2013.04.26

FIT 2013 인터뷰 | 금융보안연구원 성재모 본부장 "기업의 사회적 책임으로 보안 대책 접근해야"

박해정 | CIO KR
경찰 10명이 도둑 1명을 못 막는다는 말이 있다. 연일 터지는 보안사고도 마찬가지다. 최첨단 보안 기술을 도입했지만 어디선가 취약점을 뚫고 들어오는 공격을 막기란 사실상 불가능하다. 게다가 최근 APT 공격 추세를 보면, 특정 대기업이나 공공기관만을 겨냥한 것이 아닌, 중소기업으로 옮겨가고 있다. 또한 과거에는 단순히 과시욕이나, 정치적인 혹은 금전적인 목적으로 공격했으나 이제는 목적도 다양해졌다.

이와 관련해 금융보안연구원 정보보안본부 성재모 본부장은 “어느 것을 먼저 보완해야 한다고 할 것 없이 사전 예방시스템 구축, 통제 모니터링, PC 및 서버의 변화 탐지 등 전방위적인 대책이 필요하고 숙련된 보안 전담인력의 지속적 확보가 중요하다”고 강조했다. 또한 성 본부장은 “전자금융의 신뢰성 보장을 위해서는 무엇보다 기업의 CEO가 ‘보안’을 기업의 사회적 책임의 일환으로 접근하는 인식의 변화가 필요하다”고 주장했다.

성 본부장은 오는 5월 8일 열리는 제 3회 파이낸스 IT 월드 2013 컨퍼런스에서 ‘스마트 금융 서비스의 보안 기술 동향 및 전망’이라는 주제로 스마트 금융을 위한 보안 기술을 소개하고 스마트 금융 보안 기술에 대한 전망을 공유할 예정이다. 다음은 성 본부장과의 일문일답이다.

CIO Korea(이하 CIO) : ‘스마트 금융 서비스의 보안 기술 동향 및 전망’이라는 주제로 발표할 예정이다. 주로 어떤 내용을 발표하나?
성재모 본부장(이하 성 본부장) :
스마트 금융 환경에서 어떤 부분을 고려해야 하는지에 대해서라고 보면 된다.

첫 번째, 스마트폰 뱅킹이다. 과거 PC 인터넷 뱅킹 가입자 증가 속도보다 스마트폰 뱅킹 가입자 증가 추세가 훨씬 더 빠르게 진행되고 있다. 현재 국내 스마트폰뱅킹 사용자는 2,500만 명 정도로 추산된다.

PC뱅킹은 은행에 가지 않아도 PC만 있으면 언제 어디서나 은행 업무를 처리할 수 있는 서비스다. 하지만, 운전이나 이동 중에는 서비스를 이용하기 어렵다. 스마트폰으로 인해 정말로 언제 어디서나 가능한 손안의 뱅크가 실현된 것이다. 지하철을 타고 가면서도 돈을 이체할 수 있고 버스를 타고 가면서도 주식을 매매할 수 있다. 이때 예상되는 문제점은 스마트폰의 악성코드 감염 및 분실 시 발생할 수 있는 위협이다.

두 번째, 스마트 브랜치(Smart Branch)다. 일부 금융회사들이 작년 말부터 시범적으로 운영하기 시작했는데 비대면 입출금을 비롯해 지점에서 수행하는 다수의 업무를 자동화기기로 대체할 수 있어 점차 확대되고 있는 추세다.

세 번째, 모바일 카드가 지속적으로 확대되고 있다. 모바일 카드는 소프트웨어적으로 폰에 저장되거나 SIM(USIM, 금융 MicroSD) 등에 저장되어 일종의 스마트지갑 개념으로 설치돼 스마트신용카드, 모바일 앱 카드 등으로 다양하게 출시되고 있다. 신용카드가 스마트 기기에 들어가 편해졌으나 24시간 위험에 노출된다는 단점은 있다.

CIO : 금융보안연구원이 집중적으로 보는 부분은 무엇인가?
성 본부장 :
스마트기기다. 스마트 브랜치, 소셜네트워크, 오픈뱅킹도 있지만, 모바일카드, 스마트뱅킹, 스마트증권은 모두 스마트기기의 발달과 더불어 이슈가 된다. 스마트기기 환경에서 안정적인 전자금융서비스를 지원하기 위한 보안을 연구하고 있다.

