[CIOCISO매거진 홍상수 기자] CIOCISO매거진은 최근 서울 더플라자호텔에서 ‘2023년 디지털 변환과 사이버 보안 전망’을 주제로 '제21회 CISO 컨퍼런스'를 개최했다. 이날 CIO, CISO, 보안부서장, 개인정보보호부서장, 팀장, 실무자 등 60여명이 참석해 성황리에 열렸다. 

장명국 CIOCISO매거진 대표는 인사말에서 “코로나19 이후 가속화된 디지털 전환에 따른 데이터, 인공지능, 클라우드, 비대면 디지털화로 빠르게 진화하고 있으며 그에 따른 보안에 대한 이슈가 계속 증가되고 있다”며 “2023년 보안시장의 핵심 흐름을 조망하고 최신 기술과 솔루션을 점검할 수 있는 기회가 되길 바란다”고 말했다.

이날 발표는 ▲금융보안 측면에서 전자금융거래법 개정 추진 동향과 쟁점(법무법인 광장 김시홍 전문의원) ▲진화하는 Hybrid 인프라 환경에서 지속적이고 하계적인 보안 강화전략(투비닉스 이익준 공학박사) ▲사칭 악성 이메일, 어떻게 대응할 것인가(효성 ITX 주창오 부장) ▲디지털혁신을 위한 차세대 실시간 데이터보안 전략(STN 인포텍 옥지웅 부장) ▲침해대융율 통한 보안인식 강화(마블시스템 김미정 대표) ▲CNAPP는 어떻게 애플리케이션을 보호하는가(아쿠아시큐리티 박인우 수석) ▲대포폰 불법이체 차단 FDS 적용 사례(부산은행 박철호 차장) ▲국내 IT Security Risk Management 구축사례(ARCHER 정정화이사) ▲랜성웨어로부터 계정 침해 사고콜 막기 위해 Active Directory (AD) 보안은 필수(퀘스트소프트웨어 채흥소 이사) ▲미리보는 2023년 디지털 금융 및 사이버보안 전망(금융보안원 이성욱 수석)가 했다. 

'금융보안 측면에서 전자금융거래법 개정 추진 동향과 쟁점'

법무법인 광장 김시홍 전문의원

김시홍 전문위원은 전자금융거래법이 올해 국회 개정안 통과후 전자금융감독규정 전면 개편돼  보안 , 인증 규제 강화할 것으로 예상된다고 밝혔다. 

 

주요 내용으로는 먼저 FDS 정보 등의 공유 법적 근거 신설되고 전자금융거래 및 정보자산의 관리ㆍ운영의 안전성과 신뢰성을 확보하기 위해 금융사 등에서 시행령에서 정하는 정보를 제공하거나 이용될 수 있도록 의무화한다.

팩터인증, 접근매체 이원화하고 비대면 신원확인 방법도 법제화한다. 전자금융보조업자가 폐지되고 수탁자 또는 민상법의 위임 및 외관법리 적용된다. 주요 수탁자로는 금융클라우드, CDVAN, 전자서명인증사업자 등이다.

또 금융 AI 알고리즘도 통제한다. 지능정보기술, 그 밖의 디지털 신기술 을 활용하여 정보처리시스템으로만 전자금융업무를 처리할 때 해당 전자금융업무의 합리성 , 투명성 및 공정성 이 유지될 수 있도록 하는 운영체계를 갖추도록 의무화한다.

'진화하는 하이브리드 인프라 환경에서 지속적이고 체계적인 보안강화 전략'

투비닉스 이익준 공학박사

이익준 박사는 "온프라미스 인프라 외 보안경계가 모호한 클라우드 등 네트워크 보안 아키텍처가 복잡해지면서 전산망 침해사고 예방, 네트워크 안정성을 위한 취약점 점검 항목이 늘고 있다"며 "진화하는 Hybrid 인프라 환경에서 새로운 접근 방식과 보다 더 효과적인 관리 도구인 투비닉스의 'SKYBOX 플랫폼'을 통해 지속적이고 체계적인 보안관리체계 고도화 할수 있다"고 말했다.

SKYBOX는 클라우드 등 복잡한 환경 변화에 따른 가시성(Visibility) 확보해준다. 상시 네트워크 경로분석을 통해 상세 우회경로 탐지 등 사전 보안대응체계를 구축 , 공격 시뮬레이션을 통해 취약점 분석으로 잠재적 위협 식별 및 분석을 통한 위험관리 기능을 제공한다.

