금융권 랜섬웨어 동향 및 전략

즐겨찾기추가

2024.05.21 (화)

기상청 제공

금융권 랜섬웨어 동향 및 전략

해당된 기사를 공유합니다
- 가나다라마바사
- 가나다라마바사
- 가나다라마바사
- 가나다라마바사
- 가나다라마바사
- 가나다라마바사

NEWS

금융권 랜섬웨어 동향 및 전략

금융기업 신종보안 위협, 관리적 보안위해 센터운영 고도화 나선다

방창완 편집국장 기자
등록 2016.10.31 16:40
조회수 1,383

금융권 랜섬웨어 동향 및 전략

금융기업 신종보안 위협, 관리적 보안위해 센터운영 고도화 나선다

내부 규율에 따라 신종 위협 걸러낸다, 향후 빅데이터 기반 보안관제로 가야

대부분의 금융기업들은 망분리를 통해 내부망을 보호하고, 외부 인터넷망에 대한 정책적 관리를 통해 신종 위협(랜섬웨어, APT) 대응에 나서고 있지만, 여전히 신종위협은 금융기업들에게 위협적인 존재가 되고 있다. 주요 금융기업을 통해 신종위협에 대한 고민과 향후 대응방안에 대한 의견을 들어봤다.

방창완 편집국장 bang@ciociso.com

주요 금융기업들은 망분리를 통해 내부망에 대한 위협요소를 원천적으로 차단하고 있지만, 업무 연계성에 따라 망간 연동을 통한 내부망 침입에서 자유로울 순 없기 때문이다. 보고되지 않은 새로운 신종 위협이 지속적으로 증가하고 있다. 기존의 .doc 형태의 문서 파일외에 .wfs와 같은 윈도우 파일도 심심치 않게 발견된다.

APT, 신종위협 여전히 부담된다

알려진 파일은 대응이 가능하지만, 알려져 있지 않은 파일은 사실 방어하기가 쉽지 않다. 또한 최근 첨부파일과 링크를 통해 들어오는 악성코드가 업무와 연계성이 있는 방면으로 위장하고 있어, 자칫하면 사용자 실수에 의해 내부망으로 타고 들어오는 것을 배제할 수 없기 때문이다. 신종위협도 앞으로 기업형으로 진화하고 있기 때문에 위협의 요소는 더욱 커질 수 있다.

업계에서는 망분리 외에 지속적으로 신종 위협요소에 대한 모니터링을 강화하는 한편 정책적 관리를 통해 새롭게 방어 전략을 구사해야 한다고 입을 모으고 있다. 이와 함께 설사 외부 공격에 감염이 되더라도 해당 PC에 국한되도록 피해를 최소화하는 방법을 모색하고 있다.

금융권의 A사 CISO는 “왠만한 주요 정보에 대한 망분리 사업은 이미 마친 상태다. 설사 외부망을 통해 악성코드가 타고 들어온다고 하더라도, 감염PC 선상에서 차단이 이뤄지도록 조치를 취하고, 감염 PC에 대해서는 아예 포맷을 해버리는 정책을 펼치고 있다”고 말했다. 하지만 그는 아무리 망분리를 통해 감염 경로를 차단한다고 하더라도 정보를 다루는 개인의 관리에 구멍이 생기면 이를 막는데 한계가 있을 수 밖에 없다고 지적했다.

“내부 직원들이 보안정책에 따라 수칙을 적용하면, 상당 부분 방어가 이뤄지겠지만, 사실 100% 장담할 수는 없는 처지다. 실수에 의한 부분에서도 배제할 수 없기 때문에 무엇보다 관리적 보안이 이뤄져야 한다”고 지적했다.

관리적 보안이 선행돼야한다

금융권 B사 CISO는 “한때는 외산 솔루션을 검토한 적이 있다. 하지만 외산 솔루션이 모든 것을 해결해 주진 않는다. 새로운 패턴들이 계속 보고되고 있다. 이미 알려진 위협으론 만족할 수 없다. 이미 솔루션 허점을 분석해 우회적으로 침투하는 경우가 있어 새로운 고민이 필요한 때”라고 지적했다.

업계에서는 사전에 변종파일을 예측하고, 패턴 분석을 통해 이를 검출해 내는 능력이 필요하다고 강조한다. 그렇다고 사용자가 하나하나 파악을 통해 이를 일일이 해결하기는 어렵다. 보다 거시적인 차원에서 신속하게 이를 차단할 수 있는 체제가 필요하다.