모든 SW는 언젠가는 취약점이 발견될 수 있다. 기존의 PC뱅킹에서는 해커가 보안 취약점을 찾아서 공격하면 보안담당자와 개발 업체는 방어하기 위한 패치를 하는 과정이 반복됐다. 백신이라는 게 악성코드 패턴이 있어야 찾을 수 있고, 탐지하고 나서 다시 공격이 들어오면 또 패턴을 업데이트 하는 상황의 반복이다.

전자금융 거래의 안전성 확보를 위해서는 내가 거래하는 거래 단말에서의 인증과 별도의 분리된 팩터를 통한 추가적인 본인 확인 수단을 제공하는 방법으로 보다 신뢰성을 높일 수 있을 것이다.

또한 소프트웨어의 한계성을 극복하기 위해 하드웨어 모듈을 이용한 보안성 지원에 대한 연구를 하고 있다. ARM 기반의 스마트폰에서는 일반 운영체제(안드로이드, iOS 등)가 탑재되는 CPU와 별도 하드웨어 보안을 위한 트러스트존을 제공하고 있다. 악성코드가 안드로이드 운영체제 위에 설치 된다 하더라도 별도 하드에어에서 동작되고 있는 영역은 공격할 수 없기 때문에 상대적으로 더욱 안전하다고 할 수 있다. 금융보안연구원은 이 부분에 대한 응용 보안 기술들에 대해 연구하고 있다.

최근에 한국은행에서 발표한 금융 MicroSD 표준도 하드웨어 기반의 보안을 지원 할 수 있도록 설계된 것으로 알고 있다. 또한 ETRI 등과도 이 부분에 대한 공동연구에 참여하고 있는 중이다.

CIO : 양날의 검과 같은 문제다. 서비스 발전을 위해서 규제는 최소화 해야 하는 게 맞지만, 후에 발생할 수 있는 보안 사고를 생각해 미리 규제를 만들면 서비스 발전이 더디다. 해결 방안이 없나?
성 본부장 :
기업이 신규 서비스를 개발할 때 항상 보안을 함께 고려해야 한다. 인프라 등에 대해 고려하지 않고 서비스 개발만 진행하다 보니 보안 이슈를 만들어 내고 있다. 다행인 것은 공공기관의 경우 올해부터 시큐어코딩을 의무화해 새로운 서비스를 개발하면 반드시 보안 조치를 취하고 있다는 점이다.

보안에 대해서는 사회적인 합의가 필요하다고 생각한다. 만약, 아파트 단지 내, 앞집에서 불이 났다고 치자. 사고 원인을 보니, 집주인이 가스 불을 켜 놓고 잠시 외출했던 것이다. 물을 끓이는 것은 개인의 자유다. 하지만 과열돼 불이 나서 옆집까지 피해를 끼쳤다면 그 사람에게 1차적인 책임을 물어야 한다. 보안 사고도 마찬가지다. 기업의 웹 서버나 내 PC를 내가 관리하지 않아 피해를 유발시킨다면, 그 기업과 개인에게도 책임이 있을 수 있다는 것이다.

지금은 PC 한 대의 공격 파워가 매우 강력해 한 대학의 학사 행정을 멈추게 할 정도가 된다. PC 몇 대만 가지면 기업 서비스 마비가 가능한 시대다. 그런 막강 파워를 가진 PC를 개인이 보호하지 못해 외부의 공격을 받아 다른 서버를 공격하게 될 수도 있다. 그런데 그 다른 서버가 주요 기반시설인 정부 부처일 수도 금융회사 일 수도 있다.

우리가 사용하는 PC에는 잠재적인 위험요소가 매우 많이 깔려있을 수 있다. 미국의 경우, 동일 IP에서 3번 이상 외부의 공격 트래픽이 발견되면, 해당 사용자에게 경고를 보내고 네트워크를 차단하는 통신사도 있다. 왜냐면, 그 사람으로 인해 다른 사용자에게 피해가 가기 때문이다. 미국은 통신사끼리 합의해서 그렇게 하고 있고, 이를 두고 개인의 프라이버시를 제한한다고 하지 않는다. 국가가 이러한 법을 만들어 통신사에게 어떤 IP를 막아라, 막지 말아야 하는 데는 많은 논의와 국민적 합의가 필요하다. 하지만 서비스 제공자인 통신사는 다수의 사용자들에게 피해가 가지 않도록 PC를 제대로 관리하지 못하는 사용자에게 알려주고 제한할 수는 있을 것이다.

