G05-7182802122

특별 기고

금융네트워크 보안에 ‘디지털 팬데믹’이 발생한다면?

NSP통신, NSP인사 기자, 2021-01-11 08:22 KRD7
#박완성

박완성 금융정보시스템연구회 회장

(서울=NSP통신) NSP인사 기자 = 새해에도 국내 금융기관들은 ‘디지털 트랜스포메이션(디지털 전환)’을 미래 성장동력의 핵심 과제로 삼고, 영역을 확장하거나 변신을 향한 다양한 시도를 진행해 갈 것이다. 이에 뒤질세라 빅테크 및 핀테크 기업들 역시, 금융서비스 부문으로 교두보 확보를 위해 무한 경쟁을 펼칠 것으로 예상된다. 이런 경쟁 속에서 보안 취약점으로 인한 디지털 팬데믹이 발생할 조짐이 지구촌 곳곳에서 보인다.

초 연결 시대를 지향하는 4차산업혁명이 가시화 되면서 오픈 뱅킹 및 마이 데이터사업도 활기를 띄고, 오픈API 기술을 기반으로 데이터 댐 간 데이터의 이동도 크게 증가하고 있다. 또한 클라우드 및 내외부시스템들의 망 간 연결성도 늘어나 향후 핵심 인프라로써 자리매김 할 것으로 예상되지만, ‘새로운 일상’이 된 재택근무 등 새로운 서비스 방식의 보안취약점에 대한 우려는 끊임없이 제기되고 있다.

점증하는 보안사고---새로운 패러다임으로 전환할 때
최근 들어 이랜드그룹의 랜섬웨어 공격에 의한 금융정보유출 및 결제 중단, 카이스트의 개인정보 유출, 러시아의 미 국토안전부 등 중요 기관들에 대한 해킹 의심, 화상회의시스템인 줌(Zoom)사 내부 직원의 정보 조작에 의한 해킹 및 미국 사이버보안 솔루션업체인 파이어아이(Fireeye)의 해킹 도구 도난유출사고도 일어났다. 이런 사례들을 종합해 볼 때 향후 해킹 공격의 다양한 유형의 발생 가능성과 빈도, 규모 및 수법들은 셀 수 없을 정도로 증가할 것으로 예상된다.

NSP통신-박완성 회장 (금융정보시스템연구회 제공)
박완성 회장 (금융정보시스템연구회 제공)

따라서 국내 금융기관들의 서비스 및 시스템 운영환경에도 재택 근무 도입이란 큰 변화가 발생돼, 원인을 파악하기 어려운 새로운 해킹 공격에 대한 방어막을 고민해봐야 할 시점이 됐다. 이런 상황이 계속 된다면 모든 거래가 중단될 수 있는 ‘디지털 팬데믹(Digital pandemic)’의 발생도 고민해보지 않을 수 없게 된다.

G03-9894841702

‘디지털 팬데믹’은 전산망이 동시 다발적으로 해커 공격을 받아 원인을 찾기도 어렵고, 원인을 찾아도 완전 복구를 위한 인력 및 자원이 절대 부족하여 복구가 지연되고 혼란이 장기간 소요될 수 있는 상황을 초래할 것이다.

만일 금융부문의 디지털 팬데믹 상황을 가정해 보면, 온.오프 라인 상거래의 불가, 자금 입금과 출금이 어려워지고, 불명의 계좌 간 자금이체가 동시에 일어날 수도 있으며, 대량의 출금 거래로 자금유출이 발생될 수도 있다. 또한 대량의 개인정보 유출로 금융시스템 안정성이 극도로 불안정 해지는 상황까지 생각해 볼 수 있다.

‘누구도 믿지 않는다’의 제로 트러스트나 SDP가 해법
보안 전문가들은 네트워크 보안 취약점들에 대한 다양한 해킹 공격 가능성으로 VPN의 IP노출 취약점을 이용한 공격, 오픈 API 취약점 및 오류를 이용한 공격, 원격 재택근무 단말기 증가에 따른 관리부실에 대한 공격, 보안기능이 미비한 원격접속프로그램을 이용한 공격 등을 꼽고 있다.

그 대표적인 해법 중 하나는 강력한 보안 구조를 갖추고, 네트워크 구성이 간단해 관리가 쉽고, 비용 또한 저렴한 방법인 '내외부 누구도 믿지 않는다'란 제로트러스트 개념인 ZTNA (Zero Trust Network Access) 또는 SDP (Software Defined Perimeter)의 활용 방안이 거론된다. 이는 다섯 단계의 프로토콜 (사용자 인증, MTLS, 디바이스 인증, Dynamic Firewall 및 앱 바인딩)로 구성된 강력한 네트워크 보안 솔루션이다.

ZTNA는 외부에서 볼 때 내부 서버가 은폐된 상태에서 앱 바인딩 된 프로그램만 접속 가능하며, 내부 동일 망 내의 개인간에도 독립된 별도 망처럼 다른 사람의 리소스가 은폐된다.

재택근무가 일상화되어 원격 단말기를 이용한 해킹 가능성이 어느때보다도 높다. VPN(Virtual Private Network), RAT(Remote Access Tool), API 등을 이용 할 경우에 내부 서버가 외부 단말에서 보인다면 수준 높은 해커의 공격 대상이 될 수도 있다. 그렇지만 내부 서버가 은폐되어 보이지 않게 되면 해커가 외부 단말을 해킹해 장악해도 공격 할 대상이 어디인지 알 수 없게 된다. 따라서 DDos공격은 물론이고 내부 서버, 네트워크 및 데이터는 온전히 보호되는 것이다.

