나경아빠의 스케치북 - 고통은 희망의 씨앗이다

출처 : cio ciso 매거진 289호

http://www.ciociso.com/news/articleView.html?idxno=10274

정보보호 인식 스며들도록 ‘감성’ 발휘한다
O&T본부, 융합과 통섭으로 핵심부서 자리매김

우리투자증권의 ‘Operation&Technology본부’는 해외에서는 운영되고 있는 사례가 있지만 국내 금융업계에서는 지난 2009년 처음 시도된 조직이다. Operation&Technology본부는 우리투자증권의 각 사업본부들을 지원하는 Middle&Back Office 통합 역할을 한다. 이는 IT개발과 운영 외에도 각종 프로세스를 수립해주고 시행하는 일에 대해 스탭 바이 스탭(Step by Step)업무지원을 해주는 것을 의미한다.
Operation&Technology본부는 특히 급변하는 금융환경과 변화에 적극적으로 대응하면서도, 현업이 요구하는 다양한 비즈니스, 상품, 서비스를 적시에 효과적으로 출시하는 데 가장 큰 중점을 두고 있다. 이외에도 고객군의 행동패턴 변화에 적극적으로 대응하기 위한 본부지원의 역량, 인프라, 보안체계를 공고히 하면서 신규 법/제도로 인한 새로운 사업기회를 적시에 포착해야 한다. 금융 패러다임의 변화에 능동적으로 대응하는 체계를 지속적으로 보유함으로써 우리투자증권의 경쟁력을 제고하는 것이 Operation&Technology본부의 역할인 셈이다.
이 때문에 Business Enabler를 넘어 Business Partner, 그리고 Business Innovation을 가져오는 본부가 되야한다는 임무를 지니고 있다. 향후 민영화와 글로벌화를 앞두고 있는 우리투자증권은 Operation&Technology본부 역할의 중요성을 더욱 인정하면서, 향후 1~2년 동안은 본부 역할이 더욱 강화될 것으로 전망하고 있다.
이 외에도 최근 대고객 모바일 서비스 제공에 주력하고 있는 우리투자증권은 지난 5월, Mug Smart의 프레임워크를 기반으로 구축된 WMP(Woori Mobile Partner)를 출시해 업계에 긍정적인 호응을 이끌어내고 있다.
WMP는 과거 고객이 지점 창구를 방문해야 가능했던 계좌개설, 금융상품 판매 등을 고객이 원하는 장소 어디에서나 제공하는 서비스다. 또한 우리투자증권은 장애인차별금지법에 대응하기 위한 시스템개발과 거래소 포스트 차세대 시스템 도입에 대한 대응 및 해외사업을 위한 글로벌 트레이딩 센터 내 시스템 구축 등 자본 통합법 개정으로 인한 투자은행 활성화 프로젝트들을 진행 중이다. 한편 본부 내 정보보안 팀을 신설해 기존 내부 전문가를 비롯해 네트워크, 침입탐지, 보안 아키텍처 등 보안 영역 전문가를 외부 영입해 ISO27001 인증을 획득 하는 등 정보보호 위험을 계량화해 연속성 있는 관리체계를 수립하기 위한 작업이 한창이다. 오세임 우리투자증권 Operation&Technology본부 상무는 이러한 활동의 중심에 있는 인물로 CIO, CISO, CPO의 역할을 책임지며 바쁜 나날을 보내고 있다. 20여 년이 넘는 시간동안 IT 업계에 몸담고 있는 그를 만나 우리투자증권의 최근 정보화 이슈와 더불어 계획에 대해 들어봤다.

이지혜 팀장 jh_lee@ciociso.com

WMP로 대고객 지원 서비스 향상

우리투자증권 Operation&Technology(이하 O&T)본부 역할은 장기적인 관점에서 볼 때 기술 발전 및 시장상황, 고객행동이 가져올 변화에 능동적으로 대응하는 것이다.
이를 위해O&T전략을 수립하고, O&T의 매트릭스적인 기능을 작동시켜 기업 개인정보보호 및 보안의식이 기업 문화에 스며들도록 해 글로벌한 금융회사로 성장시켜 나가는데 있다. 오세임 상무는 “상품과 서비스 출시, 업무프로세스 개선 등 전반적인 현업 요구사항에 대응하면서도 전사 업무 프로세스의 지속적인 효율화를 위한 방안을 찾는데 주력할 것”이라며 “또한 정보보안 및 개인정보보호를 위한 절차 현행화와 관련 시스템의 개선 작업 또한 이뤄지고 있다”고 말했다.
이러한 다양한 신규제도와 법에 대해 효과적으로 대응하기 위해서는 직원역량 고도화와 결제 및 후선업무 처리의 완결성이 뒷받침 돼야 한다는 게 오 상무의 생각이다. 우리투자증권O&T부서는 국내 금융업계에서는 처음 시도된 부서다. 실제 조직 변화관리를 수행할 수 있는 내부조직으로 우리투자증권 최고경영진의 강력한 지원을 힘입고 출범됐다. 최근 우리투자증권은 Mug Smart, Mug Smart Tab이라는 Mobile Trading System(MTS)을 통해 개인 고객들에게 당사의 금융상품 서비스를 제공 중이다.
MTS는 국내 대부분 모바일 운영시스템을 지원하며 PC기반의 HTS(Home Trading System)와 클라우드로 연계된 서비스로 업계 관련 분야에서 다수 수상된 바있다. 이처럼 IT 기술이 가져오게 될 영업환경 및 고객 행동패턴에 보다 빠르고 정확하게 대응하기 위해 우리투자증권은 지난 2012년부터 모바일 환경 구축위원회를 운영하고 있으며, O&T 본부장인 오세임 상무가 위원장을 맡고 있다.
오 상무는 “이 위원회에서는 금융소비자 행동패턴이 모바일을 이용한 금융거래로 움직일 것을 염두해 Out Door Sales와 Paperless를 위한 전략을 수립한 후 관련 인프라와 시스템을 구축하게 된다”고 설명했다. 지난 5월, 우리투자증권은 Mug Smart의 프레임워크를 기반으로 구축된 WMP(Woori Mobile Partner)를 출시해, 고객이 지점창구를 방문해야 가능했던 계좌개설과 금융상품 판매를 고객이 원하는 장소 어디에서나 제공할 수 있도록 서비스 하고 있다.
오 상무는 “다만 관련 법 규정이 허용하는 범위 내에서 영업 및 상품제공이 순차적으로 이뤄질 것이며, 콘텐츠 또한 지속적으로 확장 개선해 변화하는 영업환경을 지원하게 될 것”이라고 말했다.

보안, 기업 자율성 존중해야 발전

오세임 상무는 현재 우리투자증권의 CIO, CISO, CPO역할을 담당하고 있다. 그만큼 IT 업무의 운영 및 개발 뿐만 아니라 보안에 대한 사명감 역시 막중하다.

CPO, CISO 는 겸임해서 보안 측면에서 내부통제 겸하는 것이 시너지가 있어 보이지만

정보의 사용을 주 목적으로 하는 CIO 와 정보의 통제를 주 목적으로 하는 CISO/CPO 겸임은 너무 한쪽으로 치우치는건 아닌지 생각해본다.

우리투자증권의 정보보안팀과 개인정보보호팀은 O&T본부 내 O&T기획관리부 소속이며, 정보보안팀은 기존의 내부전문가와 네트워크, 침입탐지, 보안 아키텍처 등 보안 영역 전문가들을 외부 영입했다.

통상 개인정보는 컴플라이언스팀이 맡고 있다.

