3줄 요약
1. 엠시큐어, 엠엘소프트, 에스엔에이, 이스톰, 피앤피시큐어 컨소시엄 구성
2. KB국민은행 클라우드 시스템 ‘One Cloud’에 금융 특화 보안 모델 적용
3. 인증체계 강화·신뢰도 평가 시스템 등으로 더욱 안전한 금융 환경 조성 기대
[보안뉴스 박은주 기자] 디지털 금융 서비스의 확산으로 금융권은 사이버 위협에 더 많이 노출되고 있다. 온라인 금융 거래와 클라우드 시스템 도입으로 공격 표면이 확대됐고, 다양한 경로를 통해 개인 금융 정보를 탈취하려는 시도가 빈번히 발생하고 있다. 이에 금융권에 강력한 인증 체계와 네트워크 보호 기술을 결합한 ‘제로트러스트 보안 모델’을 도입해 보안 수준을 강화해야 한다는 목소리가 높아지고 있다.
[이미지=보안뉴스]
과학기술정보통신부와 한국인터넷진흥원은 금융권을 비롯한 여러 사업 분야에 제로트러스트 도입을 지원하기 위한 ‘2024년 제로트러스트 도입·확산 지원사업(이하 지원사업)’을 시행했다.
엠시큐어 컨소시엄은 주관사인 엠시큐어를 중심으로 엠엘소프트, 에스엔에이, 이스톰, 피앤피시큐어로 구성됐다. 각 기업의 솔루션을 공급하며 제로트러스트 모델 개발과 구현을 추진했다. 수요 기관인 KB국민은행의 클라우드 시스템 ‘One Cloud’에 제로트러스트 핵심 원칙 고도화 모델(K-ZT)을 성공적으로 구축 및 운영했다.
K-ZT 모델, 5개 분야에서 인증 체계 강화
PDP(정책결정지점)의 5개 인증 영역(통합·강화·다중·단말·네트워크)에 강화된 인증 체계를 구축했다. ‘통합 인증’은 사용자 계정 권한을 통합적으로 제어해 접근을 관리한다. 일례로 KB국민은행 내부에 설치된 SDP(소프트웨어 정의 경계) 에이전트를 통해 접근할 때 사용자 단말과 네트워크, 내부 계정 인증을 진행하게 된다. 일련의 인증 과정을 통합적으로 거쳐야 시스템과 내부 자산에 접근할 수 있는 것이다. 통합 인증에는 에스엔에이의 ‘Onrrow’ 솔루션이 적용됐다.
‘강화인증’은 사용자의 신원을 엄격하게 검증하기 위한 단계다. 자동으로 생성된 OTP(일회용 비밀번호)와 스마트폰 등 단말로 한 번 더 검증하는 상호인증을 거치게 된다. 국제표준 인증을 받은 이스톰의 ‘AutoPassword’ 기술이 적용됐다.
중요 자원 혹은 민감 자산에 접근할 때는 ‘다중인증’을 받아야 한다. 이때 얼굴(안면)을 통해 지속적으로 인증하는 피앤피시큐어의 ‘FaceLocker’ 기술이 적용됐다. 더불어 서버 및 DB 등 중요 자원 접근을 인증할 때는 데이터베이스 관리와 시스템 접근제어를 지원하는 ‘DBSAFER’가 도입됐다.
‘단말 인증’은 사용자 기기를 식별하고 등록된 기기만 네트워크에 접속할 수 있도록 보장한다. 기기 정보는 실시간으로 검증되며, 미등록 기기의 접근은 즉시 차단된다.
‘네트워크 인증’은 사용자와 기기의 네트워크 상태를 평가해 안전한 연결 상태에서만 접근을 허용한다. 엠엘소프트의 네트워크 접근제어 시스템 ‘Tgate SDP’가 적용됐다. SDP는 사용자의 기기, 네트워크 상태, 위치 등을 실시간 평가해 접근 권한을 설정한다. 사용자는 전용 인증 앱을 통해 PC와 모바일에서 이중 인증을 수행해야만 네트워크 자원에 접근할 수 있다. 접근이 허가된 후에도 세션 관리가 지속적으로 이뤄진다.
PEP(정책시행시점)에서는 프록시·네트워크계층·게이트웨이 등을 통해 네트워크 접근제어를 진행했다.
K-ZT 모델의 마이크로 세그멘테이션·신뢰도 평가 시스템
마이크로 세그멘테이션 기반 보안 VM(가상머신) 단위로 네트워크를 세분화해 관리하며, VM은 개별 보안장비처럼 작동한다. 악성코드 감염 시 네트워크 횡방향 이동을 차단하고, 중요 데이터와 자산은 VM별로 보호된다.