다음은 허가된 SW만 접속되는 앱 바인딩을 생각해 보자. 앱 바인딩은 최종 단말 또는 외부 서버의 특정 프로그램과 내부 서버 내의 프로그램 양끝 단간에 MTLS (Mutual Transport Layer Security) 보안 터널이 형성됨을 의미한다. 중간에 네트워크 유형 및 구성은 무관하다. 사전에 앱 바인딩 되지 않는 프로그램은 내부 프로그램에 접속 자체가 불허되어 외부로부터 APT(Advanced Persistent Threats)공격도 약화 시킬 수 있다.

이밖에 내부자 또는 특정 해커가 내부에 침투하여 특정 단말 또는 서버를 장악한 경우를 가정하여 보면, 현재의 그룹화된 형태의 망 분리는 무력화 될 수도 있을 것이다. 아무리 내부의 네트워크가 업무 망, 인터넷 망, 중요 서버 망 또는 테스트 망 등으로 분리되어 있고, 개인별 서비스 별 계정 관리가 철저 해도 고수준의 해커라면, 네트워크 그룹내에서는 IP스캔과 명령어 등을 통해서 특정 서버 및 데이터베이스의 접근이 가능할 것이다.

그렇지만 제로트러스트 체계를 적용한다면, 모든 개별 단말 또는 개인별 접근 가능한 서버 및 어플리케이션이 은폐되어, 옆의 동료가 무엇을 하는지 알 수도 없고 철저히 개인별로 분리된 개별 망 환경이 만들어 진다. 따라서 내부자 또는 내부에 침투한 어떤 해커도 할 수 있는 작업이 없게 될 것이다.

보안관리 부담 및 비용의 최소화와 ZTNA의 적용
여러 개의 망과 단말들로 구성되어 있는 기존의 네트워크 구성 및 보안 체계에 새로운 솔루션을 추가하거나, 새로운 해킹 사례 및 취약점이 발생할 때 마다 개별 대응하는 현재의 방식은, 관리 대상의 증가로 더 많은 잠재적 취약점이 더 늘어날 것이고, 관리비용 및 인력은 계속해서 늘어날 수 밖에 없게 된다.

그러나 제로트러스트 방식은 네트워크, 장비 및 단말의 구성과 무관하게 접속할 서버, 단말기, 사용자 및 어플리케이션의 환경만 등록하므로 망 관리가 민첩해지고, 업무 부하 및 비용의 부담이 큰 폭으로 줄어들 것이다. 단순한 것이 가시성을 높이는 가장 좋은 방법중의 하나이기 때문이다.

그렇다면 ZTNA적용은 어떻게 할 것인가? 우선 현재의 보안 체계에서 취약한 부분부터 찾아서 선제적으로 적용하면서 점진적으로 추진하면 될 일이다.

첫째, 현재 원격 재택근무 단말기에서 우려되는 내부 서버 노출 방지 및 보안강화를 위한 원격 통제 및 앱 바인딩은 가장 빠르게 방법을 찾아서 보완해야 한다. 외부 단말들이 언제 위협에 노출되어 공격 받을지 알 수 없기 때문이다.

둘째, 보안 전문가들이 올해 우려되는 보안 이슈 중의 하나로 지적하는 오픈 API관련 사업을 추진 할 때, 시스템 구성 및 해킹 가능성을 다각도로 검토하여 서버를 은폐하고, 앱 바인딩을 통한 보안 강화 방안을 강구 할 필요가 있다. 다수 참가기관들이 오픈 된 환경에서 노출돼 공격대상이 될 가능성이 높기 때문이다.

셋째, 과도한 비용 및 관리 등의 문제로 물리적 망 분리가 어려운 환경의 소규모 핀테크 시스템들은 ZTNA 도입을 즉시 고려해야 한다. 설사 특정 단말기가 해킹 되거나 취약점에 노출된 경우에도 앱 바인딩을 통해 허가되지 않는 SW는 접속이 불가능해 서버 및 데이터가 보호될 수 있기 때문이다.

넷째, 특정 기관 내부에서 ZTNA적용은 특별히 동료 간에도 기술 보호가 필요하거나 내외부 해킹 우려가 존재하는 경우라면, 역시 적용을 검토해야 한다. 내부에서도 개인간 N차 망의 효과로 상호간 정보가 보호되기 때문이다.

ZTNA 개념을 구현한 제품은 세계적인 IT기업들이 이미 오래 전부터 적용 중인 충분히 검증된 개념이며, 국내외에 다양한 제품들도 나와 있다. 새롭고 혁신적인 기술이며 관리 및 구현 비용까지도 저렴하다면, 금융당국, 공공기관 및 제조사 등이 협업하여 적극적으로 적용하고, 수용하지 못 할 이유는 없을 것이다. 가까운 미래에 발생할 지도 모르는 ‘디지털 팬데믹’을 대비한 안전한 금융서비스 환경을 확보하는 방법의 하나로 추진하는 것도 뚫리지 않는 보안 대비책일 것이다.

박완성 금융결제원에서 지급결제시스템 구축 및 CIO/CISO로 근무했으며, 현재는 금융기관의 IT실무진들과 기업인들의 소통 창구인 ‘금융정보시스템연구회’ 회장직을 맡고 있다.

NSP통신 people@nspna.com
저작권자ⓒ 한국의 경제뉴스통신사 NSP통신·NSP TV. 무단전재-재배포 금지.