최광호 안랩 솔루션서비스 팀장은 25일, 서울 삼성동 코엑스에서 열린 ‘제23회 정보통신망 정보보호 컨퍼런스’를 통해 인터넷전문은행 현황을 공유하고 혁신과 안전을 담보할 수 있는 방안을 제안했다.

이와 과련 최 팀장은 거래 현황별 맞춤 인증 체계를 갖추기 위해 고객 서비스 단계별 인증 차별화를 꾀해야 한다고 발표했다. 계좌 개설부터 여신 발행까지 보안 위협이 주기적으로 발생하고 있기 때문에 단계별로 고객을 보호할 수 있는 방안을 마련해야 한다는 것이다.

최 팀장은 ▲계좌 개설 단계에서는 실명인증 ▲입출금 거래 때 기기인증 ▲거래금액 증감 때 이중인증 ▲여신 발행 때 인증 강화 등 고객 채널 중심의 인증체계를 차등 구현해야 한다고 했다. 이에 인터넷전문은행은 고객 서비스 이용 측면에서 각각 구분해 인증을 고도화하는 방안을 시도해야 한다는 것.

또한, 최 팀장은 머신러닝 기반 이상행위 탐지의 중요성을 강조했다. 머신러닝 기법은 ▲시스템 로그·패킷에서 비정상행위 구분 ▲정·오탐 패턴을 학습해 자동 분류 ▲취약여부(공격유효성) 판단 ▲유사한 형태의 대응가이드 제공을 통한 조치 ▲기존 보고서 학습 후 풍부한 정보 제공 등에 활용 가능하다.

최 팀장은 “데이터를 학습하고 패턴을 분석해 실사용 패턴을 고려한 상대적 분석을 할 수 잇다”며 “학습된 데이터 간 거리를 기반으로 하기 때문에 기존의 룰 또는 임계치 기반 탐지 방식에서 탈피할 수 있다”고 설명했다.

이어 “발견된 내부 감염 시스템 및 비정상 IP에 대해 대응조치도 가능하다”며 “시그니처 기반 통계 분석보다 한 단계 진일보할 수 있다”고 덧붙였다.

이날 최 팀장은 현재 인터넷전문은행에서 시도하는 보안정책에 대해서도 소개했다. 인터넷전문은행은 ▲지정단말제 ▲사설인증서 ▲모바일 OTP(일회용 패스워드)를 적용한다.

지정단말제는 여러 단말을 지원하면서 발생하는 파편화된 소스코드상의 문제점과 보안 솔루션 문제 등을 극복하기 위한 방법이다. 지정단말제와 사설인증서, 모바일 OTP를 함께 적용하면 하나의 기기 인증만으로도 공개키기반(PKI) 인증 등을 한 번에 처리할 수 있어 사용자 편의성을 높일 수 있다.

아울러, 인터넷전문은행은 차세대 방화벽을 이용해 암호화 트래픽에 대한 악성코드를 차단하고 복호화 트래픽의 지능형지속위협(APT) 대응 솔루션 전송을 통해 추가적인 APT를 식별키로 했다. 또, 블랙리스트 침해위협 룰을 2차 방화벽에 자동 적용해 자동화된 방어체계를 구성했다.

또, 금융망은 업무망·인터넷망과 원천적으로 분리해 기존 망분리 단점을 해결하고 빠른 개발과 테스트 및 운영을 가능한 새로운 관점의 망분리를 구성했다. 데이터베이스(DB) 암호화를 통해 주요 개인식별 정보를 암호화 저장토록 했다.

최 팀장은 “혁신을 위한 전략이 가능하도록 보장하는 것이 보안”이라며 “인터넷전문은행은 기존 은행과 달리 금융망을 물리적으로 완전 분리했기 때문에 데브옵스(DevOPs) 보안 등을 위한 테스트 공간도 마련 가능해 인재들의 유입이 기대되고 있다”고 말을 보탰다.

<최민지 기자>cmj@ddaily.co.kr