따라서 ‘빅데이터 기반의 통합보안관제 서비스’를 실행할 필요가 있다. 기본적인 악성코드에 대한 검출은 진행되고 있지만, 새로운 악성 패턴에 대한 공격을 방어하기 위해서는 빅데이터 분석이 대안이 되기 때문이다. 방대한 자료와 정보분석이 근본적인 문제를 해결할 수 있는 열쇠가 된다. 결국, “자체 시스템에 의한 빅데이터 기반 보안관제가 될 것”이라고 업계에서는 지적하고 있다.

빅데이터 기반, 보안관제 서비스 필요하다

이런 견해는 필요에 따라 그때 그때 설치하는 보안프로그램이 무거워지고, 관리에 어려움이 따르고 있는 현실적인 문제도 있기 때문이다. 새로운 솔루션을 설치하게되면 중복우려와 업무 생산성의 저하, 관리의 부담이 따르게 된다. 또한 신종 악성 프로그램을 방어하는 솔루션은 어디까지나 알려진 내용만을 막을 수 있기 때문에 ‘신종’ 이라는 악성 프로그램을 막을 수 있다는 보장이 없다는 것. 그렇다고 새로운 솔루션이 100% 방어를 보장해 주지 못하는 것이 현실이다.

이 CISO는 “현재는 초기 단계 일 수 있겠지만, 자체 경쟁력을 키워 빅데이터 기반의 큰 그림을 그릴 필요가 있다. 이상 징후 발견시 이를 검출하는 작업과, 1회성이 아닌, 지속적인 업그레이드가 필요하다”고 지적했다.

하지만 빅데이터 기반의 탐지 시스템은 현실적으로 아직은 어렵다는 지적도 있다. 인공지능이라는 단어가 거론되고 있지만, 아직은 추상적인 개념이며, 현실적으로 기술이 실현되기 위해서는 성숙할 수 있는 시간이 필요하는 것이다. 현실적인 측면에서 구체적인 방법은 메일탐지 능력에 우선적으로 집중하고, 앞단에서 2중, 또는 3중의 그물망을 구축해 피해를 최소화하는 작업이 필요하다.

운영의 노하우도 중요한 부분이다. 혹시나 신종위협이 확산되지 않도록 솔루션에 대한 정책을 세우고, 정확히 설정될 수 있도록 관리와 감시하는 기본적인 체제가 선행돼야 한다. 또한 기업 자체만으론 신종 위협정보를 취득하는데 한계가 있기 때문에 국외 사이트와 협업을 통해 다양한 자료와 정보를 실시간으로 취합할 필요가 있다.

연합체 구성 통해 공동으로 위협 제거해야

신종 위협이 변형 발전할수록 새로운 형태의 방어 전략과 패치도 이뤄져야 한다. 결국 이는 사용 기업의 자체 방어능력을 키워야하는 부분과 보안 관련 기업들의 R&D투자가 이뤄져 서로 협업하는 체제가 어우러져야 가능한 부분이다. 때에 따라서는 보안 업체끼리 서로의 강점을 공유하고, 협업을 통해 신종 위협에 대응할 수 있는 보편적 형태의 솔루션 연합체를 구상해 볼 수 있다. 즉, 자체 대응능력이 부족한 중견 금융기업의 경우는, 통합적으로 랜섬웨어와 같은 신종위협을 방어할 수 있는 연합체를 통해 ASP 형태의 서비스를 받는 방법도 모색할 수 있다.

결국, 보안은 한 회사 또는 개인이 전담할 수 없는 만큼 포괄적이며, 위협요소가 항상 상존하는 영역이다. 따라서 자체 경쟁력을 키울 필요도 있지만, 많은 유관기관들의 협조가 중요하다. 악성코드를 공유하고 대처방안을 논의하는 한편 초동 대처할 수 있는 방법론을 서로 공유하는 자세가 필요하다.

한국거래소, 자체 보안프로그램 가동, 협력사 관리 철저

한국거래소는 주기적으로 인터넷PC에 있는 문서 파일을 검색하고, 이상이 발견되면 PC 자체를 무력화하는 방법을 취하고 있다. 30분 단위로 자료검색을 통해 주요 자료에 대한 저장시 이런 조치를 취하고 있다.

