"금융보안, 기본에 충실해야"

최근 3.20 사태를 계기로 각 기업의 보안담당자들은 어려움을 겪고 있을 것이다. 공격은 받지 않았지만 하나은행도 3.20과 관련해서 힘든 시간들을 보냈다. 이번 사태를 겪으면서 느낌 점은 모든 공격을 다 막을 수는 없다는 것이다.

그러면 어떻게 해야 할 것인가. 결론은 “기본에 충실하자”는 것이다. 처음 입사했을 때의 생각으로 매일매일 로그도 꼼꼼히 분석하고 그러면서 희열도 느꼈던 그때의 마음가짐으로 돌아가자는 것이다.

하나은행은 크게 전자금융 영역과 내부통제 영역으로 구분해 중점적으로 관리하고 있다. 우선 업무시스템에 대한 접근통제를 위해 계정감사통제라는 접근통제시스템을 운영, 모든 업무시스템 접근을 통제하고 있으며 로그인 인증강화를 위해 시스템 접근시 모바일 형태의 OTP로 추가 인증을 하고 있다.

또 PC의 백신프로그램에서 탐지하지 못하는 악성코드를 탐지하기 위해 네트워크 레벨의 악성코드 탐지시스템을 2011년부터 운영해왔다. 이번 3.20 사태와 같이 백신패턴이 없는 해킹프로그램에 대한 유입을 사전에 모니터링할 수 있는 시스템이다.

최근에는 정보보호시스템에서 나오는 수많은 로그들을 신속하게 분석하기 위해 빅데이터를 이용한 통합로그관리시스템을 구축했다. 보안의 어떤 이슈가 발생 했을 때 얼마만큼 빨리 로그를 분석할 수 있는냐가 중요하다.

APT 공격이란 방화벽, 백신 등 전통적인 보안장비로는 탐지하거나 차단하기 어려운 새로운 형태의 공격으로, 이런 식의 APT 공격에 효과적으로 대응하기 위해서는 초기 감염경로를 확인하고 위험요소를 지속적으로 제거해야 한다.

하나은행에서 생각하는 보안의 기본은 첫째, 시스템 접근통제의 강화다. 시스템 접속 후 사용자가 입력하는 명령어와 결과 등 모든 행위를 기록해 향후 트래킹 자료로 활용하고 있다. 실제 하나은행은 유닉스 계열뿐만 아니라 윈도를 포함해 운영, 테스트, 개발 등 모든 시스템과 방화벽 등 모든 보안시스템, 주요한 네트워크 장비 접속을 통제하고 있다.

둘째, 시스템 접근시 로그인에 대한 인증 강화이다. 하나은행은 시스템 접근 통제용으로 OTP(일회용 비밀번호 생성기)를 2000년도부터 최근까지 이용하고 있다. 토큰형태의 실물를 소지해야 하는 번거로움이 있어 최근 스마트폰 앱을 통한 모바일 OTP를 개발, 보안성뿐만 아니라 직원들의 편의성도 높였다.

또 하나은행은 2009년 12월 국내 최초로 아이폰 기반의 스마트폰 뱅킹 '하나N 뱅크'를 개발, 서비스를 시작했으며 이후 안드로이드부터 바다 폰까지 전 플랫폼에 대해 뱅킹서비스를 구현했다.

하나은행 앱 위변조 방지에 대한 방향은 크게 두가지다. 앱 무결성을 검증하기 위해 서버 단에서 위변조 여부를 확인하는 방법과 실행 중인 앱 자체를 보호하기 위해 난독화 등의 기술 방안을 적용하는 것이다.