사규상 컴플라이언스 팀은 관리적인 측면으로 사규 제정, 정책의 시행 여부 및 관리, 결과의 조치 등에 주안점을 두고 있는데 기술적인 부분은 IT내 보안팀이나 그에 준하는 팀에 맡겨 결과만 받는 경우가 많다.

이럴 경우 Role 의 정리가 쉽지 않고 기술적인 분야를 하는 팀이 관리적인 면도 같이 고려해서 하는 경우가 많아 결국 기술적인 업무를 하는 부서가 본의 아니게 많은 비중의 업무를 하는거 같다. 그래서 관행처럼 컴플라이언스팀이 개인정보를 하기 보다는 개인정보보호팀을 통해 하는 것이 더 시너지를 낼수 있을거 같다.

정보보안팀과 개인정보보호팀도 분리하는 것도 좋은거 같다.

보통 정보라는 큰 틀 안에 개인정보가 포함되어 있다고 생각한다.

하지만 정보보안 이라는 것은 나가지 말아야 할 정보를 막는 것에 주안점을 둔 반면

개인정보는 개인정보의 수집, 동의, 저장, 유통 등 고객, 회사, 관련기관 등 3자 고리가 있어서 정보보안처럼 나가지 말아야 할 정보가 아니라 유통을 하되 관련규정에 어긋남이 없어야 하므로 서로 성격이 다르므로 정보보안팀, 개인정보보호팀으로 나누는 것이 맞다고 본다.

또한 보다 체계적이고 실효성 있는 정보보안을 위해 지난해 전면 컨설팅을 진행했으며 도출 개선결과를 이행하기 위해 ISO27001인증 획득을 위해 준비 중이다.
오 상무는 “문서보안 시스템, 망분리, 내부망 암호화 프로젝트 등이 완료됨과 동시에 내년 통합관제시스템 구축이 이뤄질 예정”이라며 “망분리의 경우, 전사 논리적 방식인 SBC(Server Based Computing)방식으로 가지만, IT 부서는 물리적 방식을 사용하는 하이브리드 체제를 유지하게 된다”고 밝혔다.

보안에 대한 여러 이슈가 발생하며 기업 최고보안책임자가 느끼는 애로사항들은 당연히 있기 마련이다. 오 상무 역시 이에 대해 여러 의견을 피력했다. 그는 “국내보안 규제는 Negative system이 아니라 Positive system이며 행위자뿐만 아니라 관리자와 기업 책임부분이 상당히 강해 보안인식과 수준 증진에 긍정적인 역할을 하기도 하지만, 목표지향점에 도달하는 방법론들이 매우 구체적으로 규정화돼 있어서 과도하거나 실효성이 의심되는 부분에 대해서도 규정준수를 위해 투자를 해야 하는 경우가 간혹 있다”며 안타까워했다.

규정준수를 위한 투자라는 것은 보안 담당자가 업무적으로, 관계적으로 어떤 점이 취약한지 보는 것이 아니라 외부 컨설팅, 매년 정기적인 취약점 점검 등의 형식적인 절차를 통해 도출된 규정 미준수 사항에 대해 체크해서 만족하는 걸로 되기 싶다.

이에 대한 대응 방안으로 보안에 대한 조치는 기업 자율에 맡기고 법은 문제 발생에 대한 책임을 확실히 묻는 체제로 가는 것이 보안업계의 기술수준 향상과 더불어, 기업 역시 규정을 지켰다는 데만 안주하지 않고 실질적으로 보안에 집중하게 될 것이라는 의견을 보였다.
또한 오 상무는 “법률 및 규정의 제·개정에 따라 신규 보안 사업 투자가 필요할 경우, 시행기간이 촉박한 상황이 있으며, 기업이 내부적으로 정책 및 기술요소를 검토하고 안정적인 보안체계를 구축하는 데 쫓기는 경우가 있다”며 “충분한 검토를 거치지 못한 보안 사업 투자는 또 다른 보안 취약점을 발생시킬 수 있고, 향후 재투자로 중복투자의 문제점이 제기될 수 있다”고 꼬집었다.
우리투자증권의 정보보호는 기존 영업 관행과 보안이 충돌할 개연성이 있을 때 현업의 이해를 제고시키고 개인정보보호 관련 절차가 영업행위 내 내재화되도록 적극성을 띌 예정이다. 각종 교육 및 매달 CPO의‘Privacy Letter’등을 통한 전 직원들과의 소통으로 세부절차 수립 및 교육이 충분히 이뤄진 만큼, 이제는 각 사업부 특히 개인영업본부에 대해 보다 면밀하고 적극적으로 관여한다는 입장이다.

오 상무는 “CPO의 역할은 개인정보보호를 잘 수행하면서도 이로 인해 비즈니스가 입을 수 있는 부정적인 영향을 최소화 하도록 내부제도 입안, 물리/관리/윤리적 보안 체계의 구축에 집중하는 것”이라며 “다양한 교육을 통해 영업환경에서 고객정보를 보호하려는 필요성을 임직원 모두가 공유하고 개인정보보호 인식이 조직문화에 스며들도록 더욱 노력 할 것”라고 전했다.

업무개발부, IT와 현업 간 간극 좁혀

IT가 보다 체계적으로 현업을 지원하고 조직 곳곳에 숨어있는 비합리적 요소를 찾기 위한 노력은 공통적이다.
우리투자증권 역시 현업이 요구하는 IT수요와 공급간에 효율적인 접목이 필요하다고 강조한다.
이처럼 수요와 공급의 계량화와 시스템적 개발 프로세스 및 체계적인 IT거버넌스를 위해 우리투자증권은 ITSM(IT Service Management)과CMMI(Capability Maturity Model Integration)프로세스를 도입한 바 있다.
오 상무는 “이뿐 아니라 효과적인 IT투자를 위해 IT정책 실무 협의회, IT투자 심의회, IT 정책위원회 등을 운영해 최고경영진이 기업 IT 투자 및 비용에 대한 이해를 높이고 투자비용 지출의 필요성을 인지하도록 하고 있다”고 말했다. 우리투자증권은 또 보다 효과적인 IT 업무개발을 위해 현업 요구사항을 분석하고 이를 IT적인 관점으로 해석하고 조율하는 업무개발부를 둬 현업과 IT 간극을 좁히는 체제를 유지하고 있다.
차지백(charge back) 제도 또한 시행 중이다. 개발 이후 현업과 한 달에 한 차례씩 미팅을 갖고 그들이 기대했던 요구사항과 O&T본부의 자료를 비교해 서로 간 의견을 조율해 비용을 차지(Charge)하고 있으며, 올 하반기에는 좀 더 깊이 있는 업그레이드를 계획 중이다.
오 상무는 “차지를 한 사람과 받은 사람이 서로 그 상황을 컨트롤 할 수 있는지 가능성을 체크하고 그에 대한 결과를 반영하는 방안이 추가돼 원활한 제도가 되도록 할 계획”이라고 전했다.
이외에도 우리투자증권은 자본통합법 개정으로 가능해진 투자은행 활성화 부분과 관련된 프로젝트들을 진행 및 계획하고 있다. 대체거래시스템(Alternative Trading System), CCP(Central Counterparty), KONEX(Korea New Exchange), 전담중개업무시스템(Prime Brokerage System) 등이 그것이다. 또한 장애인차별금지법에 대응하기 위한 시스템, 거래소 포스트차세대시스템 도입에 대한 대응 및 해외사업 중 특히 홍콩에 있는 글로벌 트레이딩 센터 내 시스템구축, 채권운영시스템 등이 진행된다.