이제 보안은 기업의 사회적 책임으로 접근해야 한다. 정부가 규제하지 않는데 굳이 할 필요가 없다는 인식이 사업자들 사이에 있는데, 이러한 것은 문제가 있다고 생각한다.

보안에 대해서는 최근 사이버전 등 국가적인 이슈도 나오는 상황에서 인프라 보호정책을 다 얘기하기는 어렵지만, 국내의 경우 통신 3사가 시장을 주도하고 있으니 이들이 좀더 적극적으로 나서야 한다고 생각한다. 대형 포탈들도 마찬가지다. 이용자들의 정보보호 인식 제고를 위한 정보도 많이 제공해 주고, 검색 엔진에서 악성코드 유포 사이트는 차단해는 등의 서비스도 고려해 볼 수 있을 것 같다. 안전한 정보통신인프라 제공을 위해 기업의 사회적 책임으로서 보안 대책에 대한 접근이 필요한 시점인 것 같다.

한편 오는 5월 8일 개최되는 제 3회 ‘Finance IT World 2012’ 컨퍼런스에서는 IDC 최고의 금융 시장 전문가인 사이러스 다루왈라가 방한해 글로벌 금융 IT 트렌드에 대한 기조 연설을 시작으로 공통세션에서 금융감독원의 김윤진 IT총괄팀장이 금융 IT감독 방향을 제시할 예정다. 또한 KT 스마트금융사업담당 김경태 팀장, 하나SK카드 모바일마케팅팀 권영탁 팀장, 신한카드 김종수 부장이 참석해 모바일 지불결제 서비스의 미래와 비즈니스 기회에 대해 논의할 계획이다. (문의: 02-558-6076, http://conf.idg.co.kr/conference/information?conference_seq=85) ciokr@idg.co.kr



2013.04.26

FIT 2013 인터뷰 | 금융보안연구원 성재모 본부장 "기업의 사회적 책임으로 보안 대책 접근해야"

박해정 | CIO KR
경찰 10명이 도둑 1명을 못 막는다는 말이 있다. 연일 터지는 보안사고도 마찬가지다. 최첨단 보안 기술을 도입했지만 어디선가 취약점을 뚫고 들어오는 공격을 막기란 사실상 불가능하다. 게다가 최근 APT 공격 추세를 보면, 특정 대기업이나 공공기관만을 겨냥한 것이 아닌, 중소기업으로 옮겨가고 있다. 또한 과거에는 단순히 과시욕이나, 정치적인 혹은 금전적인 목적으로 공격했으나 이제는 목적도 다양해졌다.

이와 관련해 금융보안연구원 정보보안본부 성재모 본부장은 “어느 것을 먼저 보완해야 한다고 할 것 없이 사전 예방시스템 구축, 통제 모니터링, PC 및 서버의 변화 탐지 등 전방위적인 대책이 필요하고 숙련된 보안 전담인력의 지속적 확보가 중요하다”고 강조했다. 또한 성 본부장은 “전자금융의 신뢰성 보장을 위해서는 무엇보다 기업의 CEO가 ‘보안’을 기업의 사회적 책임의 일환으로 접근하는 인식의 변화가 필요하다”고 주장했다.

성 본부장은 오는 5월 8일 열리는 제 3회 파이낸스 IT 월드 2013 컨퍼런스에서 ‘스마트 금융 서비스의 보안 기술 동향 및 전망’이라는 주제로 스마트 금융을 위한 보안 기술을 소개하고 스마트 금융 보안 기술에 대한 전망을 공유할 예정이다. 다음은 성 본부장과의 일문일답이다.

CIO Korea(이하 CIO) : ‘스마트 금융 서비스의 보안 기술 동향 및 전망’이라는 주제로 발표할 예정이다. 주로 어떤 내용을 발표하나?
성재모 본부장(이하 성 본부장) :
스마트 금융 환경에서 어떤 부분을 고려해야 하는지에 대해서라고 보면 된다.