한국거래소는 각종 보안교육과 보안의식을 고취하는 프로세스도 운영하고 있다. 협력사 관리를 위해서도 개발관리 통제에 있어서 기본적인 프로세스가 정립되어 있어, 보안규정 하에 보안업무를 진행하고 있다. 내부망 연결시 관련 보안 솔루션을 의무적으로 설치하게 끔 했으며, 업무가 끝나면 해당 PC를 포맷하고, USB는 원척적으로 접속을 못하게끔 하고 있다. 개발을 위해 생성되는 자료는 원천적으로 외부로 나갈 수 없게 조치하고, 직원들의 퇴직 이후 자료는 반납하거나 파기하도록 하고 있다.

국민은행, 악성코드 관제중심 방어에 주력

국민은행 정보보호부는 알려져 있는 위협방어에 대한 백신프로그램외에 샌드박스 기반 보안 환경도 구축한 상태다. 앞으로는 ‘악성코드 관제중심’ 방어를 위해 노력을 기울일 계획이다.

현재까지의 보안 전략이 주로 사후적인 성격이 짙었다면 앞으로는 선제적으로 이를 방어하는 능력을 키울 필요가 있다는 것이다. 위협요소에 대한 사전정보 취득 이후에 이를 패턴화시켜 관제 시스템에 적용하는 프로세스를 구축할 계획이다. 이는 보안 날리지 시스템으로 인공지능의 중간 형태라고 할 수 있다.

국민은행은 수많은 악성코드를 수집해서 실시간으로 이를 패턴화 시켜 막을 수 있는 프로세스를 내년에 기획하고 있다. 국민은행은 이를 ‘사전위협 분석시스템’으로 자체 명명하고 있다. 미리 정해진 차단정책보다는 예상되는 위협요소를 차단하는 방식이다. 금융보안원을 비롯해 각 분야에서 들어오는 사전 위협정보를 캐치해 이를 공유하고 통제하는 방식을 취할 계획이다.

한화생명보험, 단계별 보안관리 프로그램 적용

한화생명보험은 단계별 보안관리가 중요하다는 점을 강조하고 있다. 모든 파일을 중앙에서 관리하고 있으며, 자동 스캔을 통해 위협요소를 걸러내고, 문서 암호화를 통해 사전 위협요서도 방어하고 있다. 한화생명은 랜섬웨어가 중요자료에 대한 접근성이 높기 때문에 인터넷망과 업무망을 철저히 분리하고, PC 인터넷에는 파일 자체가 아예 생성되지 않도록 하는 체킹 솔루션을 운영하고 있다. 사실 인터넷 PC 자체는 아무것도 없는 ‘깡통’ 상태로 비워놓는 전략이다.

업무상 망연계를 통해 들어올 수 있는 위협도 신뢰할 수 있는 사이트만 접근하도록 조치하고 있어 위협요소 확률을 현저하게 줄이고 있다. 한화생명보험은 기본적으로 필요한 요소는 차단 솔루션을 통해 방어하고 있으며, 웹을 통해 타고 들어오는 요소도 웹 방화벽을 통해 이를 앞단에서 걸러주는 작업을 펼치고 있다. 업무 애플리케이션 시큐어코딩과 같은 보안요소도 적용하고 있는 만큼 위협에 대한 요소를 현저히 줄이고 있다.

KDB생명보험, 합리적 보안관리역량 강조

KDB생명보험은 보안 관리적 역량을 고도화하기 위한 계획을 검토 중이다. 무엇보다 사람에 의한 관리가 합리적으로 운영돼야 할 것으로 보고, 랜섬웨어 등 신종위협에 대한 메일체크가 지속적으로 이뤄지고 있다. 운영 효율화를 위해 관제서비스는 ASP 형태로 진행하고 있다.

KDB생명보험은 제한된 인력으로 보안위협을 방어하기 위해서는 기능을 검토하,고 이를 효율적으로 조합하며, 필요에 따라서 외부 협력기관과 공조할 수 있는 체계를 마련해 나갈 계획이다. 합리적인 투자를 통해 위협요소에 대응할 수 있는 방법을 취하고 있는 것. KDB생명보험은 내년에 FDS(사기방지시스템) 도입을 검토 중이며, 사내 그룹웨어를 클라우드 환경으로 전환하는 방법도 고려하고 있다.

방창완 편집국장 기자의 전체기사 보기