금융 보안∣ 생명보험사 2016 보안전략

즐겨찾기추가

2024.05.21 (화)

기상청 제공

해당된 기사를 공유합니다
- 가나다라마바사
- 가나다라마바사
- 가나다라마바사
- 가나다라마바사
- 가나다라마바사
- 가나다라마바사

NEWS

금융 보안∣ 생명보험사 2016 보안전략

보험사, 자율보안 따라 새로운 보안정책 마련, 내부 점검 강화

방창완 편집국장 기자
등록 2016.04.01 17:25
조회수 4,059

금융 보안∣ 생명보험사 2016 보안전략

보험사, 자율보안 따라 새로운 보안정책 마련, 내부 점검 강화

보안성 심의 상시화, 소스코드 검증, FDS와 내부 모니터링 체계 고도화

방창완 편집국장 bang@ciociso.com

지난해 하반기부터 금융당국의 보안정책 기조가 자율보안 개념으로 흐름에 따라 그동안 금융당국이 제시하는 보안정책에 의존했던 금융회사들은 올해부터 각사가 새로운 자율보안 정책을 마련하는데 바쁜 나날을 보내고 있다.

한화생명보험을 비롯해 NH생명, ING생명, AIA생명 등 국내 주요 보험사들은 자체적인 기준을 마련하고, 새로운 보안정책을 세우는데 만전을 기하고 있다. 지금까지 PC보안, 방화벽, 네트워크접근제어, 보조기억매체 관리, 망분리, 이메일 악성코드 차단, DB보안, 문서보안 등 하드웨어와 소프트웨어 중심의 보안 솔루션을 도입했던 보험사들은 한발 더 나아가 자체적인 보안 기준정책을 세우고 내부보안 강화와 통합 모니터링에 집중하고 있다.

또한 올해까지 망 분리를 끝내야 하는 의무조항에 따라 대형 보험사들은 대부분 망분리를 마친 상태이지만, 중견 보험사들을 중심으로 망분리 프로젝트가 올해 주요 보안정책의 흐름으로 나타날 것으로 보인다.


▲ 생명보험사 2016 보안전략 <자료:CIOCISO매거진>

하드웨어 보안에서 내부보안, 고도화로 진화

보안정책의 기조가 과거에는 주로 솔루션 구축에 국한되어 있었지만, 현재는 통합 모니터링과 내부 거버넌스 체계 확립 및 소스코드 보안 등 업무 애플리케이션에 대한 보안으로 정책이 고도화되면서, 관련 IT 벤더들의 솔루션 수요도 잇따를 전망이다.

자율보안이 개념이 도입되면서 보험사들의 반응은 심적인 부담이 더욱 커지고 있다. 세부적인 보안 정책은 각사의 상황에 따라 맡길 수 있는 부분이지만, 정책에 대한 전반적인 가이드라인과 같은 기준은 마련해 줘야한다는 지적이다. A 생명보험사의 CISO는 “과거에는 당국에서 은행, 보험, 카드사 등 영역별로 담당자들이 있어서 세분화를 통해 실질적인 정책이 내려왔지만, 현재는 모든 것을 뭉뚱그려놓은 상태라서 정책도 애매하고, 법률적인 해석도 모호한 부분이 많다. 또한 주로 대형사와 은행 위주의 정책이어서 현실에 맞지 않은 부분도 있는 것 같다”고 말했다.

정책적인 모호성과 함께 세부적인 안배가 없는 것도 보험사들을 당혹하게 하고 있다. B 생명보험사의 CISO는 “대형 금융회사의 경우, 자체적으로 자율보안을 위한 정책적 여력이 내부적으로 소화가 가능할 수 있겠지만, 중견업체의 경우는 자율적으로 할 수 있는 여지가 없을 것”이라며 “자율이라는 개념이 누구를 위한 자율인지 상당히 혼란스럽다”고 토로했다.

결국 통제가 약화되면서 각 금융회사들이 자율적으로 판단해서 보안정책을 실행하라는 것으로, 시대적으로 자율로 가는 것이 추세이긴 하겠지만, 판단할 수 있는 기준이 없다는 것이 보험 CISO들을 당혹하게 하고 있다.

보안, 선재적으로 예방책 강화

이런 고민속에 올해 국내 주요 보험사들을 나름대로 기준을 세워놓고, 새로운 보안정책을 수립하고 실행하는데 많은 노력을 기울이고 있다. 보험 CISO들의 올해 보안정책은 주로 선재적인 개념에서 예방체계를 강화하는데 초점을 맞추고 있다. 또한 각 업무 프로세스마다 허점을 막는 것에 주력하고 있다.

자율보안 기조 속에 올해 보험사들은 보안 내부관리 체계 확립, 핀테크 등 신사업에 대한 대응책 마련, 신규 프로젝트 진행시 취약점을 체크하는 보안성 심의 상시화, 소스코드에 대한 검증, FDS와 내부 모니터링 체계 강화, 보안수준검토, 취약점 진단, ISMS 인증 준비, 콜센터 텍스트 분석을 통한 리스크 방지 등에 주력할 계획이다.

