신한은행 위험관리시스템 도입

피싱 막기 위해 웹 브라우저 ‘소스보기’등 제한

솔루션 강화 통해 웹 필터링으로 정보 유출 막아

금융권에서 신한은행(www.shinhan.com)의 정보보안시스템은 업계에서도 인정할만큼 앞서나가는 경향이 있다.

2002년도에 금융권 최초로 방화벽이나 IPS등을 통합적으로 관리하는 보안관제시스템을 도입한 것도 그러하고, 올해에는 위험관리시스템을 도입하여 보안에 관련된 모든 자료를 데이터베이스(DB)화 한 것만 보아도 신한은행의 보안은 그 정신만으로도 뛰어나다고 볼 수 있을 것 같다.

최근에 이슈화되고 있는 피싱에 대해서도 구체적인 대안을 가지며, 문제에 접근하고 있다.

신한은행 정보시스템부 이정호 과장

신한은행 정보시스템부 이정호 과장은 “피싱에 대해서는 아직 국내에서 큰 문제가 되고 있지는 않지만, 예방해두지 않으면 어느 순간에 당할지 알 수 없는 문제이기 때문에 능동적으로 대처하고 있다”고 밝혔다.

신한은행은 먼저, 고객들에게 홍보 및 공지를 통해 피싱에 대한 주의와 유사 도메인에 속지 않기를 알리는 경고문 및 안내문을 수시로 띄우고 있다. 하지만 이런 소극적인 대처로 피싱을 막을 수는 없다. 따라서, 유사한 웹 브라우저가 생기지 못하도록 웹 화면에 ‘소스보기’ 나 ‘캡쳐 따기’를 못하도록 하는 방안이 있을 수 있다. 그러나 이 방안은 기술적인 한계가 있다. 아무리 노력해도 막을 수 없는 한계가 존재하기 때문이다.

유사 도메인도 바이러스처럼 관리

그런 의미에서 신한은행은 솔루션을 강화하는 측면으로 이를 보완하고 있다. PC방화벽, 백신 개념을 응용하여 웹 필터링을 통해 데이터 유출을 막는 것이다.

이정호 과장은 “신한은행의 인터넷뱅킹을 통해 이루어진 계좌번호나 비밀번호 등을 통해 알려진 정보를 내부 웹 브라우저 외에 다른 곳으로 옮겨지지 못하도록 막는 작업을 진행하고 있다”고 밝혔다.

신한은행은 아직 피싱에 대해 구체적인 작업에 들어가 있지는 않지만 빠른 시일내에 이러한 작업을 구축하여 고객들의 정보를 보호할 게획이다. 또한, 유사 도메인도 계속적으로 체크해나가며 바이러스와 더불어 DB화하여 관리하고 있다.

이정호 과장은 “피싱의 예방은 사용자의 주의가 가장 중요하지만, 기술적으로도 막을 수 있는데까지는 막아야하는 것이 금융사의 역할”이라고 밝혔다.

침해사고대응팀 ‘신한-CERT’의 운영

신한은행은 신한금융지주회사 20개 계열사중 하나이다. 총 자산 90조에 종사자만도 5000명에 이른다. 앞서 얘기했다시피 2002년 최초로 보안관제시스템을 도입하여 보안 중요성을 다른 금융사에게 알리기도 했다.

신한은행은 침해사고대응조직으로 보안정책 수립과 취약점을 점검하고 침해 예방 강화 방안을 수립하여 이를 이행하는 ‘신한-CERT’를 운영하고 있다.

이들은 침해감시, 침해 분석, 침해 복구에 관여하며 ▲해킹, 비인가자 불법 접근 등을 감시하여 침해사고를 인지하고 대응하는 활동 ▲보안시스템에서 발생하는 장애를 실시간 감시하고 장애복구시간을 최소화하는 활동 ▲보안시스템이 최상의 성능을 발휘할 수 있도록 성능저하요인을 분석하고 개설하는 활동을 지원하고 있다.

보안시스템을 관할하는 위험관리시스템 도입

신한은행은 모든 영업점의 개인 PC에 대해서도 관리하며 네트워크상에 문제가 발생할 수 있다는 판단이 서면 네트워크 선을 완전히 뽑아버리고, 즉각 감염자를 색출하여 사내망에서 분리시킨다.

신한은행은 개인 PC에 모든 방화벽과 패치를 설치하고 이를 점검한다. 한대의 PC가 감염되더라도 주위의 PC에 영향을 주지 않도록 각 PC에 방화벽을 설치하여 운영하고 있다.

보안에서 가장 중요한 것은 ‘침해진단’ 이기 때문에 모든 가능성을 열어두고 이를 체크해 나가고 있는 것이다.

하지만, 신한은행의 개별보안시스템만도 50여개에 이르고, 모든 영업점의 PC 약 7000여대를 모두 감시 및 점검한다는 것은 상식적으로도 쉬운 일이 아니다. PC 사고는 밤낮이 없기 때문에 24시간 사람이 일일이 감시한다는 것을 현실적으로 불가능한 일이다.

이를 위해 신한은행은 2005년도에 위험관리시스템을 도입하여 모든 문서를 데이터베이스(DB)화하여 침해예방에 중점을 두고 있다. 테이타베이스는 다시 위험DB, 자산DB, 재산DB로 나누어 보관한다. DB화 된 것은 또다시 위험이나 취약점 등을 고려하여 위험도에 따라 차등 등급을 매겨 관리한다.

안정적인 보안관제시스템 운영

신한은행은 모든 금융권 회사 중에서도 앞서가는 경향이 있다. 앞서 보안관제시스템을 최초로 도입한 것도 그러하고, 올해 위험관리시스템을 도입한 것도 그러하다. 솔루션 업계에서도 새로운 솔루션이 나왔을 때 제일 먼저 신한은행과 접촉을 한다. 모험심이 제일 강한 곳이기 때문이다. 금융권의 시스템 도입은 굉장히 신중한 부분이다. 과감히 이런 일에 투자하는 것은 그만큼 신한은행이 앞서간다는 증거일 것이다.

모험이 강하다고 무모하지는 않다. 새로운 솔루션이나 시스템을 도입할 경우 수많은 테스트를 걸쳐 이를 완성한다. 솔루션 업계에서는 신한은행을 마치 연구기관처럼 생각하기도 한다. 그만큼 앞서가기 위한 노력을 게으르지 않는다는 뜻이다.

이정호 과장은 “보안 관제는 흔히들 침해사고시 진단 및 대응을 위한 운영을 생각하기 쉬운데, 그 보다는 보안시스템의 안정적 운영이 중요하다”며 “침해 예방을 위한 안정적인 시스템 운영할 수 있는 조직이 갖추어져야 한다”고 강조했다.

[정재형 기자(is21@infothe.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)