[FPIS 2013]윤종옥 하나은행 IT보안팀 팀장 "악성코드 배포서버 분석·차단이 주효"
"3.20사태를 겪으면서 느낀 점은 모든 공격을 다 막을 수 없다는 것입니다. 그렇다면 이번 사태를 교훈삼아 각 보안담당자들은 초심으로 돌아가 '보안의 기본'을 지키고 보안시스템 운영체계를 재점검해보는 과정이 필요합니다."
윤종옥 하나은행 IT보안팀장(사진)은 14일 이날 양재동 엘타워에서 열린 '금융보안&개인정보보호 페어 2013(FPIS 2013)' 행사에서 '하나은행 차세대 금융보안 시스템 구축사례'라는 주제로 기조연설을 진행했다.
하나은행은 지난 3.20 전산마비 사태 당시 감독당국에서 제공받은 정보와 여러 비공식 채널을 통해 악성코드 배포서버 166개의 IP를 입수하고 이를 즉시 차단했다. 또 내부 직원들의 PC에서 해당 악성코드 배포서버의 1년간 접속이력을 분석해 감염여부를 살폈다.
윤 팀장은 "3.20 당시 공격자들은 특정 목표를 선정해서 장기적으로 공격을 준비한 것으로 알고 있다"며 "이에 효과적으로 대응하기 위해서는 초기 감염경로를 확인하고 위험요소를 신속하고 지속적으로 제거하는 것이 가장 중요했다"고 설명했다.
3.20사태 때 큰 효과를 거뒀던 부분으로는 빅데이터 처리시스템을 통한 로그보안 분석을 꼽았다. 로그보안 분석은 보안시스템 중에서도 가장 기본이지만 현실적으로 각각의 보안시스템에 기록된 로그를 빠른 시간 내 분석하는 것이 쉽지 않다는 것.
윤 팀장은 "하나은행은 빅데이터 처리시스템을 통해 로그 통합분석을 하고 있다"며 "3.20때도 로그분석에 소요된 시간이 3~4시간밖에 안될 정도로 높은 효율을 거뒀다"고 말했다. 그에 따르면 로그분석이 빠르게 끝날수록 이후의 대응을 위한 의사결정을 신속하게 내릴 수 있기 때문에 중요성이 매우 높다.
윤 팀장은 "향후 거래시스템과도 연동해 거래분석을 빅데이터 처리시스템으로 할 수 있도록 할 계획"이라고 덧붙였다.
하나은행의 정보보안 시스템 및 정보보안 정책에 대한 구체적인 설명도 뒤따랐다.
하나은행은 전자금융 영역과 내부통제 영역으로 구분해 시스템을 중점관리하고 있다. 업무시스템에 대한 접근통제를 위해 계정감사통제라는 시스템을 운영하고 있으며, 로그인 인증강화를 위해 시스템 접근 시 모바일 형태의 OTP로 추가 인증을 하고 있다.
또 PC의 백신프로그램에서 탐지하지 못하는 악성코드를 탐지하기 위해 2011년부터 네트워크 레벨의 악성코드 탐지시스템을 운영하고 있다. 3.20 사태와 같이 백신패턴이 없는 해킹프로그램에 대한 유입을 사전에 모니터링할 수 있는 시스템이다.
독자들의 PICK!
윤 팀장은 "이번 사태를 겪으면서 악성코드 감염서버와 경로가 전 세계로 분포돼 있어 다양한 방법이 필요하다는 것을 깨달았다"며 "글로벌 솔루션을 추가 구축해 대응체계를 강화할 예정"이라고 말했다.
이어 "APT(지능형지속)공격의 경우 은행 같은 민간 기업이 사전정보를 파악하기란 쉽지 않다"며 "수사기관과 감독당국, 보안업체 등과의 신속한 정보공유체제가 필요하다"고 말했다.
