2024-03-28 18:20 (목)
곽병주 신한금융투자 CISO "보안, 클라우드로 전환...전 계열사 보안체계 동일하게"
상태바
곽병주 신한금융투자 CISO "보안, 클라우드로 전환...전 계열사 보안체계 동일하게"
  • 길민권 기자
  • 승인 2019.04.22 09:30
이 기사를 공유합니다

클라우드 기반 DNS 서비스로 디도스 문제 해결...상시적 취약점 진단 및 모의해킹 실시

▲ 곽병주 신한금융투자 정보보호본부 상무(CISO). "현재 DNS를 클라우드화했고 이후 보안장비들도 클라우드화 해 나갈 계획이다."
▲ 곽병주 신한금융투자 정보보호본부 상무(CISO). "현재 DNS를 클라우드화했고 이후 보안장비들도 클라우드화 해 나갈 계획이다."
DDoS(디도스) 공격이 지속적으로 증가하고 있다. 글로벌 보안기업 발표에 따르면, 최근 몇 년간 대규모 봇넷 기반 디도스 공격이 수만 대의 감염된 IoT 기기를 이용해 공격 대상 웹사이트를 마비시키고 있으며 전세계 DDoS 공격은 2017년 연간 750만 건에서 2022년 1천450만 건으로 2배 가량 증가할 것으로 전망했다.

한편 공격의 횟수 뿐만 아니라 규모도 크게 증가하고 있다. 아카마이에 따르면, 100Gbps 이상의 디도스 공격은 2017년 45회 이상 발생했으며 2018년 1분기에만 12건이 발생하고 있을 정도다. 이 정도 규모는 한 기업이 감당할 수준의 공격이 아니다.

특히 기업들이 힘들어 하는 부분이 DNS(Domain Name Service) 공격이다. DNS보안은 '보안의 가장 약한 연결 고리'의 대표적인 예라 할 수 있다. 2003년 최초 발생된 웹공격은 국내 통신사(ISP)의 DNS를 타깃으로 했다. 당시 보안측면에서는 거의 무방비의 DNS서비스를 쉽게 무력화시켜 큰 피해를 입은 바 있다. 그 후 2014년 다수의 DNS공격 및 최근은 2017년 글로벌 DNS서비스 공급업체인 Dyn사의 서비스가 중단되는 초유의 사태가 발생한 바 있다.

국내에도 크고 작은 DNS관리의 취약함으로 인해 기업 이미지에 손상을 입을 여러 보안 사고들이 있었다. 공격자 입장에서는 가장 적은 노력으로 큰 피해를 입힐 수 있는 공격방법을 선호한다. 따라서 DNS보안은 보안담당자가 지속적으로 서비스 가용성에 대한 문제의식을 가져야 할 분야다. 비지니스 영속성 측면에서 자사의 DNS보안은 양과 질적인 공격에 얼마나 대응이 가능한지 우선적으로 확인하고 그에 따른 대응전략이 필요하다.

"클라우드 기반 DNS 서비스 도입해 DNS 보안문제 해결"

▲ 신한금융투자, 2017년 하반기 DNS 보안 강화 위해 아카마이가 제공하는 FastDNS 서비스 이용.
▲ 신한금융투자, 2017년 하반기 DNS 보안 강화 위해 아카마이가 제공하는 FastDNS 서비스 이용.
이런 가운데 국내 대형 증권사인 신한금융투자는 클라우드 기반의 DNS 서비스를 도입해 DNS 보안문제를 해결하고 있다.

곽병주 신한금융투자 정보보호본부 상무(CISO)는 "대부분의 IT 보안 담당자가 보안에 가장 큰 문제로 인식하는 부분이 바로 사내 네트워크 내부에 DNS 서비스를 운영하는 부분이다"라며 "대표적인 인터넷 주소 체계인 DNS는 인터넷에 꼭 필요한 부분이지만 대표적인 UDP 서비스로 내부 네트워크에 시스템을 놓고 운영할 경우 큰 보안 위협이 될 수 있다. 이런 문제를 해결하기 위해 글로벌 기업이 제공하는 DNS 서비스를 이용해 보안을 강화하고 있다"고 말했다.

신한금융투자는 2017년 하반기에 DNS 보안을 강화하기 위해 굿모닝아이텍이 공급한 아카마이 'FastDNS' 서비스를 이용하고 있다.

아카마이는 CDN이라는 개념을 1998년에 만든 회사로 현재도 글로벌 시장의 56% 점유율을 가져가고 있는 기업이다.DNS 서비스가 반드시 필요한 CDN 서비스 개념상 아카마이 모든 서비스의 근간은 DNS로부터 시작되며 절대 서비스 단절이 없는 DNS 서비스 FastDNS도 이러한 관점에서 시작되었다.

▲ 계속 증가하고 있는 DDoS 공격. 아카마이 자료.
▲ 계속 증가하고 있는 DDoS 공격. 아카마이 자료.
매일 10억개 이상의 DNS 쿼리를 처리하며 350G DDoS 공격에도 서비스 영향이 없는 아카마이 FastDNS는 현재 약 1% 미만의 리소스만 사용 중으로 이론상 무한에 가까운 확장이 가능한 DNS 서비스라고 할 수 있다.