한화생명은 망분리를 비롯해 DB암호화, 문서보안 등 외부적인 시스템 설치에 의한 방어체계를 마련한 만큼 올해부터는 신규 프로젝트 진행시 취약점을 체크하는 보안성 심의 검토와 소스코드 검증, FDS와 내부 모니터링 체계를 강화할 계획이다. 이와 함께 앞으로 핀테크 등 신규 사업에 대비해 안전하게 서비스가 이뤄질 수 있도록 방어 체계를 마련할 계획이다.

NH생명은 보안수준에 대한 지속적인 검토를 비롯해 취약점에 대한 진단을 상시화 할 계획이다. 또한 올해 ISMS 인증을 위한 준비에 만전을 기하고 있다. ING생명보험은 내부적으로 보안관리를 위한 거버넌스 체계를 마련했다. 보안에 대한 보고와 관리 체계를 새롭게 만들고 통제에 문제가 없도록 기준안을 마련하는 한편 구체적인 실행전략을 펼치고 있다.

AIA생명보험은 내부 보안 기준안을 마련하고, 개발에 따른 보안성을 검토하는 한편 서버 ID관리와 콜센터 텍스트 분석을 통한 리스크 방지와 전 직원 망분리를 위한 사전 작업에 나서고 있다.

보험사, 올해 내부보안에 집중

보험사마다 상황에 따라 정책에 초점을 두고 있는 것이 차이는 있지만 공통점은 올해 보안정책이 주로 내부보안에 집중되어 있는 것을 알 수 있다. 주로 무결성 체크와 신규 프로젝트 및 개발에 대한 심의를 강화하고 상세화 하는 한편 내부 보안 체계를 확립하고, 로그와 위협요인 분석을 통한 모니터링 체계를 강화하는 것이다.

다른 점은 기업마다 진행하는 보안 수준과 형편 때문에 차이가 있는 점을 발견할 수 있다. 한화생명보험의 경우, 이미 외부 보안 시스템과 망분리가 끝난 상태이기 때문에 내부적으로 소스코드 보안 및 보안의 허점을 매꾸는 등 내부보안에 있어서 고도화하는 작업에 주력하고 있다.

농협생명은 이미 대규모 보안 솔루션에 대한 투자가 이뤄진 만큼 현재 ISMS 인증이 코앞에 다가온 상황이어서 이에 대한 준비 작업에 나서는 한편 취약점에 대한 검토를 지속적으로 추진하고 있다. ING생명보험은 내부적으로 보안체계를 마련하고, 이를 실행하는데 올해 바쁜 한해를 보일 것으로 전망된다.

AIA생명은 올해 특별히 텍스트 분석을 통해 콜센터에서 발생할 수 있는 불완전 판매 및 보안에 대한 리스크를 방어하는데 주력할 계획이다.

IT 거버넌스 체계 확립, 내부 보안 강화

올해 자율 보안에 따라 국내 주요 보험사들은 나름대로 자체 기준안을 만들고 이를 실행해 나가고 있다. 올해 생명보험사들의 주요 보안 트렌드는 기존에는 DB보안, 문서보안, PC보안, 출력물 관리, USB와 같은 하드웨어적 물리보안에 취중 했지만, 현재는 내부보안 체계를 새롭게 확립하고, 무결성 및 상시 모니터링 체계 확립을 통해 보안 고도화에 나서고 있다는 점을 엿볼 수 있다.

한화생명보험은 지금까지 망분리를 비롯해 APT(지능형 위협) 솔루션, 이메일에 대한 방어 등 기본적으로 중요한 보안 프로세스를 이미 확립한 상태이다. 따라서 올해는 선제적 보안을 위해 예방 차원에서 IT 거버넌스 체계를 확립하고, 내부 보안을 강화하는 한편 신사업 조류에 맞춰 안정적으로 서비스가 이뤄질 수 있도록 보안전략을 펼칠 계획이다.

금융권에서 핀테크 등 신규 비즈니스가 출현하고 있는 만큼 빅데이터 기반의 보안 솔루션으로 이에 대한 보조를 맞춘다는 것이다. 과거에는 비즈니스 모델이 나와야 보안이 구축됐지만, 이제는 비즈니스가 시작되면 반발짝 간격으로 보안에 문제가 없는지 보안성 검사를 체계화하기로 했다. 또한 신규 프로젝트 이전에 보안성에 대한 분석을 필수화하고 있다.

이를 위해 각종 연체정보 및 리스크 파악을 위해 FDS(사기방지시스템)을 체계화하고, 보안성 검토를 위해 소스코드를 확인하는 한편 프로세스에 보안심의 절차를 녹여 이를 정례화 하는 방안을 모색하고 있다.

NH생명은 금융당국에서 반복적으로 체크되는 점검사항에 대해 집중적으로 보안성을 검토하는데 초점을 맞추기로 했다. 로그에 담겨질 수 있는 고객정보를 파악하고 조치하는 한편 법규에서 요구하는 취약점 점검과 모의해킹을 통한 자발적 보안체계를 육성해 나가고 있다. 이런 취약점 점검과 체크사항에 대해서는 앞으로 일상적으로 해결될 수 있도록 업무를 상시화 해 나가고 있다.