기업 IT본부=축구 미드필더

오 상무는 우리투자증권의 IT 인재가 보다 ‘통섭적인 인재’가 되어야 한다고 강조한다. 이를 위해 우리투자증권 내에서는 업무관련 내용을 학습하는 IT 교육을 장려하고, 다양한 교육 기회를 부여하는 것은 물론, 독서토론회 및 스터티 활동 등이 활발히 이뤄지고 있다.
오 상무는 “우리투자증권 IT 조직은 인 하우스 개발조직으로 보다 체계적인 개발절차를 위해 CMMI Level3 인증을 획득한 바 있으며, 최근에는 Agile 방법론과 일하는 방식을 개선하기 위한 노력을 기울이고 있다”고 밝혔다. 이는 금융 산업이 IT 장치산업이라 해도 무방할 정도로 IT와 금융업이 서로 심혈관계에 있다는 데에 착안한다. 따라서 IT 인재들이 업무 중요성을 인식하고 창조적인 아이디어를 내는 것이 IT가 기업의 비즈니스 파트너로서, 더 나아가 아시아에서 독보적인 기업이 되는 것을 가능케 한다.
그는 또 O&T본부의 포지션을 축구 미드필더에 자주 비유하곤 한다. 강인한 체력, 팀에 대한 헌신, 넓은 시야, 공격과 수비에 적극적인 참여, 창조적 플랜, 동료와의 유기적인 협조 등으로 승리를 안겨주는 핵심적인 역할을 담당하는 것과 같은 맥락에서다.
오 상무는 “안주하지 않고 항상 깨어있는 조직, 회사의 다양한 문제들이 모두 우리의 일이라는 주인의식을 통해 O&T본부가 핵심본부로 인정받을 수 있도록 끊임없이 노력해 갈 것”이라고 강조했다.

<오세임 우리투자증권Operation&Technology본부 상무>

학력
서울대학교 세계경제최고 전략과정 (2010수료)
서강대학교 경영대학원(1992 졸업)
연세대학교 수학과(1984 졸업)
덕성여자 고등학교(1980 졸업)

주요경력
우리투자증권 Operation&Technology본부 상무(2009년 7월-현재)
증권거래소 청산결제위원회 위원
금융발전심의회 위원(2010년 4월-2011년 3월)
골드만삭스 은행, 업무총괄 상무(2006년 5월-2009년1월)
한국씨티은행, 프라이빗뱅크 사업부문 경영관리부장(2002년 8월-2006년 4월)
바클레이즈 은행 파이낸스부 상무(2002년 4월-2002년 8월)
드레스드너 클라인워트 와셔스틴 증권, 업무총괄 이사(1996년 12월-2002년 3월)
씨티증권, 업무 및 재무 담당 지배인(1992년 4월-1996년 12월)
씨티은행, 기획부 부장(1984년 8월-1992년 3월)
동양나이론(주), 컴퓨터신사업본부 사원(1983년 12월-1984년 8월)

< 저작권자 © CIOCISO 무단전재 및 재배포금지 > 

출처 : 네트워크 타임즈 6월호

클라이언트 가상화

- 물리적 데스크톱 PC 에서 가상머신(VM)을 구동하는 것

- PC 안에 또 하나의 PC를 만드는 기술

- 맥 OS 와 윈도우 OS 를 함께 사용해 이종 OS 의 혜택을 누리기 위한 용도로도 쓰임

- 솔루션 예 : 패러럴즈 데스크톱, VM웨어 워크스테이션

VDI

- 서버 시스템에 사용자를 위한 가상의 데스크톱 PC 환경을 구현

- 개인에게 물리적 PC를 지급하는 대신 중앙 서버에 가상의 PC를 구축하고, 이에 접속해 사용자가 활용

   하는 인프라

- 중앙의 서버, 스토리지 시스템에서 모든 애플리케이션이 구동되며, 사용자단의 클라이언트 기기는 단지

   디스플레이이와 입력만을 위해 이용

서버기반컴퓨터(SBC)

- VDI 를 포괄하는 광의의 개념

- 사용자 개개인에게 고유의 가상 머신을 부여하지 않고, 많은 리소스가 필요한 특정 애플리케이션 구동

   만을 서버에서 구동해 전송하는 애플리케이션 가상화.

- 서버에서 작업을 수행해 사용자에게 전달하는 컴퓨팅 방식

- SBC 가운데 사용자 개개인의 고유한 가상 머신을 부여하고, 마치 물리적 PC를 활용하는 것처럼 사용하는

   방식을 VDI 라고 함.

출처 : 네트워크 타임즈 2013.05, 이진욱 미라지웍스 과장

1. 망분리시 네트워크 환경 변화의 고려할 점

- 대부분의 관리자와 보안 담당자들은 망분리 솔루션 도입만을 고민하고, 자신의 업무 과제에 대해서는

   생각하지 않는다.

망분리라 해서 실제 수행하는 부서와 업체가 따로 있어 업무 관점, 전체 보안 프레임워크 관점, 

위험 관리 관점에서 바라보지는 못했던거 같다.

2. 망분리시 기존 네트워크망 관계

- 망분리를 위해서는 기존 네트워크망이 변경돼야 한다.

- 기존 망을 유지하려 하지 말 것을 당부한 것은 망분리 대상 네트워크를 별도로 두고 처음부터 정책을

   수립해야 한다는 것

3. 망분리시 기존 네트워크망 변경 안한다면

- 망분리는 네트워크를 바꾸는 작업이기 때문에 기존 환경을 고집한 채 솔루션만 도입하면 성공적으로

   망분리를 할 수 없다.

- 기존 망에 지나치게 얽매이면 망분리 네트워크 정책의 복잡성이 증가

4. 망분리를 위한 기본 정보 확인 단계

- 망분리를 할 때에는 최종적으로 변경 가능한 부분을 찾아 네트워크 통신 경로를 변경하는 방법을 찾아야

   한다.

- 업무에 사용되는 것은 최대한 내부망에서 구성

- 업무를 하면서 외부 인터넷을 사용할 수 밖에 없는 것을 정리해야 한다.

5. 망분리시 고려해야 할 네트워크 항목

- 필요한 경우 업무환경에서 인터넷 네트워크를 안전하게 사용 가능해야 한다

- 가상 네트워크를 만들어주는 장비의 유연한 구성이 가능해야 한다

- 클라이언트 설치 후 실제 네트워크 구성과 상관없이 네트워크 제어 가능해야 한다

6. 망분리 구성 방법

7. 논리적 망분리 방법

1) 종류

- 서버 가상화 : 데스크톱 가상화(VDI : Virtual Desktop Interface)

- 클라이언트 가상화

2) 데스크톱 가상화(VDI)

- 서버 가상화와 같은 환경 제공

- 장/단점

3) 클라이언트 기반 논리적 망분리

- 장/단점

- 개요도

8. 망분리시 기존 네트워크를 미고려해야 하는 이유

- 모든 인터넷 트래픽이 논리적 망분리 네트워크 장비를 통과해 나가므로

- 인터넷 트래픽 때문에 생기는 병목현상을 찾는 것이 중요

- 인터넷을 나가는 트래픽에 대해서 어떤 흐름으로 가고 있는지 정확하게 확인할 필요

9. 망분리 환경의 네트워크 개념도

ac.zip

HashTab_v4.0.0_Setup.exe

파일 다운로드 기능이 있는 프로그램을 사용할 때는 상위기관 가이드에 따라 다운로드 파일의 해시 처리를 해서

악의적인 파일 위변조로부터 회사의 프로그램을 보호해야 한다.

테스트할 때 관련 프로그램 등을 쉽게 못 찾아 여기에 남긴다.