▲공격 시뮬레이션을 통해  잠재적 위협 식별 및 분석 ▲모든 트래픽 검사를 고려하는 정책 운영 한계가 지닌 위험기반 취약점관리로 보안통제 정책 방향 전환 ▲제로트러스트(Zero Trust Arch.) 구축 지원  ▲디지털 전환에 따른 정보보호 업무의 새로운 접근 방식 및 더 효과적인 관리 도구 제공 ▲보안체계 관리 및 사고대응을 다루는 모든 팀을 위한 공통 플랫폼 기능 수행 등이다.

'사칭 악성 이메일, 어떻게 대응할 것인가'

효성 ITX 주창오 부장

주창오 부장은 “e메일 사칭 사기를 당했다는 걸 알아채는 데 걸리는 시간은 평균 78일이 걸리고  피해 금액은 건당 평균 390만 달러다”며 “악성코드(멀웨어)를 포함하지 않는 경우가 대부분이어서 보안프로그램으로 사전예방 불가하다”고 말했다.

효성 ITX의 ONDMARC는 SPF(Sender Policy Framework)로 수신측에서 발신측의 메일서버가 정상적으로 등록되었는지 IP를 통해 비교 검증한다. 무단 발송자(봇넷)가 보내는 스팸메일인지 확인하여 정상메일 여부를 식별해준다.

DKIM(DomainKeys Identified Mail) 기능으로 수신측에서 발신 도메인의 키값을 비교 검증하여 받은 메일 속 발신자가 실제 발신자가 맞는지, 무단 중개자에 의해 전송 중에 수정되지 않았는지 확인하여 정상메일 여부를 확인한다.

위의 두 가지 기능을 결합해 DMARC(Domain-based Message Authentication, Reporting & Conformance)로 메일의 인증 여부를 확인하고, 메일이 SPF 또는 DKIM 검사를 통과하지 못하면 DMARC 정책이 실행해준다. 또한 자신의 메일 도메인을 도용한 메일에 대한 보고가 가능하다.

'디지털혁신을 위한 차세대 실시간 데이터보안 전략'

STN 인포텍 옥지웅 부장

옥지웅 부장은 “최근 데이터 보안 이슈는 내부 직원에 의한 “중요 기술 정보” 유출‘이라며 “지속적으로 발생함에 따라 중요 기밀 문서의 보안 필요성이 증대되고 있다”고 말했다.

이어 “문서 암호화 솔루션의 한계를 극복하기 위해서는 문서 암호화의 원천적 해결 방안이 필요하다”고 제시했다.

PRIMX는 커널 레벨 암호화 방식 애플리케이션의 영향을 받지 않고, 고속으로 대용량 파일 암호화와 실시간 데이터 암호화를 제공하는 것이 특징이다.

구체적인 장점으로는 ▲커널 레벨 영역 단위 암호화 ▲빠른 암호화 속도(실시간 암호화) ▲모든 어플리케이션 지원(추가 개발 필요 없음)이다.

대용량 파일과 클라우드, 영역별. 파일 전송 및 이메일을 암호화한다.

‘침해대응 모의훈련을 통한 보안인식 강화’ 

마블시스템 김미정 대표

김미정 대표는 “가장 보안이 취약한 부분은 ‘사람’”이라며 “사람을 공격하는 피싱은 가장 보편적이고 지속적으로 증가하고 있기 때문에 사용자 인식의 개선이 없는 한 보안 사고는 지속적으로 증가할 가능성이 있다”고 당부했다.

마블시스템에서 제공하는 악성 이메일 모의훈련 프로그램은 악성 이메일로 인한 사고피해가 발생하지 않도록 사전에 악성 이메일과 유사한 모의훈련을 반복적으로 실시한다. 악성 이메일을 스스로 분류하는 훈련을 통해 사용자 인식을 강화시킨다.

먼저 맞춤형 시나리오로 언제든지 다양한 최신 훈련 시나리오를 지원 받으실 수 있다. 보안 인식 강화 교육을 지원해 후속조치 대상자 및 전체 훈련대상자를 기준으로 보안 교육 교안을 제공하고, 교육 지원이 가능하다.

다양한 옵션을 한 화면에서 설정하고 훈련 일정에 맞추어 훈련을 자동으로 실행 및 수집할 수 있으며, 그룹별, 직급별, 부서별, 개인별 상세 결과를 조회 할 수 있다. 또한, 다양한 통계 정보를 이용해 훈련 결과에 대한 자동 보고서를 제공한다.

(발표 자료 중 일부는 하단 첨부파일로 제공했습니다.)