중소 금융기관들 “돈과 신용을 지켜라”

Digital Security

중소 금융기관들 "돈과 신용을 지켜라"

온라인 뱅킹 침해 시도 계속 증가 … 시스코 '자가 방어 네트워크'로 철벽 보안

융기관 최고정보책임자(CIO)는 정보 보안 문제로 항상 골머리를 앓는다. 미국에서 가장 큰 연방 보증 신용 조합인 애리조나주 저축 신용 조합(Arizona State Savings and Credit Union) CIO 피터 시몬슨(Peter Simonsen)은 그 이유를 다음과 같이 설명한다. "금융 기관만이 자산을 0과 1로 전환하며 이를 하드 드라이브에 저장한다. 디지털 보안 문제가 경영진들의 최고 관심사로 떠오른 이유는 바로 이 점이다"

네트워크 보안 공격으로부터 위험한 상태에 놓인 건 비단 돈 뿐만이 아니다. 시스코 금융 서비스 시장 매니저인 런 올스런드(Rune Olslund)는 "가장 높은 단계의 보안이란 은행과 신용 조합이 가장 가치 있는 재산 즉, 거래 중인 주식을 포함해 고객의 신용을 지키려는 노력"이라고 말한다. 그는 이어 "만일 이러한 신용에 흠집이 난다면 은행은 실추된 명예를 회복하기 위해 힘든 시간을 보내게 될 것"이라고 덧붙였다.

다양한 환경 변수 작용
아래와 같은 다양한 요인들로 인해 금융 기관 IT 그룹의 우선 순위 상단에 정보 보안 문제가 어느 순간부터 등장하기 시작했다.

변화된 통제 환경
신중한 정보 보안과 리스크 관리 기술만 가지고서 최적의 환경을 유지하기에는 쉽지 않다. 금융기관들은 'Gramm-Leach Bliley법 데이터 보호' 규정, 'Sarbanes-Oxley' 결의, 바젤 II-운영 리스크, USA 패트리어트 결의를 포함한 다수의 보안 및 프라이버시 규정으로 관리되고 있다. "금융 기관은 지난 몇 년 간 별다른 실수 없이 보안과 프라이버시를 관리해 왔다는 점에서 신뢰할 만하다"고 폴 레이만(Paul Reymann)은 말한다. 그는 Gramm-Leach-Bliley법 데이터 보호 규정의 공동 저자이며, 금융, 의료, 소매업, 제조업 분야에서 뛰어난 전문가들로 이뤄진 조직인 레이만그룹(reymanngroup.com)의 CEO이다. 그에 따르면 "오늘날 표준을 준수하거나 규칙을 제정할 때의 많은 요구사항은 대부분 산업적으로 가장 성공을 거둔 것으로부터 진화했다. 이는 현재 일부 선두 조직을 따르기보다 모든 사람들이 요구하고 있기 때문이다"라고 설명한다.

인터넷 뱅킹 의존도 증가
얼마 전까지만 해도 네트워크 보안은 외부인의 출입을 막는 것이 우선이었다. "현재 금융 기관은 인터넷 뱅킹과 온라인 결제, 전자 영수증을 포함해 방화벽이 깔린 상태에서 고객들의 출입을 허락하는 수많은 셀프 서비스 상품을 내놓고 있다. 전자 전송 채널(electronic delivery channels)은 시장에서 지속되어야 한다. 덕분에 디지털 보안은 금융기관 CIO들에게 있어 최우선 과제가 되고 있는 것"이라고 시몬슨은 말한다.

악명높은 보안 침해
최근 악명높은 프라이버시 침해는 정보 보안 분야에서 많은 사람들의 관심 대상이다. "우리 회원들은 아이디 도용방지(Identity theft)에 관심이 많다. 우리는 회원 정보를 보호하기 위해 모든 노력을 쏟아 붓고 있다. 신뢰를 얻지 못한다면, 회원들은 다른 곳으로 떠날 것"이라고 마운틴 아메리카 신용 조합(Mountain America Credit Union) 기술 부문 부사장인 레이 커시(Ray Carsey)는 말한다.

중역들의 높아진 관심
"몇 년 전까지만 해도 금융 기관 회의에서 중역들은 보안 문제를 다룰 때면 기술 담당 직원에게 알아서 하라고 지시하곤 했다"고 올스런드(Olslund)는 말한다. 현재 중역들은 보안 문제에 있어 보다 적극적이다. 보안과 프라이버시 통제 문제에 있어 보다 많은 책임감을 느끼고 있기 때문이다.