1. 다운로드 파일의 관련 근거 규정

- 금융감독원 HTS 안정성 제고방안(2010.05)

리버싱 공격 등으로부터 HTS프로그램이 보호될 수 있도록 프로그램 개발시 분석이 어렵도록 프로그램을 개선하거나, 접속시마다 프로그램 변조여부를 자동 점검하도록 하는 등의 보안대책을 강구

2. 해시 테스트 

1) 소스 파일 선택

2) 소스 파일과 동일한 타겟 파일 생성

- cmd 창에서

- fsutil file createnew "target_file_name" "파일_사이즈(byte)"

3) 타겟 파일의 날짜 속성 변경을 위한 프로그램 설치

- 첨부 파일의 ac.zip 을 풀고 설치

- 마우스 오른쪽 버튼 누르면 메뉴 생성

4) 타겟 파일 날짜 속성 변경

- 타켓 파일에서 마우스 오른쪽 버튼 눌러 "Change Attributes" 메뉴 실행

- 파일 다운로드 기능이 있는 프로그램에서 파일의 다운로드 결정은 통상 "파일 사이즈", 

   "파일 생성/수정 날짜" 체크 방식을 많이 이용

5) 소스 파일과 타겟 파일의 해시값 비교

- 소스 파일

- 타겟 파일

6) 타겟 파일을 다운로드 되는 폴더에 복사해놓고 접속. 타겟 파일이 소스 파일로 다시 다운로드

    되는지 확인. 해시 비교를 하면 된다.

출처 : 네트워크 타임즈 2013.05, 황준철 대표이사

1. 정보보안에서 '분석' 개념 필요 배경

- 현재까지 보안 시스템은 어떤 특정한 보안 정책을 수행해 행위를 차단하는 방어적 개념의 구동 시스템

   으로, 특정 패턴을 찾고 이에 대응하는 방식으로 이뤄져왔다.

- 최근의 3.20 사이버 테러는 새로운 패러다임에 기초한 정보보안 요구

2. 분석과 개념의 정의

1) 검색

- 어떤 특정한 조건의 결과 값을 찾는 것

- 방화벽의 80 포트 사용 로그 중에 특정 DB 서버로 접근을 시도한 IP를 SQL 쿼리문으로 작성해 찾는

   것

- 검색 결과 도출된 리스트가 보안적 측면에서 얼마나 가치가 있을까는 의문

2) 분석

- 특정한 행위 로그에 대해 분석을 수행하고, 그 결과를 통해 위협을 인지하는 것

- 행위 기반의 분석 알고리즘이 적용

- 분석 결과는 위협 단계별로 분리

3. 보안의 새로운 패러다임 방향

- 보안 사고가 발생하기 전 반드시 징후가 포착돼야 사전에 방어할 수 있다

- 지능화된 정교한 사이버 위협은 모든 IT 로그 통합적, 체계적 분석을 요구

- 정보 보안을 위해 진정한 '분석' 개념 도입이 절실

- IT부서의 관리자는 동일한 시스템을 통한 전문 분석을 수행함으로써 향후 발생하는 보안 사고에 적극 대응

   할 수 있어야 한다.

출처 : 시큐리티 월드 2013.05, 김경환 법률사무소 민후 대표 변호사

1. 개인주택 내부에 CCTV를 설치할 때도 법령상의 의무를 준수해야 하나요?

- 개인주택 내부는 공개된 장소가 아니므로 CCTV에 관한 법령상의 의무 규정이 적용되지 않는다.

- CCTV 각도가 개인주택 외부로 되어있어 외부 통행자의 영상을 수집하는 경우에는 그 범위에서 CCTV

  에 관한 법령상의 의무 규정이 적용된다.

- 택시가 아닌 개인자가용 차량 내부의 CCTV도 공개되지 않은 폐쇄된 장소에 설치된 CCTV 이기 때문에

  개인주택 내부의 CCTV와 마찬가지로 법령상의 의무가 적용되지 않는다.

2. 회사 내부의 근로자 모니터링을 위해 CCTV를 설치할 수 있나요?

- 사업장 내 근로자 감시 설비의 설치에 대해 노사협의회에서 협의할 수 있다고 돼 있기 때문에 위법은 

   아니다 

- CCTV가 설치된 회사 내부가 일반인에게 공개된 장소가 아니라면 개인주택의 경우처럼, CCTV에 관한

   법령상의 의무규정이 적용되지 않는다.

3. CCTV로 녹음도 가능한가요?

- CCTV는 어떠한 경우에도 녹음을 해서는 안된다.

- 택시 등의 내부에 꼭 녹음을 하고 싶다면, CCTV 영상장치와는 별도의 녹음기 등의 장치를 설치/이용

   해야 한다.

4. 범죄현장이 찍힌 아파트 CCTV 영상자료를 피해주민 또는 수사기관에게 제공해도 되나요?

- CCTV 영상자료에 찍힌 정보주체의 동의가 있는 경우에는 가능하다.

- 정보주체나 제3자의 급박한 생명, 신체, 재산상 이익을 위해 필요한 경우에는 영장이 없이 제공할 수

   있다.

- 범죄현장에 관한 것이라면 형사소송법 또는 경찰관직무집행법상 수사기관의 협조요청만으로도 정보주체

   의 동의없이 CCTV 영상자료를 제공할 수 있다.

5. 버스 안의 지갑 소매치기를 잡기 위해 피해자에게 CCTV 영상자료의 열람을 허락해도 되나요?

- 정보주체가 의사표시를 할 수 없는 상태이거나 주소불명 등으로 사전 동의를 밥을 수 없고, 나아가

   급박한 재산의 이익을 위해 필요한 경우이므로 정보주체의 동의없이도 피해자에게 CCTV 영상자료의

   열람을 허락해도 된다.

6. CCTV 영상자료는 며칠이나 보유하고 있어야 하나요?

- CCTV를 통해 얻은 개인영상정보는 수집 이후 30일 이내에 파기하거나 삭제해야 한다.

출처 : 네트워크 타임즈 2013.04

1. DB 암호화 프로젝트 추진 시 유의할 점

1) 키 관리

- 암호화의 기본은 키가 데이터와 같이 있으면 안 된다는 것

- 암호화 키나 인증서를 철저하게 관리한다고 하면서 HSM(Hardware Security Module)과 같은 전용

   장비가 아닌 전산실 내에 있는 서버에 보관

- 각기 다른 키가 서로 다른 관리자에 의해 관리되고 있는 상황에서는 전사적인 키관리를 통합할 필요

- 주기적인 키의 변동 등의 관리가 행해져야 한다

2) 플러그인 형태로 획일적인 암호화 방법에 의존

- 애플리케이션을 일일히 수정하자니 협업 사용자, 애플리케이션 담당자, DB 관리자 등과 협의해야

   하는 일들이 너무 많아 DB 에만 손을 대는 것

- 가장 손쉽고 현실적인 방법으로 꼽히는 플러그인 방식 DB 암호화는 당장의 규제 대응에 효과적

2. 데이터 관련 규제 대응 방법

1) 개인정보 수집 범위 선정이 우선

- 기업이 반드시 인식해야 하는 사실은, 정보를 암호화하는 것보다 개인정보 수집 범위를 어디까지

   정하고, 보관해야 하는지 기준을 세우는 것

- 업무를 하나하나 살피면서 과연 수집해온 개인정보가 꼭 필요한가 

- 어느 선까지 있어야 하는지 점검하는 것이 첫 출발점

2) 개인정보 암호화의 다양한 방식을 수용

- 개인정보 보호도 다른 분야와 마찬가지로 단일 솔루션으로 해결할 수 없다.

- 개인정보의 유형과 이 정보를 이용하고 보관하는 서비스, 애플리케이션, 기기 등을 총체적으로

   고려해 최선의 방법을 선택해야.

