[디지털데일리 이종현기자] 2011년 발생했던 농협 전산 사고 이후, 국내 금융권의 보안정책이 크게 변화하는 계기가 됐다. 이후 절치부심한 농협은행은 이를 반전의 기회로 삼았고, 현재는 국내 금융권에서 가장 강력한 보안체계를 완성한 은행으로 평가받고 있다.

실제로 농협은행은 국내 은행권에서는 가장 선도적으로 엔드포인트 탐지 및 대응(EDR) 도입에 이어 보안 오케스트레이션, 자동화 및 대응(SOAR) 추진 등 강도높은 보안 인프라 강화 전략에 나서고 있다.

농협은행 IT보안부 조형진 팀장은 지난 10일 <디지털데일리>의 온라인 컨퍼런스 플랫폼 DD튜브를 통해 진행된 ‘2021 금융IT 혁신(Innovation)’ 컨퍼런스에서 농협은행의 차세대 보안 전략을 소개해 큰 주목을 받았다.

먼저, 농협은행이 꼽은 올해 가장 큰 보안 위협은 랜섬(Ransom) 디도스(DDoS) 공격이다. 금전을 요구하는 협박메일을 보낸 뒤 요구를 수용하지 않을 경우 디도스 공격을 가해 서비스를 마비시키겠다는 유형의 공격이다.

이와관련 조 팀장은 지난 8월 15일 광복절 전후에 금융권을 대상으로 이뤄진 랜섬 디도스 공격을 언급하며 “이례적”이라고 평가했다. 그는 “지난 8월 15일, 광복절에 타 금융회사에서 디도스(DDoS) 공격이 발생했다는 소식을 들었고, 이에 곧바로 농협은행도 침해대응(CRET) 팀을 꾸려 만일의 상황에 대비했다”고 밝혔다.

통상 디도스는 가용성 공격인 만큼 트래픽이 많은 날, 시간에 집중해 자신의 목적을 최대화하는 것이 일반적이만 이번 공격은 휴일인 광복절을 노린 것이 특이했다.

농협은행은 랜섬 디도스 공격에 대비하기 위해 ▲행위 기반의 디도스 대응 장비 ▲인터넷서비사업자(ISP)를 통한 해외 IP 차단으로 선제적 방어 ▲금융보안원과 연계한 디도스 대피소 등 대응 체계를 재정비했다. 이를 통해 10월 중순 농협은행을 노린 랜섬 디도스 공격을 피해 없이 막아닐 수 있었다.

참고로, 글로벌 보안기업 체크포인트의 조사에 따르면 코로나19 팬데믹 이후 71%의 기업들이 보안 위협과 공격이 증가했으며 55%의 보안 전문가들은 피싱 공격을 주요 위협으로 선정했다. 응답자의 95%는 바이러스의 확산으로 추가적인 정보기술(IT) 보안 문제에 직면할 것이라고 전망했다. 이와 같은 위협은 농협은행이 당면한 과제이기도 하다.

농협은행은 지난 2014년 정보보안부문을 설립해 73개 종합대책을 마련했다. 조 팀장은 “2014년부터 본격화된 농협은행의 정보보안 강화는 크게 3단계로 분류된다. 2015년까지의 시스템, 장비, 규정 등을 정비하는 기반마련 단계와 빅데이터 기반 관제 등을 구축한 2018년까지가 성숙단계”라며 “2019년부터는 인공지능(AI)과 SOAR 관제 등을 이용한 질적 전환 단계에 돌입했다”고 전했다.

농협은행은 데이터 기반 보안, 비즈니스를 위한 보안, 사람 중심 보안 등을 핵심으로 한 32개 보안 과제를 수행하고 있다. 은행장 직속으로 부행장 산하 2부, 1단, 9팀으로 이뤄진 정보보안부문이 이를 수행한다.

