데일리시큐와 머니투데이가 공동주최한 금융보안&개인정보보호페어 FPIS 2013에서 하나은행 윤종록 IT보안팀 팀장은 ‘차세대 금융보안시스템 구축사례 발표’를 통해 사이버테러에 대항한 하나은행만의 보안 체계를 참관객들에게 소개하는 시간을 가졌다.(우측 이미지. 하나은행 윤종록 IT보안팀 팀장)
 
윤종록 팀장은 하나은행 보안의 모토를 ‘Back to the BASIC’이라며 기본에 충실하지 않아 3.20 사태가 초래됐다며 보안의 기본으로 돌아가자고 강조했다.
 
◇보안, Back to the BASIC=윤 팀장은 “3.20사태를 겪으면서 다시 한번 보안의 기본을 충실히 해야겠다는 생각을 하게 됐다”며 “관리자 PC보안이 미흡하고 서버 접근이 관리자 IP 이외에도 가능하며 웹서버 보안, 보안패치, 업데이트 파일 무결성 검증, 업데이트 서버 취약성 점검 등이 미흡한 기업들이 많다. 또 디폴트 비밀번호를 그대로 사용하고 불필요한 명령어 사용제한도 두지 않는 등 기본적인 보안이 이루어지지 않아 3.20 사태가 발생한 것이다. 기본을 충실히 하고 새로운 시스템 도입도 중요하지만 기존에 운영되고 있는 보안솔루션들을 잘 활용하고 관리하는 것이 중요하다고 생각한다”고 강조했다.
 
하나은행은 크게 전자금융 보안과 내부통제영역 두 분야로 나눠 보안체계를 구축해 놨다. 특히 업무시스템에 접근하는데 있어 엄격한 접근통제시스템을 적용하고 있으며 로그인 인증강화, 알려지지 않은 악성코드의 탐지, 빅데이터를 이용한 로그분석시스템 등을 적용하고 있다고 한다. 또 스마트 금융보안을 위해 앱 무결성과 난독화 솔루션을 도입해 앱 개발단계부터 보안을 적용하고 있다고 한다.
 
◇접근통제와 로그인 인증 강화=윤 팀장은 “하나은행은 시스템접근 통제 강화를 위해 개발자나 운영자들이 업무시스템에 접근시 접근통제 시스템을 통해서만 접근이 가능하다. 또 접근된 모든 자료들은 기록을 남기고 있다”며 “또한 악의적 해커라도 시스템에 로그인이 되어야 악의적 행위를 할 수 있기 때문에 이를 방지하기 위해 로그인 인증 강화를 철저히 하고 있다. 특히 스마트폰 OTP를 활용해 보안성과 편의성을 높였으며 모든 업무시스템과 네트워크 시스템, 업무서버, 보안솔루션 등에 접속할 때 1분 간격으로 비밀번호가 생성되는 모바일 OTP를 사용해 시스템 접근에 강력한 보안성을 가미했다”고 설명했다.
 
하나은행은 시스템 원격접속시에도 모바일 OTP인증을 받아야 하며 향후 웹서버 관리자 페이지에도 확대 적용할 방침이라고 한다.
 
또 윤 팀장은 “루트와 같은 시스템 공용계정 비밀번호 생성 시스템도 사용하고 있다. 시스템 주요 계정 비밀번호 생성시 관리자와 감사자 등의 사전 승인이 있어야만 비밀번호가 생성되기 때문에 악의적 해커가 악성행위를 하려는 것을 차단할 수 있다”고 말했다.
 
◇악성코드 대응과 빅데이터 활용 로그분석의 중요성=한편 악성코드 대응책에 대해서도 소개했다. 그는 “APT 공격 방어는 쉽지 않다. 알려지지 않은 악성코드에 대비해야 한다”며 “하나은행은 네트워크 레벨에서 백신이 탐지못하는 악성코드 탐지 시스템을 2011년부터 구축해 적용하고 있다. 내부 PC에 악성코드 감염을 차단하는 것이 가장 중요하기 때문에 국내와 글로벌 시스템 이원화 체계로 강화하고 있다”고 전했다.
 
로그분석의 중요성도 강조했다. 그는 “보안시스템의 로그분석은 보안의 기본중 기본이다. 그러나 현실적으로 엄청난 양의 로그를 분석하기란 쉽지 않다. 많은 시간과 노력이 필요했다”며 “이제는 빅데이터 분석시스템으로 로그분석을 하고 있으며 이전과는 비교가 안될 정도의 속도와 정확성으로 이번 3.20 사건 분석에도 활용됐다”고 말했다.
 
그는 “3.20 사건에 하나은행이 공격을 받았는지 여부를 확인하기 위해 내부 PC가 공격 악성코드에 감염됐는지 그리고 사내 PC가 해커의 C&C서버와 교신했는지 여부가 가장 중요한 관건이었다”며 “이를 확인하기 위해 전체 로그를 분석했는데 분석 시간이 3~4시간에 완료됐다. 빠른 분석이 이루어져야 추가적인 대응이 가능하다. 빅데이터를 활용한 로그분석은 보안뿐만 아니라 앞으로 거래시스템에도 적용해 서비스 개선에도 활용할 계획”이라고 밝혔다.
 
◇모바일 보안 강화 위한 무결성 검증과 난독화 적용=하나은행은 또 모바일 보안에도 상당히 신경을 쓰고 있다. 윤 팀장은 “2009년 12월부터 하나앱 서비스를 시작했으며 전 플랫폼을대상으로 뱅킹서비스를 처음 시작했다. 당시에는 스마트폰 뱅킹 보안 개념도 정립되지 않은 시기였다. 하지만 스마트폰 보급이 확대되면서 위협도 급증한 것”이라며 “스마트폰 보안위협 대응을 위해 하나은행은 앱 위변조 확인을 위해 서버단에서 앱무결성 검증과 앱 개발시 자체 보안을 위한 난독화 보안을 적용하고 있다”고 소개했다.
 
그는 “최근 스마트폰 앱 위변조를 통한 금융사기 사고가 발생하고 있기 때문에 앱무결성 검증은 해쉬값을 떠 놓고 해쉬값이 다르면 통신을 차단하는 방식으로 무결성을 검증하고 있으며 또 앱 자체 보안을 위해 앱 주요 로직과 전체 로직에 차이를 두며 난독화를 적용해 안전성을 높였다. 특히 앱 개발시 시큐어코딩을 통해 개발시부터 보안이 적용될 수 있도록 프로그램 로직차원의 보안을 강조하고 있다”고 설명했다.
 
마지막으로 그는 “APT 공격은 한 기업의 힘으로 막기는 힘들다. 특히 내부 PC에 악성코드 감염 여부를 신속하게 파악하고 대응해야 하는데 알려지지 않은 위협에 대해서는 차단이 힘든 실정”이라며 “수사기관, 감독당국, 보안업체 등 정보력이 뛰어난 기관들의 도움이 절실하다. 신속한 정보공유 체계가 확립돼 금융기관에 빠르게 정보들이 전달될 수 있는 체계가 마련되길 희망한다”고 강조했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com