업무용 백 오피스 시스템에서 관리자 권한으로 다른 지점의 고객, 지점내 모든 고객의 개인정보 조회후에 엑셀로 다운로드 받는 것은 개인정보 암호화 솔루션으로는 통제할 수가 없다.

엑셀 다운로드 시점에 해당 화면, 목적, 파기예정날짜 등을 기재토록 팝업을 띄우고 해당 정보는 DB 에 보관해 컴플라이언스 팀에서 "일일 컴플 점검" 형태로 진행해야 한다.

개인정보를 암호화해도 외부에 보여질 때는 주민번호 뒷자리 등은 마스킹을 해서 보이게 한다.

개인정보 검색 솔루션을 통해서 폐기되지 않고 개인적으로 보관하고 있는 개인정보파일을 검출하고 통제해야.

DRM 등도 부가적인 솔루션이라 할 수 있고 모바일, 태블릿에도 적용 필요

3) 개발 단계부터 암호화를 반영

3. DB 암호화 고려사항

장소 : 금융결제원 대회의실(역삼동)

주제 : 금융 앱 스토어 설명회(대상 : 증권사, 카드사, 보험사)

1. 도입배경

1) 보안 취약성

- 구글 플레이를 통한 앱 다운로드 시 악성코드 감염 피해가 증가하는 추세

- 금융기관이 아닌 제3자가 제공한 위, 변조 앱 출현 및 다운로드 우려

2) 앱 스토어 운영주체의 자의적인 운영정책

- 스토어 별 검수절차 상이, 검수기간 등이 일관되지 않음

- 자의적인 검수 반려사유

- 판매주인 앱이 검색되지 않는 등 앱 스토어의 불안정성 증가

이 부분은 다소 궁색한 변명으로 느껴지지만 구글에 끌려갈 수 밖에 없는 점은 공감이 된다

3) 참가기관의 애플리케이션 사후관리 어려움

- 동일 애플리케이션에 대해 앱 스토어 별로 개별 관리해야 하는 부담 생존

- 고객에 대하 앱 스토어별 적기 민원응대 어려움

- 신규 단말, 신규 OS 버전에 관한 일괄 검수 등 적기 대응 어려움

- 앱 스토어에 따라 앱 판매시점 및 업데이트 시점이 상이하여 고객의 혼동을 유발

4) 금융기관 공동의 금융 앱 스토어 구축

가. 금융기관 중심의 생태계 구축

- 금융앱에 적합하 최적의 검수절차 구현

- 금융앱 유통창구 역할

- 신규단말 및 OS 출시 시 앱 구동 일괄검증

다른 이유는 그다지 마음에 와 닿지 않지만 신규 단말 및 OS 출시에 따라 금융결제원이 주요 화면, 주요 앱에 대해서 자체 검증을 한다고 하니 금융회사의 일손이 덜어질거 같다.

나. 신뢰성 높은 금융서비스 환경제공

- 앱 취약점 분석평가

- 실시간 보안 모니터링

- 분실폰의 인증서 원격삭제 기능

취약점 분석은 현재 금융기관에서 한 뒤 앱 등록이지만 향후 금융결제원 인력/비용을 확대하면 가능하다고...

실시간 보안 모니터링은 구굴 마켓, 티 스토어 등에서 금융기관 앱이 올라와 있는지 검사하는 것. 즉 그 전제는 모든 금융기관 앱이 금융 앱 스토어에 있다는 것.

이것이 안정화되고 인식이 확산되면 구글마켓, 티 스토어 등에 올라와 있는 금융 앱은 피싱이다 또는 인증받지 않은 앱이다 라고 인정되는 셈. 향후 기대효과는 있을 듯 하다

인증서의 원격삭제 기능도 좋은 점은 있다.

최근 분실폰에 있는 인증서 정보로 악의적으로 사용하는 사례가 있다. 

단지, 금융 앱 스토어 사이트에 개인의 단말기를 등록할 때 악의적인 사람이 등록할 때 체크 수단이 궁금하다.

다. 참가기관 및 고객 편의성 제고

- 금융기관 앱 관리 효율성 제고

- 고객의 금융앱 일괄검색 가능

- 금융앱의 신뢰성 제고로 이용불만 해소

2. 금융 앱 스토어 소개

1) 서비스 흐름도

가. 금융기관이 금융 앱 스토어에 앱 등록/검수신청

나. 금융결제원 검수진행

다. 금융결제원 검수완료

라. 검수완료내용 금융회사 전달

마. 금융기관은 금융 앱 스토어에 등록해서 대고객 유통

바. 고객은 금융 앱 스토어에서 앱 검색

사. 고객은 금융 앱 스토어에서 다운로드

2) 대상 OS 및 이용채널

가. 대상 OS : 안드로이드, 블랙베리, 윈도우즈 모바일

나. 고객 이용 채널 : 스마트폰(앱), PC(웹사이트)

3) 제공 서비스

가. 고객용

- 금융앱 일괄검색 및 다운로드

- 나의 앱현황 관리서비스

   (다운로드 이력보기, 업데이트 알림)

- 공인인증서 원격삭제 서비스

나. 참가기관용

- 금융앱 검수 및 판매개시

- 보안 모니터링

- 신규 출시 폰/OS 검증

- 각종 통계자료 제공 등

4) 보안모니터링

- 피싱앱 출현에 대비한 모니터링 강화

가. 구글 플레이 등 기존 마켓 대상

- 구글 플레이 등 기존 마켓에 금융기관 금융앱 대상의 피싱앱 출현 여부 24시간 상시감시

- 피싱앱 출현시 대응 프로세스

금융결제원 금융ISAC실 -> KISA -> 마켓 운영자(피싱앱 유통차단 요청)

- 통보 프로세스

금융결제원 금융ISAC실 -> 금융 앱 스토어 담당자 -> 금융기관 담당자

이 부분은 금융기관에게 좋은 점이 될 수 있다고 생각한다.

실제로 하나의 금융기관에도 여러 앱들이 있는데 마켓에서 일일히 피싱 앱을 찾기는 쉽지는 않고 그런 조직도 없을 것이다.

나. 금융 앱 스토어 대상

- 금융 앱 스토어에 등록된 앱의 무결성 및 악성코드 감염여부 상시 감시

- 금융 앱의 무결성/악서코드 감염 여부 점검 프로세스

a. 무결성 여부 : 앱 등록시 고유값(해쉬값) 추출 후, 동 고유값 상태 수시 체크

b. 악성코드 감염 여부 : 앱 등록 시 악성코드 감염 상태 확인

5) 신규 출시 폰/OS 검증

- 신규 출시 폰/OS에 대하여 서비스 중인 금융기관의 금융 앱이 정상적으로 구동하는지 검증한 후 

   금융기관 앞 통지

- 효율적인 업무 수행을 위하여 전담 수행인력 운영

- 검증 항목

. 앱이 정상적으로 다운로드 및 설치되는가

. 설치 후 구동에 문제가 없는가

. 해상도에 맞는 화면이 출력되는가

. 백신 등 보안모듈이 정상적으로 설치되는가

. 보안키보드가 정상작동 하는가 등

- 삼성은 향후 새로운 폰이 나올경우 시장 출시 전 금융결제원에 폰 제공키로 합의 함.

새로운 운영체제나 폰이 나오면 해상도 등이 가장 큰 문제가 있다.

그리고 이러한 것을 금융회사가 아닌 금융결제원에서 주요 앱, 주요 화면에 대해서 해준다고 하니 좋지 않을까?

3. 향후 계획

1) 프리로딩 추진

- 스마트폰 출시시 스마트폰에 금융 앱 스토어 앱을 임베디드(프리로딩) 추진

- 관계부처(방통위, 금융위 등) 및 제조사, 이통사 등과 협력하여 조기 추진할 계획

프리로딩이 되면 현재 이슈화되고 있는 "출처가 알수 없는 앱" 체크에서 좀 더 자유로울 수 있겠다.

