[디지털데일리 박기록 기자] 지난 2021년12월, 전세계에 신종 보안 위협인 ‘로그4j’ 비상이 걸렸다. 위협탐지시 CVE 코드 취약점 기반의 탐지가 불가능했기 때문에 ‘로그4j’는 매우 위협적이었다.

부산은행은 이를 해결하기위해 해커가 직접 공격이 가능한 DMZ 구간에 운용중인 자산을 대상으로 CVE코드 취약점 전수검사를 긴급히 수행하고, 식별되지 않은 자산부터 파악해 통합보안관제 체계에 이 절차를 포함해 더욱 안전한 모니터링 및 분석을 할 수 있었다.

또 그보다 앞서 2020년 10월에는 러시아해킹 그룹 팬시베어가 부산은행을 공격했다. 당시 최대 70GB 규모로 약 2시간15분간 지속해서 디도스 공격을 시도했다.

그러나 부산은행은 이러한 공격이 발생하기 이미 5개월전에 대역폭 스캔 공격이 3배 급증한 점을 파악했고, 이에 따라 디도스 공격에 대한 위험도 증가로 금융보안원과 디도스 공격 모의훈련 실시와 클라우드 디도스 대피소를 신속히 적용해 대응할 수 있었다.

부산은행이 이처럼 중대한 보안위협에 효과적으로 대응할 수 있었던 배경은 사이버 공간에서 발생하는 위험들을 실시간으로 식별하고, 적절히 대응하기위한 위험평가를 위한 ETIR 모델을 자체 개발해 적극적으로 적용한 결과다.

이는 부산은행 정보보호부가 올해 9월 출간한 <정보보호 통합관제를 성공적으로 구현하다>에서 나오는 내용이다.

부산은행은 통합보안관제시스템(SIEM)과 위험관리시스템을 하나의 프로세스로 연계함으로써. 자산에 피해를 주는 위험을 비즈니스 관점에서 정량적 위험 지표로 파악하고, 그곳에 집중적으로 보안 역량을 집중시키고 있다는 점을 강조하고 있다.

부산은행이 자체 개발한 ‘ETIR’모델은‘이벤트(Event)-티켓(Tickt)-실제발생한 위협(Incident)-위험(Risk)’의 이니셜이다. 빅데이터 기술을 활용해 로그를 수집하고, 수집된 로그를 각 단계별(E-T-I-R)로 분석함으로써 정량화된 위험관리 및 대응 체계로 정의된다.

◆“모든 보안 위협에 다 대응할 필요는 없다” 부산은행의 효율적 보안 전략

은행, 증권, 보험사 등 금융업종별로 각종 운용·시장·신용리스크에 직면하고 있다. 이같은 리스크를 수치화해 BIS(은행), NCR(증권), RBC(보험) 등으로 관리하고 있다.

만약 이런 관점에서 금융회사가 직면하는 ‘IT 보안’ 리스크도 이처럼 수치화해 정량화하여 관리할 수 있다면, 적은 보안운용 인력으로도 보다 효율적인 대응을 할 수 있을 것이란 기대를 할 수 있다.

일반적으로 고객데이터 등 금융회사의 정보자산 가치가 높을수록 악의적인 해커의 공격 대상이 될 가능성이 크다.

이에 따라 부산은행은 정보보호 위험관리 대상을 3개 영역(자산가치, 자산취약점, 외부위협)으로 세분화하고, 각 영역을 종합해 정량화된 수치로 실시간 평가 및 관리돼야한다는 점을 중시했다.

즉, 부산은행은 모든 위협에 다 대응하느라 조직의 역량과 에너지를 소비하는 것이 아니라 실질적으로 은행에 타격에 미칠 수 있는 ‘중대한 위협’을 우선적으로 파악하고, 대응의 우선 순위로 대응함으로써 효과적이고 효율적인 보안대응 체계를 갖추게됐다는 설명이다.

