[디지털데일리 이종현기자] “사이버공격에 사람이 직접 대응하는 것은 이미 한계점에 도달했습니다. NH농협은행은 인공지능(AI)을 활용한 보안 위협 탐지 영역 확대 및 업무 효율화를 구현했습니다. 2022년부터는 쏘아(SOAR) 기반 사이버보안 종합관제 체계를 만드는 데 착수합니다.”(조형진 NH농협은행 CERT 팀장)

6일 조형진 NH농협은행 컴퓨터침해사고대응반(CERT) 팀장은 <디지털데일리>의 주최로 6일부터 10일까지 5일간 진행된 [2022년 전망, 금융IT Innovation 버추얼 컨퍼런스] 첫날 발표자로 나서 이같이 밝혔다.

조 팀장이 주목한 2021년 금융권 주요 공격 사례는 1월 국내 금융사를 대상으로 한 랜섬 분산서비스거부공격(디도스, DDoS) 공격과 북한으로 추정되는 공격자의 타겟 공격, 7월 공급망 공격 등이다.

랜섬 디도스는 금전을 지불하지 않을 경우 디도스 공격을 수행하는 협박 수법이고, 공급망 공격은 기업·기관이 사용하는 소프트웨어(SW)를 제공하는 기업 시스템에 침입, 해당 기업의 SW 공급망을 이용해 위협을 끼치는 공격을 뜻한다. 작년과 올해 연이어 발생한 솔라윈즈(SolarWinds) 및 카세야(Kaseya) 사태가 대표적인 공급망 공격으로 꼽힌다.

금융권을 노린 공격에 NH농협은행은 2단계 디도스 공격 방어체계를 구축했다. 디도스 공격 발생시 자체 디도스 방어 장비로 대응하다가 일정치 이상의 공격이 발생시 클라우드 디도스 대응센터를 우회해 공격을 방어하는 방식이다.

지능형지속위협(APT) 공격은 통합보안관제(SEIM) 기반 다단계 보안체계로 대응했다. 데이터의 비정상 흐름을 파악하고, 엔드포인트 탐지 및 대응(EDR) 솔루션 도입으로 엔드포인트 단에 대한 대비체계도 갖췄다. 글로벌 기업 및 기관과 위협 인텔리전스도 공유 중이다. 내부 공급망 공격을 막기 위한 리스크 대응 마스터 플랜을 수립, 전체 아웃소싱에 대한 라이프사이플 관리체계도 정비했다는 것이 조 팀장의 설명이다.

◆AI 기반의 4세대 보안관제··· 탐지부터 대응까지 완전 자동화 목표

복잡·다양한 보안체계 중에서 특히 눈에 띄는 것은 AI 기반 제4세대 보안관제다. 농협은행은 2020년 쏟아지는 각종 보안 데이터를 수집·탐지·관리할 수 있는 보안 데이터 레이크를 구축, 올해 이를 기반으로 단순·반복적인 보안관제 분석업무를 줄일 수 있는 AI 보안관제를 도입했다.

조 팀장은 “보안 위협에 인력 베이스로 대응하는 데는 한계점에 도달했다. 전통적 한계를 극복하기 위한 언노운(Unknown) 어택 탐지도 시급한 과제”라며 “신규 AI 알고리즘을 자동으로 추천해주는 셀프 모델링을 구현해 데이터 축적, 특징 추출, 알고리즘 선정, 모델 평가 및 적용까지 지속적으로 개선할 수 있는 체계를 마련함으로써 국내 금융권 분야 최고 수준의 경험 자산을 축적하고 있다”고 말했다.

올해까지가 밑작업이었다면, 내년은 쏘아(SOAR, Security Orchestration, Automation Response) 기반의 사이버종합관제 도입의 원년이다.

조 팀장은 “시스코는 전체 보안 위협 중 해결되는 것은 9%에 불과하다는 내용의 보고서를 발표한 바 있다. 경보의 홍수, 대응 능력의 한계로 확인이나 해결 과정을 거치지 않고 무시하는 보안 경보가 그만큼 많다는 뜻이다. 탐지부터 대응까지 궁극의 자동화가 필요한 이유”라고 피력했다.

농협은행은 구상 중인 쏘아를 적용할 경우 공격 인지부터 차단까지, 기존 시스템에서는 75분가량 걸리던 작업이 2분으로 단축할 수 있으리라 전망하고 있다. 사람의 손으로 이뤄지는 대응을 완전히 자동화한다는 전략이다.

◆클라우드로 떠나는 여정··· 장기 전환 계획 수립

농협은행은 중장기 클라우드 전략을 수립, 중요업무를 클라우드로 이전 중이다. 올해 관리성 재해복구(DR) 업무 등 1단계 클라우드 적용 지원 체계 마련을 마쳤고 내년 인터넷·모바일 뱅킹 등까지 클라우드를 적용할 예정이다. 내후년에는 범위를 확대해 클라우드 네이티브 기반을 확보하는 것을 목표로 한다.

무작정 클라우드 전환을 추진할 수 없는 배경에는 보안이 있다. IDC 리서치의 조사에 따르면 63% 응답자는 클라우드 도입의 최대 장벽으로 보안을 꼽았다.

조 팀장은 “‘내 것’이었던 레거시 시스템과 달리 클라우드는 공유 시스템이다. 경계 안의 내 것만 지키면 되는 과거와 달리 클라우드 환경에서는 보호 대상이 불명확해지고 공격자들이 노릴 수 있는 공격표면이 증가해지는 등, 정보보안 담당자에게 큰 어려움을 주고 있다”고 말했다.

이에 농협은행은 클라우드 보안을 위한 사람 규제 준수를 비롯해 계정관리와 접근통제를 통한 사람 중심의 보안, 워크로드 보호 등 클라우드 보안을 위한 핵심 과제를 설정, 해결해나가는 중이다. 클라우드의 모든 트래픽에 대한 가시성을 확보하고 레거시 시스템에 적용돼 있던 보안을 멀티 클라우드 환경으로 옮겨 클라우드 도입으로 인한 보안 문제를 미연에 방지한다는 계획이다.

조 팀장은 “디지털 전환으로 촉발된 급격한 시기술 적용은 곧 사이버 리스크로 이어진다. 보안 담당자들에게는 경험하지 못한 도전으로 다가오고 있다. 과거에는 빠르게 움직이거나 안전하게 유지됐다면, 이제는 생존을 위해 두 마리 토끼를 모두 잡아야 할 격변기를 맞이하고 있다”고 전했다.