GITSN, INC

은행권 최초 SOAR 도입해 사이버 위협 자동 대응

망분리 무력화 논란 딛고 정보보호 거버넌스 격상

상암 이어 남양주 센터까지 무선 백도어 해킹 차단

우리금융그룹 전경. 사진=우리은행

디지털 금융 확산과 더불어 금융권에서 개인정보 유출, 전산 장애, 보이스피싱과 계좌 탈취 등 금융사고가 발생하면서 보안은 IT 부서의 영역이 아닌 금융사의 지배구조, 내부통제, 소비자 보호를 아우르는 필수 요소가 되고 있다. '은행권 보안 진단' 시리즈는 5대 시중은행을 중심으로 국내 은행권의 정보보안 대응 현황을 점검하고 각 은행이 조직과 시스템, 기술을 통해 보안 역량을 강화하고 있는지 살펴본다. 금융권이 공통으로 직면한 보안 리스크, 보안의 방향성을 짚어보겠다. <편집자 주>

◇망분리 무력화·금융사고 반복…우리은행, 보안 취약성 도마

국내 은행권이 디지털 전환을 가속화하는 가운데 전산 안정성과 정보보안 리스크가 핵심 경영 과제로 떠오른 상황에서 우리은행은 최근 몇 년간 보안 취약성 논란의 중심에 섰다.

우리은행은 지난해 12월 전자금융거래 안정성 확보 의무를 제대로 이행하지 못해 금융당국으로부터 5000만원의 과태료를 부과받았다. 

금융감독원은 우리은행이 지난 2021년 10월부터 12월까지 약 3개월 간 전산실 내부 단말기 444대에 대규모 외부인 인터넷 접속이 허용됐으며 외부 협력 직원이 고객 여신 정보가 담긴 전산 원장을 수차례 무단 변경한 사실을 적발했다.

금감원은 우리은행이 금융권 보안에서 기본 원칙으로 꼽히는 망분리 의무를 사실상 무력화했다고 판단했다. 

구체적인 유출 건수나 피해액은 당시 공개되지 않았다. 이 사고는 실무자와 중간관리자 책임에서 정리됐다. 이재명 대통령도 "사고가 나면 사과문은 나오는데 책임자는 보이지 않는다"고 지적한 바 있다. 

내부통제 논란도 이어졌다. 우리은행에서는 지난 2023년 3월부터 지난해 5월까지 외부인에 의해 담보권이 설정된 기계 설비가 임의 매각되는 방식의 금융사고가 네 차례 발생했다. 사고 금액은 총 24억2280만원이다.

이상금융거래(FDS) 미탐지에 따른 대출 사기가 주요 원인으로 지목됐다. 이상금융거래(FDS) 미탐지로 인한 대출 사기 등이 주요 원인으로 지적된다. 

◇'사고 이후' 체질 개선…보안 인프라 전면 재정비

대규모 개인정보 유출은 없었으나 우리은행은 신뢰 하락과 내부 혁신 요구를 받았다.

정진완 우리은행장은 "금융 사고로 실추된 은행 신뢰를 회복하기 위해 내부통제의 전면 혁신과 조직문화 재정비에 최우선 목표를 두겠다"고 밝혔다.  

우리은행은 보안 인프라 전반 개선 작업에 착수했다. 지난달 말 보안 위협 정보 점검 솔루션 도출 작업을 시작했으며 망분리 통제 고도화, 외주 인력 접근 최소화, 전산 변경 승인, 실행 검증의 분리 등 재발 방지 대책을 시행하고 있다. 

우리은행은 고객 정보보호와 사이버 보안 강화를 최우선 과제로 삼았다.

기술 인프라 고도화에선 빅데이터 기반 통합보안관제시스템(SIEM)에 은행권 최초 '사이버 보안 자동대응 체계(SOAR)'구축, 무선 백도어 해킹 탐지 시스템, AI 기반 이상거래탐지시스템(FDS) 고도화, 24시간 통합보안관제센터 용량 2배 확대 등을 추진하고 있다.

◇은행권 최초 SOAR 도입…'탐지'에서 '자동 대응'으로

우리은행은 지난 2021년 SOAR을 은행권 최초 도입했다.

SOAR는 대용량 보안 로그와 트래픽 정보를 실시간 분석해 보안시스템 운영 시 유입되는 사이버 위협 의심 정보를 자동 분류한다. 표준화된 업무 프로세스에 관리통제 효율성을 극대화, 지능화, 고도화되는 사이버 위협 대응 역량을 높여 나갈 것으로 우리은행은 기대하고 있다. 

우리은행은 기존 탐지 위주인 보안 체계를 사전과 사후 대응이 가능한 SOAR로 구축해 보안 관제 효율성을 높였다. 표준화된 업무 절차 '플레이북'을 통해 사고 유형별 최적 대응 프로세스로 보안 업무 환경을 구축해 내부 보안 역량을 높이는 중이다.

우리은행 관계자는 "최신 보안 기술 SOAR는 차세대 보안 핵심 요소로 우리은행 보안시스템을 한층 더 강화시켜 나갈 것"이라며 "사람, 기술, 프로세스가 표준화된 절차에 따라 하나로 운영돼 고도화된 보안 위협에 효율적인 대응이 가능해질 것"이라고 말했다.

정진완(앞줄 가운데)이 우리은행장 지난해 9월 23일 서울 중구 본점에서 모의 해킹 경진대회 수상자들과 기념사진을 촬영하고 있다. 사진=우리은행

◇무선 스파이칩까지 차단…신종 해킹 대응 범위 확대

또한 사고 발생 시 대응 매뉴얼을 정비하고 무선 백도어 해킹 방지 시스템을 전행으로 확대하는 등 기술적 보완도 병행하고 있다. 

우리은행은 지난 2023년 시중은행 최초 ’무선스파이칩 탐지‘ 기술을 상암데이터센터에 적용한 바 있다. 

무선스파이칩 통한 해킹은 무선 주파수 통신으로 목표 시스템에 원격 접속해 데이터를 훔치거나 시스템을 붕괴시키는 신종 해킹수법이다. 망분리 상태서도 해킹이 가능해 금융권 보안 취약점으로 제기됐다. 

우리은행은 무선스파이칩 탐지 기술로 비인가 주파수 신소를 실시간 검출하겠다는 계획이다. 이 기술을 상암데이터센터를 비롯해 남양주 제2 IT센터를 비롯한 전행에 적용해 나가기로 했다. 

◇CISO 중심 보안 거버넌스 강화

조직 측면에선 우리은행은 상무인 윤태진 정보보호최고책임자(CISO)가 이끄는 정보보호본부를 중심으로 정보보호부와 6개 팀을 운영하고 있다. 리스크 통제 전담 인력은 총 80명 규모다. 전산 아웃소싱 계열사인 우리FIS와 협업 체계를 구축해 보안 관리 범위를 넓혔다.

우리은행은 정보보안을 최고 경영 리스크로 격상하고 은행장 직보 및 이사회 보고 체계를 강화할 계획이다. 장기적으로는 제로트러스트(Zero Trust) 보안 모델로 전환해 사고 이후 대응이 아닌 사전 예방 중심의 보안 체계를 구축한다는 방침이다.

다만 과제로 외주 의존 축소, 망분리 통제의 실질적 완성, AI 기반 디지털 리스크 통합 관리 체계 정착 등이 거론된다. 

우리은행 관계자는 "각종 보안 인증 획득과 정보보호 체계 구축뿐 아니라 지속적인 기술 및 자 확대로 국내외 최고 수준 금융 보안 시스템을 갖출 것"이라고 했다.

출처 : 포인트데일리