2024-03-29 15:25 (금)
BT, 금융기관용 보안서비스 ‘윤리적 해킹’ 출시
상태바
BT, 금융기관용 보안서비스 ‘윤리적 해킹’ 출시
  • 길민권
  • 승인 2015.09.16 16:39
이 기사를 공유합니다

BT, 수상 경력 있는 보안 전문가들로 구성된 글로벌 팀 확보
BT(한국 지사장 김성대)가 금융기관의 사이버 공격 노출을 미리 테스트할 수 있는 금융 보안 서비스인 ‘BT 어슈어 금융기관용 윤리적 해킹(BT Assure Ethical Hacking for Finance)’을 출시했다고 밝혔다.
 
일반은행, 투자은행 및 보험회사와 같은 금융기관들은 엄청난 양의 민감한 개인정보를 보유하고 있어 악의적 해커와 사이버 범죄자들의 주요 공격 대상이 되고 있다. 최근 일반 소액 거래 은행들이 서비스를 온라인으로 옮기고 전자거래가 증가함에 따라 이러한 위험이 더욱 커지고 있다.
 
BT 어슈어 금융기관용 윤리적 해킹 서비스는 블랙 해커(악의적 공격자)들이 사용하는 방법을 모방하여, 은행 IT 시스템으로 접근할 수 있는 진입지점 및 해당 금융사의 취약지점에 대한 다양한 테스트를 실시한다. 즉, 피싱 사기, 모바일 기기와 노트북에서 프린터에 이르는 하드웨어, 내외 네트워크, 데이터베이스, 기업의 복잡한 자원 계획 시스템 등을 테스트한다. BT는 네트워크에 접근할 수 있는 시스템을 시험하고 검증할 뿐만 아니라 소셜 엔지니어링을 이용해 직원들이 회사 지침을 어떻게 따르고 있는지 확인하는 등, 사람의 실수 위험도까지 테스트한다.
 
BT가 이번에 출시한 이 새로운 보안 서비스는 BT가 20년 가까이 미국의 대형 금융기관들과 긴밀하게 협력하면서 축적한 전문적인 윤리적 해킹 역량을 기반으로 개발됐다. 이 서비스를 통해 BT의 윤리적 해커들은 엄격한 규칙 내에서 다양한 해킹 행위를 구현할 수 있었다. 이에는 수만에 달하는 사회보장번호와 신용카드 번호의 데이터베이스화, 모바일 수표입금 데이터 가로채기 및 변경, 재산권 암호화 스트림의 리버스 엔지니어링, 다른 테스트 계좌의 지불 내역으로 유효한 상품권 생산, 직원이 단순히 이메일을 열어보는 것만으로 관리자 계정 생성, 원격접근 세션을 피해 기업 내부로 터널을 설치하는 등 시스템에 셸(shell) 액세스 설치, 무인증 테스트 계좌간의 자금이체, M2M(Machine-to-Machine) 커뮤니케이션을 공격해 전체 사용자의 계좌 데이터 전부를 수집하는 등이 포함된다.
 
BT가 새로 출시한 보안 서비스의 궁극적인 목표는 기업의 주된 비즈니스 프로세스에 영향을 미쳐 그 기업의 브랜드와 명성에까지 악영향을 줄 수 있는 취약점을 미리 찾아내는 것이다.
 
BT는 새로운 BT 어슈어 금융기관용 윤리적 해킹 서비스를 통해 기술 보안 전문 비영리단체 CREST2가 인증한 STAR 서비스를 이용하여 금융기업이 가장 강력한 보안 솔루션을 개발하도록 도움으로써 민감한 고객 데이터를 안전하게 지킬 수 있게 됐다. BT는 STAR 서비스를 제공하도록 CREST로부터 인증을 받은 세계 최초의 기업 중 하나다.
 
CREST는 STAR 인증 제도를 개발하여, 인텔리전스 주도의 통제된 사이버 보안 테스트를 제공하고 있다. 뱅크오브잉글랜드(Bank of England) 및 영국 정부와 협력해 개발한 STAR에는 주요 자산에 대한 사이버 보안위협을 보다 정확하게 복제하기 위한 첨단 모의 테스트와 위협 인텔리전트 서비스가 포함돼 있다.
 
BT 시큐리티의 마크 휴즈 사장은 “해커들은 비밀 금융정보에의 접근을 무엇보다 원하고 있기 때문에 다른 어떤 산업보다 은행이 온라인 범죄자들의 주목을 받고 있다. 심각한 해킹은 직접적인 금전적 피해뿐만 아니라 기업 평판에 회복 불가능한 해를 끼칠 수 있다. 주로 소매금융 기관들이 가장 큰 타겟이 되지만, 대기업 고객들에게 통화전환이나 거액 거래 같은 서비스를 제공하는 투자은행이나 도매은행들도 위협을 받고 있는 상황이다. 모든 금융기관들이 일련의 철저한 사이버 보안 시뮬레이션을 실시함으로써 윤리적 해킹 컨설턴트들로 하여금 사이버 방어를 최대한 추진할 수 있도록 해야 한다”고 말했다.
 
BT는 수상 경력이 있는 보안 전문가들로 구성된 강력한 글로벌 팀을 확보하고 있다. 이 중, 윤리적 해킹 컨설턴트들은 해킹 공격을 모방해 표준 시스템 테스트 방법을 제공하고, 발견된 취약점을 보고하고 고객이 애플리케이션과 피해 시스템을 신속히 패치할 수 있는 분명한 개선 조치를 제공한다.

★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★