신뢰도 평가 시스템에 기반한 동적 접근제어 시스템은 사용자와 기기의 행위를 실시간으로 분석해 위험도를 평가하고, 동적 접근제어를 수행한다. 특정 계정에서 이상 행위가 발생하면 자동으로 접근 권한이 제한되며, 필요시 계정 잠금과 추가 인증이 요구된다. 신뢰도 평가 및 제로트러스트 검증을 위해 엠시큐어의 ‘vFinderZT’가 도입됐다. AI 기반의 이상행위 탐지 시스템은 위험 행위를 빠르게 감지하고 조치를 실행할 수 있게끔 구축됐다.
‘제로트러스트 확산 지원 성과공유회’에서 엠시큐어 홍동철 대표는 “신뢰도 평가 시스템에 AI 기술 딥러닝이 적용됐다”며 “사용자 행위를 AI 모델을 통해서 계속 학습하고 고도화할 예정”이라고 밝혔다.
금융권 제로트러스트 모델 도입 결과...감염 경로 완벽 차단
엠시큐어 컨소시엄은 K-ZT 모델 도입 후 시나리오 기반의 해킹 시뮬레이션을 통해 보안 성과를 검증했다. 적용 전에는 내부 시스템 간 약 80~90%의 해킹 성공률을 기록했으나, K-ZT 모델 적용 후 대부분의 공격이 차단됐다. 특히, 마이크로 세그멘테이션과 동적 접근제어 시스템은 서버 간 감염 경로를 완벽히 차단한 것으로 알려졌다.
시스템 검증 결과, 신뢰도 평가 시스템은 이상 행위를 빠르게 감지하고 동적 접근제어 명령을 내려 계정 잠금과 접근 차단을 자동 수행했다. 이와 같은 체계는 앞으로 금융 서비스의 안전성과 연속성을 크게 향상시킬 것으로 예상된다.
이처럼 K-ZT 모델은 금융권 보안 표준을 새롭게 정립할 수 있는 잠재력을 입증했다. 신뢰도 평가 시스템, 실시간 이상행위 탐지, 동적 접근제어 등의 요소는 금융 데이터 보호의 필수 요건이 될 전망이다.
엠시큐어 컨소시엄 측은 “K-ZT 모델을 KB국민은행과 계열사에 지원하고, 모델을 더욱 견고하게 만들어 가는 것이 남겨진 과제라고 생각한다”고 말했다. K-ZT 모델을 본보기 삼아 금융권에 제로트러스트 보안이 적용돼 더욱 안전한 금융 환경이 조성될 것으로 기대된다.
이 기사는 ‘KISA’의 협찬을 받아 작성된 기사임을 밝힙니다.
[박은주 기자(boan5@boannews.com)]
1. 엠시큐어, 엠엘소프트, 에스엔에이, 이스톰, 피앤피시큐어 컨소시엄 구성
2. KB국민은행 클라우드 시스템 ‘One Cloud’에 금융 특화 보안 모델 적용
3. 인증체계 강화·신뢰도 평가 시스템 등으로 더욱 안전한 금융 환경 조성 기대
[보안뉴스 박은주 기자] 디지털 금융 서비스의 확산으로 금융권은 사이버 위협에 더 많이 노출되고 있다. 온라인 금융 거래와 클라우드 시스템 도입으로 공격 표면이 확대됐고, 다양한 경로를 통해 개인 금융 정보를 탈취하려는 시도가 빈번히 발생하고 있다. 이에 금융권에 강력한 인증 체계와 네트워크 보호 기술을 결합한 ‘제로트러스트 보안 모델’을 도입해 보안 수준을 강화해야 한다는 목소리가 높아지고 있다.
[이미지=보안뉴스]
과학기술정보통신부와 한국인터넷진흥원은 금융권을 비롯한 여러 사업 분야에 제로트러스트 도입을 지원하기 위한 ‘2024년 제로트러스트 도입·확산 지원사업(이하 지원사업)’을 시행했다.
엠시큐어 컨소시엄은 주관사인 엠시큐어를 중심으로 엠엘소프트, 에스엔에이, 이스톰, 피앤피시큐어로 구성됐다. 각 기업의 솔루션을 공급하며 제로트러스트 모델 개발과 구현을 추진했다. 수요 기관인 KB국민은행의 클라우드 시스템 ‘One Cloud’에 제로트러스트 핵심 원칙 고도화 모델(K-ZT)을 성공적으로 구축 및 운영했다.
K-ZT 모델, 5개 분야에서 인증 체계 강화
PDP(정책결정지점)의 5개 인증 영역(통합·강화·다중·단말·네트워크)에 강화된 인증 체계를 구축했다. ‘통합 인증’은 사용자 계정 권한을 통합적으로 제어해 접근을 관리한다. 일례로 KB국민은행 내부에 설치된 SDP(소프트웨어 정의 경계) 에이전트를 통해 접근할 때 사용자 단말과 네트워크, 내부 계정 인증을 진행하게 된다. 일련의 인증 과정을 통합적으로 거쳐야 시스템과 내부 자산에 접근할 수 있는 것이다. 통합 인증에는 에스엔에이의 ‘Onrrow’ 솔루션이 적용됐다.