또 다른 DNS 제공 업체가 지원할 수 없는 UPTIME 100% SLA도 제공하고 있다. 이는 다른 제공사들이 DDoS 및 천재지변에 의한 서비스 장애를 SLA에서 제외하고 있는 것과는 대조적이다.

곽병주 CISO는 "디도스 공격을 막기 위해 금융보안원의 디도스대피소도 활용하고 있으며 좀더 큰 규모의 공격에도 대비하기 위해 아카마이 DNS 공격 방어 전용 FastDNS 서비스 도입을 결정하게 됐다. 특히 증권사는 대외 채널들이 많아 DNS 설정이나 운영을 잘 못하면 장비에 장애가 발생하는 등 큰 피해로 이어질 수 있다. 이런 상황들을 고려해 도입을 결정하게 됐다"고 밝혔다.

"보안장비들, 클라우드로 전환 계획...악성코드 공격에 선제 대응"

이어 그는 "신한금융투자는 특히 클라우드 도입을 준비하고 있기 때문에 아카마이 서비스를 도입한 측면도 있다. 아직 클라우드에 대한 국내 규정들이 정립된 상태는 아니지만 시기의 문제일 뿐 클라우드로 가는 것은 대세가 되고 있다"며 "현재 DNS를 클라우드화했고 이후 보안장비들도 클라우드화 해 나갈 계획이다"라고 전했다.

특히 신한금융그룹은 금융권의 클라우드 바람에 선도적으로 대응하기 위해 그룹차원에서 클라우드 TF를 결성해 체계적으로 준비하고 있다.

한편 신한금융투자는 내부에서 외부로 나가는 DNS 쿼리를 확인해 내부 보안 사고를 미연에 방지할 수 있는 ETP(Enterprise Threat Protector) 서비스도 아카마이를 활용하고 있다.

ETP 서비스는 감염된 악성코드나 랜섬웨어, 멀웨어 등이 CnC 서버와 통신하기 위해 약 92% 가량이 도메인(Domain)을 이용하는 것에 착안해 내부에서 외부로 나가는 DNS 쿼리를 처리하는 Recursive DNS 역할을 아카마이가 위임받아 처리하며 아카마이가 가지고 있는 위협 DB에 등록된 악성 IP, 악성 행위를 했던 Domain을 요청할 때 탐지 또는 차단, 경보를 관리자에게 제공해 보안사고를 미연에 방지하는 솔루션으로 정의할 수 있다.

곽병주 CISO는 "의심스러운 사이트 차단은 IPS와 웹방화벽 등으로 하고 있지만 악성코드 감염 공격이 범람하고 있어 보다 철저히 내부의 악성코드 감염에 대응하기 위해 ETP 서비스를 도입하게 됐다. 효과를 보고 있다"고 말했다.

"화이트해커 채용, 상시 모의해킹 실시...타 부서와 소통 중요...전체 계열사들 보안체계 동일한 수준으로 업그레이드 중점"

▲ 신한금융투자 곽병주 CISO. 소통을 강조하고 상시적인 정보보호 활동으로 사내 보안역량 강화. 전 계열사의 정보보호 체계를 동일 수준으로 업그레이드시키는데 노력하고 있다. 정보보호본부에서.
▲ 신한금융투자 곽병주 CISO. 소통을 강조하고 상시적인 정보보호 활동으로 사내 보안역량 강화. 전 계열사의 정보보호 체계를 동일 수준으로 업그레이드시키는데 노력하고 있다. 정보보호본부에서.
신한금융투자는 클라우드 준비에도 박차를 가하고 있을 뿐만 아니라 그룹차원에서 국내 뿐만 아니라 해외법인에 대한 보안수준도 끌어올리기 위해 다양한 노력을 기울이고 있다.

곽병주 CISO는 "보안은 전체 시스템의 안정성을 좌우할 수 있는 핵심적인 부분이다. 따라서 사전에 취약점을 찾아 제거하는 것이 중요하다. 이를 위해 실력있는 화이트해커를 직원으로 채용해 일년 내내 상시적인 취약점 점검과 모의해킹을 실시하고 있다"고 밝히고 또 "직원들 보안의식 강화를 위해 사고 사례 전파 등 보안교육도 체계적으로 진행하고 있다. 그리고 한 달에 한번 정보보호의 날을 정해 행사도 하고 지점을 방문해 보안점검도 실시하고 있다"고 말했다.

이어 그는 1년 4개월 간의 CISO 업무를 통해 "CISO 역할은 사내 보안 역량을 극대화시키기 위해 타 부서와 커뮤니케이션이 중요하다는 것을 느꼈다. 이를 위해 정기적으로 타부서장과 논의하고 소통하는 시간을 갖고 전체적인 보안 수준을 업그레이드 시키기 위해 노력하고 있다"며 "특히 그룹차원에서 전체 계열사들의 보안체계를 동일한 수준으로 업그레이드 시키는 것을 요구하고 있어 이 부분에 많은 신경을 쓰고 있다"고 전했다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★