이와 함께 로그들을 실제적으로 통합해 대시보드를 통해 이상 징후에 대해 사전에 감지하는 체계를 마련했다. 농협생명은 FDS를 2년 전에 구축한 바 있다. 실시간 내부 모니터링을 통해 앞으로는 시스템을 고도화 해나가는 작업을 진행할 계획이다.

올해 농협생명은 망분리 프로젝트도 진행한다. 전 지점을 대상으로 시작되는 이번 프로젝트를 위해 현재 RFP를 발송한 상태다. 취약점에 대한 점검을 위해서도 소스코드를 분석하는 툴을 마련하고 이를 자동화하기 위한 인력과 시스템을 보충해 나갈 계획이다. 또한 ISMS 인증을 위한 준비에 들어간다. 라이선스 획득을 위해 프로세스를 정비하는 한편 정기적으로 갱신하는 방법도 모색하고 있다. 내부 인력 육성을 위해서도 보안 전문지식을 강화하기 위한 다양한 교육사업도 고려하고 있다.

점검 체트리스트 만들고 상시 관리

ING생명은 자율보안을 위해 기본적으로 금융당국에서 권하는 1일 점검 체크리스트에 대한 10개 항목에 대해 일상적으로 점검하기로 했다. 또한 월간 34개에 대한 점검체크 항목을 정형화하고, 연간 보안과제에 대한 항목을 마련하는 한편 이를 담당자에게 배치시켰다. 내용은 주로 취약점 점검과 정보보호를 위한 내용이며 컴플라이언스에 대한 충족이 90% 이상 나오도록 하는데 목표를 두고 있다.

또한 사내에 정보보호위원회를 설치하고, 이를 정기적으로 CEO에게 보고하고 있다. 전체적으로는 170여개 항목에 대한 점검이 이뤄지며 대부분 전자금융감독 기준에 맞춰나가고 있다. ING생명은 내부보안 체계를 위해 보고 및 관리, 의사결정 프로세스 체계를 갖추는데 6개월간의 과정을 통해 이를 정리했다. 시스템적으로 네트워크 보안, 애플리케이션 보안, 인프라 보안 등 3개 항복에 대한 체크가 이뤄진다.

세부적으로는 소스 코딩에 대한 취약점, 홈페이지, 영업 시스템 등 내외부 시스템에 대한 보안 균형을 맞추기 위한 방법도 모색하고 있다. 새로운 개발 작업에 들어가게 되면 UI 모듈과 메타데이타 체크, 프록시 설정에 대한 보안 가이드 점검이 이뤄지고 있다.

ING생명이 올해 또 관심을 두는 분야가 시스템 로그에 대한 관리 부분이다. 서버 대수에 대한 관리와 함께 서버안에 심겨져 있는 가상화에 대한 부분도 주기적으로 관리할 수 있는 방법을 모색하고 있다. 현실적으로 서버는 종류수도 많고 가상화된 서버 내부에 대한 파악이 필요하기 때문에 보안성 검토와 에러 조치를 위한 면밀한 분석이 필요한 작업이기도 하다. 또한 서버간 통신보안을 위해 주기적으로 암호를 변경하는 작업도 모색하고 있다.

보안 무결성 체크

AIA생명은 AIA생명보험은 금융당국과 본사정책에 의거해 내부적으로 36개의 과제를 만들었다. 이 기준에 위거해 신규 프로젝트 전에 보안 무결성 사항을 점검한다. 개발을 위해 테스트를 진행하면 사전에 보안성 검토가 이뤄지며 결과에 대한 인증과 함께 부서별 싸인 꼭 들어갈 수 있도록 업무 프로세스를 정례화 하고 있다.

이와 함께 AIA생명은 콜센터에서 유입되는 음성을 텍스트 변환해 분석하는 작업도 모색하고 있다. 고객과의 상담과정에서 제대로 의미가 전달됐는지를 파악하고, 위협요소를 텍스트로 분석해 사전에 위험을 방지하고 불완전 판매 요소를 제거하는데 활용할 계획이다. 현재는 보안 관리와 리스크를 줄이기 위한 방법으로 사용되고 있지만 향후에는 빅데이터 환경으로 이를 발전시켜 나갈 계획이다.

AIA생명은 올해 전 직원에 대한 망분리가 계획되어 있으며 내부 서버 ID관리에 대한 표준화를 고민하고 있다. ID관리의 경우는 일반 사용자 ID관리와 각 업무 근황 관리를 통합해서 관리할 수 있는 방법을 모색 중이다. AIA생명보험은 DRM과 DB암호화 등은 진행한 바 있으며 원천적으로 PC에 프로그램을 설치할 수 없는 환경을 조성한 바 있다. 또한 1년에 한차례 금융보안원으로부터 시스템 감사를 의뢰하는 방법도 취하고 있다.

방창완 편집국장 기자의 전체기사 보기