그런데 제조사들이 마케팅에 악용의 우려가 있다. 저 외국사는 프리로딩 하지 않는다. 등등.

그런데 그 외국 제조사는 폐쇄적인 환경이라 이번 대상에서 제외이고 실제 사고도 많지 않다.

4. 서비스 대상기관 확대

1) 금융기관 참여시 비용

- 참가금(최초) 및 회비분담금(년)으로 구성

- 금융결제원은 은행 출자 사단법인이므로 사원은행 총회에서 결정

- 현재 금결원 의도는 참가금은 무상, 약 80개 금융기관이 참여시 연간 300만원 분담금 발생 예상하고 

   있음. 이 금액은 인건비, 유지보수비 등에 쓰임

- 참가금은 각 금융회사가 보유한 고객수 기준

- 분담금은 각 금융회사의 전분기/전년도 앱의 다운로드 횟수 등 실적으로 산정 

2) 향후 추진일정

- 금융 앱 스토어 서비스 특별 참가 기본계획 수립(2013.5)

- 관련 규약 및 시행세칙, 회비분담기준 개정 등(2013.6)

- 서비스 참가(2013.7 이후)

5. Q & A

1) 금융 앱 스토어 사용이 법적 의무인가?

- 금융위는 권고로 할거 같다.

- 금융위 권고는 금융회사에서는 의무이지 않겠냐?

- 이거 안해서 사고가 나면 지적/징계 있지 않겠냐?

- 금융위가 하라는대로 해서 손해는 없지 않겠냐?

2) 홍보를 금결원이 해주나?

- 금결원이 관리하는 사이트가 있지만 금융회사가 더 많은 채널을 갖고 있지 않느냐

- 금결원은 각 마켓에 경품 등으로 홍보 예정

3) 보안사고 나면 금결원이 책임지느냐?

- 앱에 취약점 존재해서 생긴 사고 -> 금융회사가 책임

- 금융 앱 스토어가 장애/해킹 당해 생긴 사고 -> 금융결제원 책임 -> 세칙으로 넣을 것임

4) 금융결제원이 개런티 못해주면 앱 스토어 취지가 퇴색하는거 아니냐?

- 금결원이 취약점 점검을 다 하면 책임이 가능하다

- 하지만 현재는 비용/인력 문제로 취약점 점검을 할 수 없다. 앱 등록할 때 금융기관이 금보원, 코스콤 

   등에 취약점 점검 받은 걸 등록해야 한다.

5) 고객불편, 보안사고 등 금융회사가 care 가능하면 금융 앱 스토어 안 써도 되냐?

- 된다.

6) 구글, 티 스토어 등 빌드 방식이 다양한데 앱 스토어는?

- 지금처럼 동일하게 앱 등록하면 된다. (안드로이드와 같다)

- 향후 임베디드되면 인증 방식 달라질것임

7) 앱 스토어 올릴 때 금융거래 등 특정 컨텐츠만 등록해야 하나?

- 뱅킹, 가계부 등 금융기관 앱 모두 가능. 컨텐츠 구분 없다

- 단, 무료이면서 취약점 점검 끝난만 가능하다.

8) 고객들은 기존 안드로이드 앱에 대해 자동 업데이트를 해놓고 있는데 금융 앱 스토어도 자동 업데이트 

    되나?

- 안 된다.

9) 긴급 반영 시 24시간 아무때나 반영 가능한가?

- 기존 은행 업무 지향적인 것이여서 현재는 안된다.

- 증권은 야간 거래도 있어서 필요하다.

- 향후 증권, 카드 업무 형태에 맞게끔 구축 예정

당분간은 기존 마켓과 금융 앱 스토어에 모두 올려 긴급 장애나 반영 시 기존 마켓을 이용해야 할듯

10) 금융 앱 스토어에 금융 회사 앱을 다이렉트로 접근할 수 있는 주소가 있는가?

- 있다

11) 앱의 업데이트는 금융 앱 스토어의 업데이트 페이지에서 고객이 수동으로 해야 하다.

12) 금융결제원은 지금 은행 지급 결제망을 관리하고 있어 트래픽 관리 경험이 많다. 향후 모든 금융기관의

     앱이 등록되어도 트래픽 문제는 없고 있다면 시스템 증설을 즉각 할 것이다.

13) 증권회사는 서티파티 제휴 앱이 있는데 이것도 등록해야 하나?

- 향후 업계 현황 파악 후 기준 만들 계획

14) 구글 푸시 서비스를 무상으로 쓰고 있는데 금융 앱 스토어를 쓰면 상용 푸시 서비스를 써야 하나?

- 금융 앱 스토어도 구글 무상 푸시를 이용중이다. 

15) 개발자 등록할 때 인증서 사용하는데 휴가 등 부재 시 등록 못하면 어떻게 하나?

- 복수명 등록하게끔 되어 있다. 하지만 20명, 30명 이렇게 할 수는 없다.

개발자가 퇴사 시 이러한 것에 대해서 관리가 필요할 듯

그런데 금융회사가 통보하지 않으면 퇴사자가 계속 이용할 수 있고 설령 통보해도 즉각 조치가 되지 않으면 얼마 시간동안은 보안 홀이 생긱지 않을까 한다

금융회사 HR 과 연동을 해야 하나?

16) "출처를 알 수 없는 앱" 체크에 대해서

- 이것을 해결하기 위해서는 구글에서 금융결제원의 금융 앱 스토어를 인정해줘야 하는데 그렇게

   안해준다.

- 금융회사는 금융 앱을 등록하고 고객에게 배포해야 한다.

- 그런데 피생 앱은 계속 등록되고 고객 피해는 생긴다. 구글 마켓은 믿을 수가 없다.

- 결국 할 수 있는 "출처를 알 수 없는 앱" 설치 체크를 해서라도 해야 한다.

- 실제 KB 은행 앱은 전용 스토어가 있다.

여기서 금융결제원의 고충이 느껴졌다.

그리고 나도 처음에 그랬지만 언론, 학계에서 대안은 나오지 않은 상태이다.

그런데 향후 개정 될 "전자금융 감독규정" 은 해킹/피싱에 대한 피해를 모두 금융회사가 배상해야 한다.

결국 금융회사도 책임 경감을 위해서도, 당국도 손 놓고 볼 수 없는 입장이라 이런 방법을 택한거 같다.

17) 금융 앱 스토어에 통계, 별 점수, 댓글 기능 있나?

- 통계는 가능

- 댓글도 가능

- 별 점수는 안 된다.

18) 신규 폰의 경우 해상도 문제가 가장 큼

     따라서 각 금융기관들이 우선 순위 앱과 주요 기능 화면 리스트를 주면 신규 폰, OS 업그레이드 시

     우선순위 앱과 그 앱의 주요기능(뱅킹, 주문, 청약 등) 기능을 검수 대행한다.

이건 참 좋다...

