점에서 강한 불만이 제기됐지만 강력한 정책을 유지하고 있다”며 “업무용으로 꼭 필요한 사이트 일부는 열어둔 상태지만, 인터넷망 차단으로 과거 약 70%의 CPU가 소요됐다면 현재는 20~30%까지 현저하게 줄어든 점을 확인할 수 있어 단계별 제어를 통한 정책이 효과를 보고 있다”고 밝혔다. 또한 과거 농협은 타 은행과 달리 단말기 수만 해도 약 6,000개에 달하는 지역단위 농축협이 많아 전산장애가 일어날 경우 복구까지의 소요시간이 많이 걸린다는 지적을 받아왔다.
이에 대해 농협중앙회는 취약점 해결을 위한 영업점 PC에 직접 보안 요원이 방문하지 않아도 복구가 가능한 자체 솔루션 시스템을 개발 중에 있다. 박 부장은 또 “영업점에 있는 단말기나 PC를 통제할 수 있는 체제를 갖추기 위한 작업이 준비 중이며 영업점 각 센터에 몰려 있는 기기를 통제해야 정보 유출 방지는 물론 각종 데이터를 분석할 수 있는 방안이 마련될 것”이라고 덧붙였다.

감독기관과 기업이 공조한 커뮤니티 필요

농협중앙회는 지난 2011년 사고와 이번 3.20사태를 겪으면서 보안부분에 대해 어느 기업 못지않은 투자를 지속적으로 이어가고 있다. 망분리 작업까지 진행될 경우, 약 1,500억 원에서 많게는 2,000억 원에 이르는 보안비용이 투입되며 이는 금융감독원에서 요구하고 있는 5.5.7모범 규정을 훨씬 뛰어넘는 수치이다.
하지만 농협 역시 보안의 완벽성에 대한 고민은 끊이지 않는다. 공격자 입장에서 악의적인 마음을 품고 공격을 지속한다면 이를 당해낼 재간이 없기 때문이다. 박 부장은 “금융당국에서는 각 금융기관들이 보안 사고를 최소화 할 수 있도록 예언적인 부분을 정책으로 제공해줘야 한다”며“ 또한 대형 사이버테러나 정보유출이 아니더라도 소소한 침입사례 유형이 많을 텐데 이를 금융당국이 수집해 업계가 공유할 수 있는 사례집을 만들어줬으면 한다”는 바람을 나타냈다.
보안사고 발생 시 기업 징벌과 책임 소재 파악에만 급급할 것이 아니라 금융기관들이 사전에 효과적으로 공격에 대응할 수 있는 방책을 달라는 말로 풀이된다. 그는 또 “농협만해도 두 차례 공격의 표적이 됐지만 북한이라는 국가급이 주도하는 테러기관이 타 국을 표적 삼아 몇 년간 준비한 공격을 시행한다면 이를 피하기는 힘들다”며 “국가 감독기관이 금융기업과 서로 공조해 대응할 수 있는 커뮤니티를 마련해주는 것인 시급한 일”이라고 강조했다.
현재 농협중앙회는 과거와 비교해 내부자 보안 인식이 상당부분 높아졌으며 지속적인 교육을 이어가고 있다. 과거에 인터넷 뱅킹 등 국한된 보안 사고에 대한 관심이 높았다면 현재 보안 전 방위에 관련된 부분에 대해 전사적 관심이 모아지고 있다. 이에 업무 팀 직원들은 기존 보안업무 외에도 각 사업단 업무 영역에서 일어날 가능성이 있는 부분에 대해서도 연구와 대책수립을 강구하고 있다. 외부위탁 교육을 수행할 경우에도 직원들이 실제 일어났던 사례중심의 교육을 최대한 접할 수 있도록 유도중이다.
박 부장은 “여러 사업 분야를 지닌 농협은 보안에 대해 더욱 민감할 수밖에 없으며 이는 이제 기업의 존폐를 결정하게 될 사항”이라며 "연달아 공격의 표적이 됐던 불상사는 있었지만 이로 인해 농협 기업 또는 관련 직원들의 보안노력이 물거품 되는 것을 방지하는 것 또한 앞으로 풀어나가야 할 숙제”라며 향후 보안활동이 더욱 강화될 것을 시사했다.