현재 이같은 정량화된 위험평가 지표에 따라. 부산은행은 ‘수용 가능한 위험수준’(DOA)를 설정해 내재위험을 관리하고 있다. 만약 DOA보다 높은 위험이면 실질적인 대응력이 실행되는 구조다. 실질적인 위협에 미달할 것으로 분석되는 위험은 수용한다.

부산은행은 이처럼 자산 취약점 위협에 대한 내재 위험을 감소시킴으로써 잔존 위험을 최소화하는 것이 위험관리의 핵심으로 보았다. 이는 부산은행의 보안 전략의 설계와 보안솔루션 도입에 매우 중요한 지표로 활용됐다.

국내 금융회사들이 적은 보안 운영 인력과 한정된 예산만으로, 과거와 비교할 수 없을 만큼 커지고 있는 보안위협에 맞서고 있는데, 부산은행이 제시하고 있는 ETIR 모델은 이러한 CISO 조직이 직면하고 있는 현실적인 어려움을 극복할 수 있는 해법으로 높게 평가된다.

◆부산은행, 왜 ‘ETIR’을 자체 개발했나…위험지표의 정량화

부산은행에 따르면, 앞서 2016년~2019년 적은 보안 운용 인력 및 높은 시스템 구축 비용을 고려해, 이미 구축된 SIEM 시스템 고도화 및 워크플로우 기반 위험 관리를 위해 자체적으로 ETIR 위험평가 모델을 설계했다.

ETIR 위험평가 모델은 사이버 위협의 대응 자동화를 위해 정보보호 위험관리의 일부인 위험평가 프로세스를 활용했다.

이에따라 SIEM 환경에서 정량적 사고탐지가 가능하게 됐고, 2019년 이후에는 ETIR 모델 기반 통합보안관제 체계를 활용해 다양한 위협에 대응할 수 있었다, 이를 통해 부산은행의 각종 업무시스템 등 정보 자산에 대한 위험을 효율적으로 관리할 수 있게 된 것이다.

부산은행은 “종전의 위험관리 대상 자산 식별에서는 자산정보 최신화과정이 생략됐고, 제대로 된 자산가치 평가기준없이 인터뷰만으로 점수화했다. 또 위협 탐지나 취약점 탐지 활동이 위험목록 작성에 제대로 반영되지 않아 일부 표본에 의한 작성만 진행됨에 따라 위험관리 활동이 보안정책 결정에 도움이 될 수 없었다”는 문제점을 인식했다.

부산은행은 이를 해결하기위해 관리가 어려운 보안자산 및 직원 유형 등 금융기업의 특성을 고려한 ISO 27005 기준 보안관제를 위한 상황정보(Context)를 구성했다.

또 이를 통해 다양한 소스에서 발생한 정보를 통합하고, 상황 관점에 따른 상호 연관성 분석을 통해 상황인식 보안을 구현했다.

참고로, 은행의 각종 정보자산이 보안 위협 및 위험에 노출됐을 때 그에 대한 자산가치 및 영향도를 작성하게 되는데 대부분 기관이 명확한 통계 데이터의 부족으로 주관적인 판단에 따라 설정한다.

이처럼 정보보호 평가에 대한 객관화가 부족하게되면 실시간으로 변화하는 위험에 대응할 수 없게된다. 이러한 문제점을 해결하기위해선 중요한 변수들을 객관화하고, 실시간으로 계산하도록 설계하는 것이 필요하다.

관련하여 부산은행은 취약점과 위협간의 연결성을 수립해 실시간 자동화가 가능한 위험 분석 체계를 구축했고, 이를 통해 표준화된 취약성 및 공격 패턴 식별 방법과 상황정보 기술을 응용하면서 발생하는 사고에 대한 탐지 정확도를 높일 수 있었다고 밝혔다.

이처럼 최종적으로 부산은행은 구축된 ETIR 모델을 활용해 실시간 처리 및 자동화가 가능한 ‘APT 공격단계 탐지, PC취약점 관리 체계’ 등을 구현했다.

그리고 현재 이는 부산은행의 정보보호 위험관리를 위한 핵심 워크플로우가 되고 있다.