현재 농협은행에 구축된 보안기술 및 적책 중 조 팀장이 특히 강조한 것은 ▲빅데이터 분석과 위협 인텔리전스를 기반으로 한 ‘통합보안관제(SIEM)’ ▲파일 통합 검역, EDR을 통한 ‘위협 정보 통합 검역소’ ▲레드티밍과 개인정보 오남용 모니터링을 통한 ‘상시 보안 점검’ 등이다.

조 팀장은 “무수한 데이터가 생산·유통되는 은행 특성상 IT 전반에 대한 가시성이 필수적”이라며 SIEM을 통해 일일 최대 3테라바이트(TB)를 수집해서 이벤트간 상관 분석을 수행한다고 밝혔다. 또 침해 유형별 탐지 시나리오로 IT인프라 전반의 가시성을 확보해 즉각적인 대응을 수행한다고 부연했다.

농협은행은 이렇게 구축된 SIEM을 금융보안원이나 글로벌 사이버 위협 인텔리전스 정보와 연계해 위협 헌팅을 수행하고 있다. 이를 통해 알려지지 않은 보안 위협을 비롯해 보안 솔루션을 우회하는 고도화된 공격에도 대응할 수 있다.

제로 트러스트 기반으로 유통되는 모든 파일을 검역하는 위협 정보 통합 검역소도 운영한다. 이기종 샌드박스를 활용해 정적&동적 분석을 활용하고 EDR의 ‘엔드포인트 하드닝’을 통해 공격 표면을 최소화해 위협에 대응한다는 설명이다.

이와 함께 내부에 모의해킹을 수행하는 레드 팀을 구성해 레드 팀과 블루 팀이 상호 협업 및 견제를 수행함으로써 IT 인프라, 애플리케이션(앱)의 정기·상시 취약점 점검을 수행한다. 내부 직원에 의한 개인정보 오남용을 막기 위해 개인정보 생애주기 관리 통합 보안체계도 구축했다.

조 팀장은 향후 3단계에 걸친 침해대응 고도화 계획도 소개했다. ▲보안 데이터 레이크 ▲AI 보안관제 ▲SOAR 등이다.

수집되는 데이터에 대한 확장성, 다변성을 담보하는 데이터 레이크를 구축하고 이를 AI 기반 위협탐지와 연계해 분석한 뒤 분석 결과를 기존 보안관제 시스템에 연계하는 것이 1단계인 보안 데이터 레이크다.

2단계인 AI 보안관제에서는 1단계에서 만들어진 보안 데이터 레이크를 바탕으로 방대한 양의 데이터에 위험성을 탐지·분석하고 오탐지를 줄인다. 단순 반복이 필요한 일은 AI에 맡기고 중요한 심화 분석에 농협은행 관제인력을 투입해 효율성을 높인다는 계획이다.

1단계, 2단계를 거쳐 농협만의 사이버보안 종합 관제 체계인 SOAR 완성을 목표로 한다. 위협정보 수집·분류 자동화, 보안관제 프로세스 조직화, 이벤트 분류·워크로드 정교화, 보안사고 대응 표준·신속화 등을 수행하는 시스템이다.

이 단계에 이르면 외부 침해위협에 대한 모니터링(외부관제)과 개인정보 유출위협(내부관제), 나아가 비인가 접근이나 시스템 환경 설정 오류 등의 멀티 클라우드 모니터링(클라우드 관제)까지 한 번에 지킬 수 있다는 설명이다.

한편 조 팀장은 보안 전문가로서 나날이 커지는 사이버 보안 위협에 대한 우려도 표명했다. 그는 “코로나19로 디지털 전환이 가속화되면서 보안 위협도 다변화되고 있다. 기존 경계보안 중심의 보안으로는 클라우드와 같은 환경에서의 위협에 대응하기 어렵다”며 “신기술은 등장은 곧 사이버 리스크로 이어지는 상황”이라고 지적했다.

이어 “디지털 성숙도와 사이버 보안 성숙도의 균형이 필요하다”며 “설계 단계에서부터 보안이 적용되는 ‘시큐리티 바이 디자인’이 요구된다”고 강조했다.
<이종현 기자>bell@ddaily.co.kr