‘강화인증’은 사용자의 신원을 엄격하게 검증하기 위한 단계다. 자동으로 생성된 OTP(일회용 비밀번호)와 스마트폰 등 단말로 한 번 더 검증하는 상호인증을 거치게 된다. 국제표준 인증을 받은 이스톰의 ‘AutoPassword’ 기술이 적용됐다.
중요 자원 혹은 민감 자산에 접근할 때는 ‘다중인증’을 받아야 한다. 이때 얼굴(안면)을 통해 지속적으로 인증하는 피앤피시큐어의 ‘FaceLocker’ 기술이 적용됐다. 더불어 서버 및 DB 등 중요 자원 접근을 인증할 때는 데이터베이스 관리와 시스템 접근제어를 지원하는 ‘DBSAFER’가 도입됐다.
‘단말 인증’은 사용자 기기를 식별하고 등록된 기기만 네트워크에 접속할 수 있도록 보장한다. 기기 정보는 실시간으로 검증되며, 미등록 기기의 접근은 즉시 차단된다.
‘네트워크 인증’은 사용자와 기기의 네트워크 상태를 평가해 안전한 연결 상태에서만 접근을 허용한다. 엠엘소프트의 네트워크 접근제어 시스템 ‘Tgate SDP’가 적용됐다. SDP는 사용자의 기기, 네트워크 상태, 위치 등을 실시간 평가해 접근 권한을 설정한다. 사용자는 전용 인증 앱을 통해 PC와 모바일에서 이중 인증을 수행해야만 네트워크 자원에 접근할 수 있다. 접근이 허가된 후에도 세션 관리가 지속적으로 이뤄진다.
PEP(정책시행시점)에서는 프록시·네트워크계층·게이트웨이 등을 통해 네트워크 접근제어를 진행했다.
K-ZT 모델의 마이크로 세그멘테이션·신뢰도 평가 시스템
마이크로 세그멘테이션 기반 보안 VM(가상머신) 단위로 네트워크를 세분화해 관리하며, VM은 개별 보안장비처럼 작동한다. 악성코드 감염 시 네트워크 횡방향 이동을 차단하고, 중요 데이터와 자산은 VM별로 보호된다.
신뢰도 평가 시스템에 기반한 동적 접근제어 시스템은 사용자와 기기의 행위를 실시간으로 분석해 위험도를 평가하고, 동적 접근제어를 수행한다. 특정 계정에서 이상 행위가 발생하면 자동으로 접근 권한이 제한되며, 필요시 계정 잠금과 추가 인증이 요구된다. 신뢰도 평가 및 제로트러스트 검증을 위해 엠시큐어의 ‘vFinderZT’가 도입됐다. AI 기반의 이상행위 탐지 시스템은 위험 행위를 빠르게 감지하고 조치를 실행할 수 있게끔 구축됐다.
‘제로트러스트 확산 지원 성과공유회’에서 엠시큐어 홍동철 대표는 “신뢰도 평가 시스템에 AI 기술 딥러닝이 적용됐다”며 “사용자 행위를 AI 모델을 통해서 계속 학습하고 고도화할 예정”이라고 밝혔다.
금융권 제로트러스트 모델 도입 결과...감염 경로 완벽 차단
엠시큐어 컨소시엄은 K-ZT 모델 도입 후 시나리오 기반의 해킹 시뮬레이션을 통해 보안 성과를 검증했다. 적용 전에는 내부 시스템 간 약 80~90%의 해킹 성공률을 기록했으나, K-ZT 모델 적용 후 대부분의 공격이 차단됐다. 특히, 마이크로 세그멘테이션과 동적 접근제어 시스템은 서버 간 감염 경로를 완벽히 차단한 것으로 알려졌다.
시스템 검증 결과, 신뢰도 평가 시스템은 이상 행위를 빠르게 감지하고 동적 접근제어 명령을 내려 계정 잠금과 접근 차단을 자동 수행했다. 이와 같은 체계는 앞으로 금융 서비스의 안전성과 연속성을 크게 향상시킬 것으로 예상된다.
이처럼 K-ZT 모델은 금융권 보안 표준을 새롭게 정립할 수 있는 잠재력을 입증했다. 신뢰도 평가 시스템, 실시간 이상행위 탐지, 동적 접근제어 등의 요소는 금융 데이터 보호의 필수 요건이 될 전망이다.
엠시큐어 컨소시엄 측은 “K-ZT 모델을 KB국민은행과 계열사에 지원하고, 모델을 더욱 견고하게 만들어 가는 것이 남겨진 과제라고 생각한다”고 말했다. K-ZT 모델을 본보기 삼아 금융권에 제로트러스트 보안이 적용돼 더욱 안전한 금융 환경이 조성될 것으로 기대된다.
이 기사는 ‘KISA’의 협찬을 받아 작성된 기사임을 밝힙니다.
[박은주 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
