윤종욱 팀장, 하나은행의 차세대 금융보안시스템 구축사례 발표  
NSHC, 글로벌 금융 IT 보안 컨퍼런스(SAFE SQAURE) 2013 개최  
[보안뉴스 김태형] “모든 해킹 공격에는 기본 타깃이 있다. 대부분의 기업들은 이러한 부분을 간과해서 보안사고가 발생한다.”

윤종옥 하나은행 IT보안팀 팀장은 27일 서울 양재동 엘타워에서 개최된 ‘글로벌 금융 IT 보안 컨퍼런스(SAFE SQUARE) 2013’에서 ‘차세대 금융보안시스템 구축사례’ 발표를 통해 이같이 밝혔다.

윤종옥 팀장은 이날 첫 번째 발표에서 “적절한 보안인력 구성·운영, 필수 보안 시스템 구축과 이를 활용한 보안 운영·관리 등 보안의 기본원칙만 잘 지키면 보안위협은 현저하게 줄어든다”면서 “하나은행 정보보안부는 이러한 기본 원칙을 기반으로 보안 강화를 위해 업무시스템 접근통제 강화, 악성코드 탐지 시스템 운영, 전자금융 로그 표준화 및 로그인 인증 강화 등을 구축·적용하고 있다”라고 설명했다.

하나은행은 업무시스템 접근통제 강화를 통해 계정통제 및 감사, 비밀번호 변경 등으로 보안을 강화했으며, 지난 2011년부터 악성코드 탐지 시스템을 운영해 악성코드 내부 유입을 사전 모니터링을 통해 차단하고 있다는 것.

윤 팀장은 “최근 악성코드의 감염경로가 다양해졌고 전 세계적으로 수없이 많은 악성코드가 발생하기 때문에 향후에는 이에 대한 대응방법도 필요할 것”이라고 말했다.

또한, 전자금융 로그의 표준화를 통해 통합보안 승인 관리 및 보안수준을 향상시켰다. 윤 팀장은 “최근 다양화되고 고도화된 보안위협과 공격에 적절한 방어 대책이 무엇인가에 대한 해답은 바로 기본에 충실한 것”이라면서 “보안의 기본과 원칙을 지키면 큰 문제는 없다고 생각한다”고 말했다.

이에 하나은행은 기본이라는 키워드를 중점으로 시스템 통제를 강화했다. 이는 치명적 침해사고를 막을 수 있는 방법으로 개발자, 보안관리자, DB관리자 등을 포함해 은행의 모든 시스템에 관여하는 인력들의 작업이력과 접속이력을 남기는 것이 포함된다.

또한, 로그인 인증 강화방안으로, 악의적 로그인을 차단하기 위해 접속용 OTP를 적용했다. 초창기 토큰형 OTP 제품으로 사용의 불편을 해소하기 위해 NSHC 스마트폰 OTP 인증을 구축함으로써 보안성 강화와 편리성을 더했다.

윤 팀장은 “이러한 모바일 OTP 활용영역은 다양하다. 업무용 시스템이나 네트워크 장비 등의 로그인 인증 강화와 웹서버 로그인 인증 강화 등에 적용할 수 있다. 향후 하나은행은 직원용 업무 PC 접속에도 모바일 OTP를 확대 적용해 나갈 계획”이라고 밝혔다.

또한, 공유계정 비밀번호 변경 시스템을 구축해 일정기간 동안 사용되지 않은 비밀번호나 한번 사용한 비밀번호는 자동 변경되도록 적용했다. 이는 시스템 우회를 통해 접근할 수 있는 취약점에 대한 대책이다.

그리고 빅데이터 처리 방식을 이용한 좀 더 빠른 보안 로그 분석도 도입했다. 향후에는 정보보호 시스템, 추적관리 시스템, 전자금융 거래 분석에도 이러한 방식을 적용할 계획이다.

이 외에도 하나은행은 안전한 모바일 서비스도 제공하고 있다. 특히, 이용자 편의성 및 보안성 강화를 위한 여러 가지 방안을 논의해 안전한 모바일 서비스를 제공하고 있다.

윤 팀장은 “모든 보안이 마찬가지이지만 스마트폰 보안 솔루션만으로 보안문제를 해결할 수 없다. 중요한 것은 금융관련 앱의 개발단계부터 시큐어코딩을 거쳐 보안성 검증을 통해 서비스를 제공해야 한다”고 강조했다.

한편, 27일 개최된 ‘글로벌 금융 IT 보안 컨퍼런스(SAFE SQUARE) 2013’은 보안전문 기업 NSHC가 금융보안 담당자들의 고충을 듣고 사이버테러와 보안이슈에 적극적이고 빠르게 대응할 수 있는 효과적인 금융보안 강화전략을 제시하기 위해 마련했다. 

이번 행사에서는 최신 보안위협과 기술정보를 공유하고, 국내는 물론 글로벌 금융회사들의 보안 시스템 구축사례를 소개했으며, 다양한 이벤트도 준비해 참관객들의 열띤 호응을 이끌어냈다.   
[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>