출처 : 시큐리티 월드 2013.04 호

출처 : 전자신문

1. 보안영역의 유형

1) 물리보안

- 물리적 방법이나 수단을 활용한 보안형태

- 물리적 보안 영역 : 자원이나 정보를 물리적으로 대응할 수 있는 기술적, 환경적 통제의 범위

- 물리적 보안 위협 : 지진, 화산, 태풍, 홍수, 폭설 등과 같은 자연재해와 외부로부터 물리적 보안영역

   안을 침입하거나, 내부에서 물리적 보안영역 밖으로 자원과 정보의 유출

2) 정보보안

- 모든 정보자산(데이터를 처리하여 가공한 결과)에 대하여 허가되지 않은 접근으로 위조, 변조, 유출,

   훼손 등과 같은 정보보안 사고로부터 정보의 무결성, 기밀성, 가용성을 제공하는 것

3) 관리, 인적보안

- 관리, 운영 주체는 사람이고 보안을 위한 가장 중요한 관리 요소인 인력에 대한 관리

2. 보안위협

1) 내부 -> 외부

가. 직접유출

- 내부 임직원이 중요한 자료를 노트북, HDD, USB 등의 저장장치와 프린터 등을 이용하여

   복사한 후 물리적 보안검색을 피하여 외부로 정보를 유출

나. 사내, 공공망 유출

- 사내 인트라넷이나 인터넷을 이용하여 e-mail 등을 통해 전송하 다음 이를 다운받는 형태

2) 외부 침입

가. 간접유출

- 외부인은 내부 임직원과 공조하여 이들로 하여금 중요 정보를 직접 유출

나. 사내, 공공망 유출

- 외부인이 해킹을 통해 기업의 서버에 접근, 정보를 유츌시키는 방법

- 내부의 임직워이 동조하여 ID, 패스워드 정보를 제공하는 방식

- 악성코드를 이용하여 접근하는 방식

3. 보안위협 대응방안

1) 관리적 측면

가. 내부자의 부정한 행위에 대한 대응

- 중요한 정보를 쉽게 변경하거나, 외부로 유출할 수 있는 대상인 내부자에 대한 대비책 준비와

   위협요인을 파악해야 함

- 기업은 모든 잠재 위협을 목록으로 정리하여 그 위협에 대한 시뮬레이션을 실시하여 현실화

   될지를 분석

- 현실화된 위험의 피해정도를 계량화하여 기술적 조치를 취해야 함

나. 직원 신상파악

- 보안부서 등 비밀 업무를 취급하는 부서에 근무하게 될 사람은 채용 전에 신원 배경을 확인

다. 보안교육 실시

- 회사의 보안규정 숙지

- 보안에 대한 자신의 역할

- 비밀 자료를 보호할 책임이 있다는 점을 이해

- 보안에 대한 인식을 전환하는 노력 필요

라. 등급별 자료 분류 필요

- 중요 정보 자료에 대한 비밀 분류 시스템 갖춰야 함

- 각 단계마다 허용되는 접근 통제 등급과 통제수준 설정

마. CPTED(Crime Prevention Through Environment Design)를 활용한 외부 보안 관리

- 관리하고 있고 소유하고 있는 영역에 대하여 내, 외부인이 쉽게 접근하지 못하게 하여 정보유출 

   예방

- 보호대상의 우선순위를 결정하고 출입카드나 바이오인식 장치를 이용한 접근통제를 통해 정보

   유출 예방

- 공간에 대한 시야확보를 통한 범죄예방

- 1층 전체 출입구를 유리로 만들어 오고 가는 사람, 오랫동안 서서이는 사람들의 확인

- 엘리베이터 공간도 외부에서 볼 수 있도록 투명한 재질로 하여 정보 유출을 시도하는 사람들

   의 불안한 심리상태 유도

- CCTV 를 활용하여 고립지역 개선

2) IT측면

가. 정보 통신망 접근통제

- 정보처리 시스템에 대한 접근 권한을 IP 주소 등으로 제한

- 정보처리 시스템에 접속한 IP 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지

- 전보 또는 퇴직 등 인사이동이 발생해 개인정보취급자가 변경되었을 경우 자체없이 정보처리 

   시스템의 접근권한 변경 또는 말소

나. 가설사설망 보호대책

- 가상 사설망(VPN) 서비스의 이용으로 인터넷 공공망의 불안전한 요소를 완벽한 보안환경으로 

   구축

다. 암호화

- 관리하고 있는 정보를 식별 가능성, 노출 민감도 등에 따라 분류

- 중요도가 높은 정보를 선별적으로 암호화하여 관리

3) 제도적 측면

가. 관리기능의 일원화

- 국가정보원, 행정안전부 등 정보보호를 담당하고 있는 기관이 사실상 분리되어 운영

- 사전적 예방측면의 정책과 사후 대응측면의 관리부처 일원화

- 정책 간의 연결성과 일관성 있는 대응체계 이뤄야 함

나. 제도적, 정책적인 지원

- 기업이 정보보호 관련 자격증 소지자 및 전문 학위 소지자에 대해서 채용 시 인센티브 부여

- 업무의 지속성과 연속성을 위해 정규직 정보보호 인력 확보가 필요

4. 융합보안의 대두

- 위의 보안위협에 대응하기 위해 융합보안이 대두된 것

- 융합보안은 물리보안과 정보보안이 합친 개념

- 융합보안은 정보보안 또는 물리보안이 비 IT기술 또는, 다른 산업과 융합, 창출되는 것

5. 융합보안의 발전방향

1) 물리보안업계와 정보보안업계의 적절한 대응이 필요

- 물리보안 업계는 기존의 보안영역만을 고수할 것이 아니라 IT기술을 접목한 기기 및 제품을 개발하고

   정보보안 영역으로의 개방이 필요

- 정보보안 업계는 기초적 보안영역인 물리적 보안영역과 정보보안 영역간의 수평적 관계가 이루어

   지도록 노력

2) 법 및 제도적 대응 필요

- 물리보안과 관련하여 경비업법을 중심으로 보안활동이 이루어짐

- 정보보안과 관련하여 개인정보보호법과 부정경쟁방지 및 영업비밀보호에 관하 법률, 산업기밀

   유출방지 및 보호에 관한 법률 등으로 보안활동이 이루어짐

- 다원적 법 체제에 대한 기본법을 제정하여 효과적인 보안활동이 이루어져야 할 것임

출처 : 네트워크 타임즈 2013.04 호

- 3.20 방송사/금융사 전산망 마비 사고는 악성코드를 이용한 지능형 지속 위협(APT) 으르 분석

- 한가지 종류의 악성 코드로 국내 대표적인 방송사 3곳, 대표적인 은행 2곳의 전산망이 동시에 마비되고, 

   3만 2000대의 서버와 PC가 파괴되는 피해를 입었다.

1. 공격방식이 일정하지 않은 APT

- APT 의 대표적인 공격은 2011년 세계적인 보안 인증 솔루션 EMC RSA 시큐어ID가 해킹을 당해 OTP

   기밀정보가 유출된 사건

- 이 사건은 이메일을 이용한 스피어 피싱을 통해 당한 것

- 아트 코비엘로 RSA 회장이 사건의 내용을 발표하면서 'APT' 용어를 처음 사용

- 우리나라에서의 APT 공격 사례

- 2011년 SK커뮤니케이션즈의 고객정보 유출사고는 직원이 공개용 알집을 사용해 여기에 숨겨있던

   악성코드를 통해 대량의 정보가 빠져나감

- 2012년 12월, 한글과 컴퓨터의 업데이트 서버가 해킹당해 아래아한글 사용자들이 업데이트를 수행

   할 때 자동으로 악성코드가 설치되도록 한 사건

- 카스퍼스키랩이 2013년 1월 발견한 사이버 스파이 'Red October(Rocra, 로크라)' 는 무려 5년 이상 활동

- 동유럽국가, 구 소련 및 중앙아시아 국가의 정부/외교 및 과학 연구 기관을 타깃으로 활동

- 로크라는 주요 기관의 지정학적 정보, 기밀 정보 시스템에 접속할 수 있는 계정 정보와 개인 모바일

   기기와 네트워크 장비 정보 등의 내부 자료를 수집

2. 초보적인 수준의 해킹 툴로도 APT 공격 성공

- APT를 막기 위해 반드시 전용 솔루션이 있어야 하는 것은 아니다

- APT는 예상치 못했던 취약점을 찾아내 매우 초보적인 수준의 공격으로도 성공할 수 있기 때문에 보안 

   시스템의 기본이 반드시 필요

- 기존 보안 시스템의 틈새를 파고드는 APT 공격은 알려지지 않은 악성코드를 이용

- 공격이 발생한 후 이를 발견하고 조치를 취할 때까지 걸리는 시간동안 집중적으로 공격을 진행하는

   제로데이 공격이 주를 이루고 있다.