첫 번째, 스마트폰 뱅킹이다. 과거 PC 인터넷 뱅킹 가입자 증가 속도보다 스마트폰 뱅킹 가입자 증가 추세가 훨씬 더 빠르게 진행되고 있다. 현재 국내 스마트폰뱅킹 사용자는 2,500만 명 정도로 추산된다.

PC뱅킹은 은행에 가지 않아도 PC만 있으면 언제 어디서나 은행 업무를 처리할 수 있는 서비스다. 하지만, 운전이나 이동 중에는 서비스를 이용하기 어렵다. 스마트폰으로 인해 정말로 언제 어디서나 가능한 손안의 뱅크가 실현된 것이다. 지하철을 타고 가면서도 돈을 이체할 수 있고 버스를 타고 가면서도 주식을 매매할 수 있다. 이때 예상되는 문제점은 스마트폰의 악성코드 감염 및 분실 시 발생할 수 있는 위협이다.

두 번째, 스마트 브랜치(Smart Branch)다. 일부 금융회사들이 작년 말부터 시범적으로 운영하기 시작했는데 비대면 입출금을 비롯해 지점에서 수행하는 다수의 업무를 자동화기기로 대체할 수 있어 점차 확대되고 있는 추세다.

세 번째, 모바일 카드가 지속적으로 확대되고 있다. 모바일 카드는 소프트웨어적으로 폰에 저장되거나 SIM(USIM, 금융 MicroSD) 등에 저장되어 일종의 스마트지갑 개념으로 설치돼 스마트신용카드, 모바일 앱 카드 등으로 다양하게 출시되고 있다. 신용카드가 스마트 기기에 들어가 편해졌으나 24시간 위험에 노출된다는 단점은 있다.

CIO : 금융보안연구원이 집중적으로 보는 부분은 무엇인가?
성 본부장 :
스마트기기다. 스마트 브랜치, 소셜네트워크, 오픈뱅킹도 있지만, 모바일카드, 스마트뱅킹, 스마트증권은 모두 스마트기기의 발달과 더불어 이슈가 된다. 스마트기기 환경에서 안정적인 전자금융서비스를 지원하기 위한 보안을 연구하고 있다.

모든 SW는 언젠가는 취약점이 발견될 수 있다. 기존의 PC뱅킹에서는 해커가 보안 취약점을 찾아서 공격하면 보안담당자와 개발 업체는 방어하기 위한 패치를 하는 과정이 반복됐다. 백신이라는 게 악성코드 패턴이 있어야 찾을 수 있고, 탐지하고 나서 다시 공격이 들어오면 또 패턴을 업데이트 하는 상황의 반복이다.

전자금융 거래의 안전성 확보를 위해서는 내가 거래하는 거래 단말에서의 인증과 별도의 분리된 팩터를 통한 추가적인 본인 확인 수단을 제공하는 방법으로 보다 신뢰성을 높일 수 있을 것이다.

또한 소프트웨어의 한계성을 극복하기 위해 하드웨어 모듈을 이용한 보안성 지원에 대한 연구를 하고 있다. ARM 기반의 스마트폰에서는 일반 운영체제(안드로이드, iOS 등)가 탑재되는 CPU와 별도 하드웨어 보안을 위한 트러스트존을 제공하고 있다. 악성코드가 안드로이드 운영체제 위에 설치 된다 하더라도 별도 하드에어에서 동작되고 있는 영역은 공격할 수 없기 때문에 상대적으로 더욱 안전하다고 할 수 있다. 금융보안연구원은 이 부분에 대한 응용 보안 기술들에 대해 연구하고 있다.

최근에 한국은행에서 발표한 금융 MicroSD 표준도 하드웨어 기반의 보안을 지원 할 수 있도록 설계된 것으로 알고 있다. 또한 ETRI 등과도 이 부분에 대한 공동연구에 참여하고 있는 중이다.