- 관리되지 않은 시스템의 취약점을 찾아내 교모하게 침투해 소기의 목표를 달성

- 보안의 패러다임이 빠르게 변화하고 있다. 시그니처 방식이냐 비시그니처 방식이냐를 따질 것이 아니라

   실시간으로, 모든 영역에서 보안위협이 발생하는지 지켜봐야 한다. 

- 모든 APT 공격이 전문가 수준의 높은 공격을 갖추지는 않았으며, 인터넷을 통해 누구나 쉽게 얻을 수 있

   는 해킹툴을 이용하는 경우도 많다.

3. 중소기업/개인 겨냥 공격 꾸준히 늘어

- 중소기업이나 개인을 겨냥한 APT도 심각한 문제

- 이들을 공격해 협력관계에 있는 대기업, 공공기관으로 옮겨가면서 원하는 목표를 달성

- IT 전담인력이 부족한 기업과 개인을 노리는 경향이 두드러이지게 이루어짐

- 최근 발표되는 APT가 알려지지 않은 악성코드를 이용하는 경향을 많이 보이기 때문에 악성코드

   방지에 관심이 집중

- 악성코드는 사용자 몰래 PC를 원격 조종하는 '트로이목마'가 가장 많다

- 3월 11일부터 17일까지 국내에 유포된 62종의 악성코드 중 50건이 트로이목마인 것으로 확인.

   여기에는 공격자가 직접 조정할 수 있는 원격 통제 도구인 'RAT(Remote Administration Tool)' 도 포함

- 피해를 막기 위해서는 악성코드 감염을 전파하는 사이트에 대한 접속 차단이 가장 먼저 필요

- PC와 웹 구간에서 악성코드를 탐지하는 것으로 웹 보안 취약성을 어느 정도 해결할 수 있다.

4. 사회공학 기법 이용한 이메일 악성코드 유포 성행

- 최근 APT 공격 유형의 상당부분을 차지하는 것이 이메일을 이용한 공격

- 이메일 공격 단계

1) 첫번째 공격 관문을 뚫을 사람을 선택

- 구글링이나 SNS를 통해 이름과 이메일 정보, 대상의 취미 혹은 취향, 가족관계 등을 알아낸 후

   공격대상에게 맞춤형 정보를 담은 이메일을 보낸다

2) 이메일을 받은 사람이 메일을 열어 첨부파일을 다운로드 받거나 URL을 클릭하면 악성코드가 그 

   사람의 단말기에 숨어들어가 백도어를 만든다

3) 적당한 시기가 되면 네트워크로 침투

4) 목표로 삼은 고객정보 DB 에 접근

- 특정 목적을 갖고 설계된 것이기 때문에 패턴분석이 안되고, 외부 C&C 서버와 자주 통신을 하는 것이

   아니기 때문에 행위기반 분석으로도 탐지가 안될 수 있다.

- 모바일 악성코드도 매우 취약한 보안위협

- 다양한 모바일 디바이스가 기업 시스템에 접속하는데, 개인이 소유한 단말기는 보안정책을 강력하게

   적용할 수 없기 때문에 각종 악성코드에 감염된 단말기가 시스템에 접속했을 때 제어할 수 있는 방법이

   요구

- 다양한 APT 공격 사례

1) USB 등 이동식 저장장치에 악성코드를 심어 1차 목표로 삼은 사람이 USB를 사용하게 하거나

2) 각종 패치 업데이트 프로그램에 몰래 심어 실행되도록 하는 경우

3) P2P 사이트의 동영상 파일에 악성코드를 숨기는 경우

4) 보안이 취약한 웹사이트에 악성코드를 숨겨 방문자 PC를 감염시키거나

5) 웹서버가 악성코드를 직접 배포하는 경우

5. 샌드박스로 알려지지 않은 악성코드 탐지

- 악성코드를 탐지하는 전통적인 방법은 기존에 정리된 시그니처와 비교해보는 것

- 시그니처 방식은 이전에 공격과 피해가 발생한 적이 있어야 하기 때문에 최초로 시행되는 악성코드는

   탐지할 수 없다.

- 비시그니처 방식의 악성코드 탐지기법

1) 샌드박스

- 악성코드로 의심되는 파일을 격리된 가상화 영역에서 실험해 본 후 어떠한 공격이 일어나는지

   확인하고, 공격이 일어나면 상세분석을 시작하고, 공격이 일어나지 않으면 허용하는 방식

- APT 공격에 이용되는 악성코드는 실행 즉시 행동을 시작하는 것이 아니기 때문에 악성코드가

   아니라고 분류될 가능성이 있다.

2) 기계학습 기법

- 트래픽의 행위를 자동으로 학습

3) 행위기반 분석기법

- 트래픽의 흐름을 분석해 이상행위를 찾아냄

4) 평판분석기법

- 기존 소프트웨어 평판을 기준으로 분석

5) 콘텐츠 인지 제어

- 트래픽이 갖고 있는 데이터의 콘텐츠를 인지해 정보가 불법적으로 이동하는지 찾는 방법

6) 상황인지 기법

- 트래픽이 일어나는 상황을 종합적으로 분석해 정상행위 중 이상행위일 수 있는 해위를 찾아

   내는 방법

6. APT 공격에 사용되는 악성코드의 특징

1) 실행파일이 풀리면 누군가와 통신을 시작한다. 공격자의 명령을 받기 위해 악성코드가 실행됐다

    는 사실을 알리려는 것

- 샌드박스 기법이 이를 이용한 것으로, 악성코드로 의심되는 파일을 가상머신에서 실행시킨 후

   외부와의 통신을 하는지 살펴본다

2) 사내 시스템에 C&C 서버 역할을 하는 악성코드를 두는 방식을 채택한다.

- 행위기반 분석기술이 고도화되면서 악성코드도 진화해 외부가 아닌 내부와 통신을 하면서

   자신의 목적을 숨긴다.

- 사람의 트래픽으로 보기 어려울 만큼 사내 특정 시스템과 빠르게 통신을 주고받는다거나 전혀

   상관없는 부서 시스템과의 통신이 자주 발생하게 된다면 이상행위로 의심

7. APT 대응 방법

- 모든 IT 분야에 심층적인 방어전략을 수립

- 전통적인 네트워크 보안부터 시작해서 PC단의 바이러스 백신까지 전반적인 보안 환경을 가장

   먼저 정비해야 함

- 알려지지 않은 악성코드를 탐지할 수 있는 방법과 알려지지 않은 공격을 탐지할 수 있는 새로운 기술

   을 적용

- 임직원의 교육을 통해 사람의 심리를 교묘하게 이용하는 고격에 대비

- 시스템 외부로 중요정보가 유출되지 않도록 정비

- 직원들의 디지털 기가가 사용자 모르게 시스템에 접근해 의도치 않은 보안홀이 되지 않도록

   관리되지 않은 기기의 제어 정책 마련

- 가장 중요한 것은 사람이다. 직원들이 무심코 열어보는 확인되지 않은 이메일, 습관적으로

   방문하는 웹사이트, 메신저를 이용한 파일 전소 등 보안 취약점에 노출되지 않도록 임직원의

   변화관리가 무엇보다 먼저 진해돼야 함