CIO : 양날의 검과 같은 문제다. 서비스 발전을 위해서 규제는 최소화 해야 하는 게 맞지만, 후에 발생할 수 있는 보안 사고를 생각해 미리 규제를 만들면 서비스 발전이 더디다. 해결 방안이 없나?
성 본부장 :
기업이 신규 서비스를 개발할 때 항상 보안을 함께 고려해야 한다. 인프라 등에 대해 고려하지 않고 서비스 개발만 진행하다 보니 보안 이슈를 만들어 내고 있다. 다행인 것은 공공기관의 경우 올해부터 시큐어코딩을 의무화해 새로운 서비스를 개발하면 반드시 보안 조치를 취하고 있다는 점이다.

보안에 대해서는 사회적인 합의가 필요하다고 생각한다. 만약, 아파트 단지 내, 앞집에서 불이 났다고 치자. 사고 원인을 보니, 집주인이 가스 불을 켜 놓고 잠시 외출했던 것이다. 물을 끓이는 것은 개인의 자유다. 하지만 과열돼 불이 나서 옆집까지 피해를 끼쳤다면 그 사람에게 1차적인 책임을 물어야 한다. 보안 사고도 마찬가지다. 기업의 웹 서버나 내 PC를 내가 관리하지 않아 피해를 유발시킨다면, 그 기업과 개인에게도 책임이 있을 수 있다는 것이다.

지금은 PC 한 대의 공격 파워가 매우 강력해 한 대학의 학사 행정을 멈추게 할 정도가 된다. PC 몇 대만 가지면 기업 서비스 마비가 가능한 시대다. 그런 막강 파워를 가진 PC를 개인이 보호하지 못해 외부의 공격을 받아 다른 서버를 공격하게 될 수도 있다. 그런데 그 다른 서버가 주요 기반시설인 정부 부처일 수도 금융회사 일 수도 있다.

우리가 사용하는 PC에는 잠재적인 위험요소가 매우 많이 깔려있을 수 있다. 미국의 경우, 동일 IP에서 3번 이상 외부의 공격 트래픽이 발견되면, 해당 사용자에게 경고를 보내고 네트워크를 차단하는 통신사도 있다. 왜냐면, 그 사람으로 인해 다른 사용자에게 피해가 가기 때문이다. 미국은 통신사끼리 합의해서 그렇게 하고 있고, 이를 두고 개인의 프라이버시를 제한한다고 하지 않는다. 국가가 이러한 법을 만들어 통신사에게 어떤 IP를 막아라, 막지 말아야 하는 데는 많은 논의와 국민적 합의가 필요하다. 하지만 서비스 제공자인 통신사는 다수의 사용자들에게 피해가 가지 않도록 PC를 제대로 관리하지 못하는 사용자에게 알려주고 제한할 수는 있을 것이다.

이제 보안은 기업의 사회적 책임으로 접근해야 한다. 정부가 규제하지 않는데 굳이 할 필요가 없다는 인식이 사업자들 사이에 있는데, 이러한 것은 문제가 있다고 생각한다.

보안에 대해서는 최근 사이버전 등 국가적인 이슈도 나오는 상황에서 인프라 보호정책을 다 얘기하기는 어렵지만, 국내의 경우 통신 3사가 시장을 주도하고 있으니 이들이 좀더 적극적으로 나서야 한다고 생각한다. 대형 포탈들도 마찬가지다. 이용자들의 정보보호 인식 제고를 위한 정보도 많이 제공해 주고, 검색 엔진에서 악성코드 유포 사이트는 차단해는 등의 서비스도 고려해 볼 수 있을 것 같다. 안전한 정보통신인프라 제공을 위해 기업의 사회적 책임으로서 보안 대책에 대한 접근이 필요한 시점인 것 같다.

한편 오는 5월 8일 개최되는 제 3회 ‘Finance IT World 2012’ 컨퍼런스에서는 IDC 최고의 금융 시장 전문가인 사이러스 다루왈라가 방한해 글로벌 금융 IT 트렌드에 대한 기조 연설을 시작으로 공통세션에서 금융감독원의 김윤진 IT총괄팀장이 금융 IT감독 방향을 제시할 예정다. 또한 KT 스마트금융사업담당 김경태 팀장, 하나SK카드 모바일마케팅팀 권영탁 팀장, 신한카드 김종수 부장이 참석해 모바일 지불결제 서비스의 미래와 비즈니스 기회에 대해 논의할 계획이다. (문의: 02-558-6076, http://conf.idg.co.kr/conference/information?conference_seq=85) ciokr@idg.co.kr

X