국가 보안과 금융 기관 역할
시몬슨에 따르면, 미국 정부는 대참사 시나리오 발생 시 삶의 방식을 지속시키기에 중요한 8가지 중요 산업(vertical industries) 중 하나가 금융 기관이라는 사실을 인식하고 있다. "돈을 구할 곳이 없다고 상상해보라. 그러므로 보안에 신경을 쓰는 것이 가장 중요하다"고 시몬슨은 말한다.

심층 방어 금융기관은 보안 연결, 위협 방어, 신용과 인증관리 서비스가 통합된 기술 인프라를 통해 리스크를 적극적으로 관리할 수 있다.
 


"표준을 지켜라"
새로운 요구 사항을 만족시키기 위해 금융 기관 IT 그룹은 다음과 같은 정보 보안 도전에 직면하게 된다.

Gramm-Leach Bliley 데이터 프라이버시 규정의 목표 즉, 잘 알려지지 않은 사용자 개인 정보의 안전을 극비로 지키는 문제

대내외적 위협에 맞선 금융 기관 관리, 기술, 물리적 보호 조항

바이러스, 웜, DDoS(Distributed Denial-of-Service) 공격으로부터 방어. "DDoS와 해커 공격이 점점 중소 금융 기관을 겨냥하고 있다. 점점 많은 고객들이 온라인을 이용해 금융 거래를 하고 있기 때문이다"고 시스코 금융 서비스 기업 매니저인 마이클 페인(Michael Payne)은 말한다.

기술, 사람, 프로세스 문제에 관한 심층적인 디지털 보안 방어 실시. 시몬슨은 "예방하고 보호하고 실행해본 다음 잠재적인 외부 공격으로부터 성공적으로 복구시킬 능력을 갖출 것"이라고 강조한다.

지속적인 리스크 기반 정보 보안 정책 수립. 리스크를 관리하는 전통적인 프로젝트 기반 접근방식과 대조되는 내용이다. "인프라는 꾸준하게 리스크를 관리하고 감시해야하며, 기술은 뒤에서 쫓아오기 보다는 앞장서 나가야 한다"고 레이만은 말한다.

표준 보안 준수

1990년대 말, 여러 가지 침입 환경에 관한 기나긴 논의가 이어져 왔다. 논의가 끝나기도 전 위협은 변화되고 있다. 따라서 우리는 오늘날 우리가 알고 있는 리스크에 관한 규칙을 다시 쓰기로 결정했다. 검증되지 않은 패키지 솔루션을 구매하기 보다는 내실 있는 솔루션을 찾는 과정을 통하는 것이 금융기관에 적절한 환경을 구현시킬 수 있다는 점에서다. 오늘날, 이 규칙은 변화하는 환경과 보조를 맞추고 있다. FFIEC(Federal Financial Institutions Examination Council)의 새로운 지침에 근거해 보충했기 때문이다.

통제에 관한 공통 요소들은 고객의 개인 정보를 보호하고, 지속적인 리스크를 관리하며, 감시와 감사(auditing), 조정(adjusting)을 실행하는 것이다.

폴 레이만, 레이만그룹 CEO


대안은 "자가 방어 네트워크"
시스코는 규정을 준수하는 것이 금융 기관 고객들에게 있어 중요한 비즈니스 사안이라는 사실을 잘 알고 있다. 시스코 자가 방어 네트워크의 접근방식은 네트워크 침입 방어 시에 생겨나는 보안과 통제 위협을 극복할 만한 기능을 금융 기관들에게 제공한다.

자가 방어 네트워크의 전제조건은 보다 많은 위협, 향상된 네트워크, 규제와 함께 보안을 위협하는 사안에 대해 수동적인 접근 방식에 더 이상 의존할 수 없다는 사실이다. 대신 표준 준수와 위험에 보다 적극적으로 대처하는 방식이 요구된다. "새로운 위협은 '수동 모드'로는 대처할 수 없을 만큼 빠른 속도와 양으로 나타나고 있다. 금융 기관은 적극적인 태도를 취해야 하고, 이로 인해 많은 사람들이 신뢰하고 있는 장비 공급업체뿐만 아니라 파트너로부터 도움이 필요하다는 사실을 알게 됐다"고 레이만은 말한다.


자가 방어 네트워크 전략
은행의 요구 전략 시스코 기술
보안 접속
비밀 데이터와 보이스 보호 전송 보안 VPN 기반 IPSec과 SSL
위협 방어    
외부 침입 감지와 예방




네트워크 에지 방어




통합된 라우터 보안
방화벽
IDS
IPS
자동보호
내부 침입 보호




내부 보안




보안이 통합된 시스코 카탈리스트 스위치
방화벽
IDS
컨텐트 엔진들
감염에 따른 호스트 보호 엔드포인트 보호 시스코 시큐리티 에이전트
신용과 인증 관리    
개별적이고 디바이스를 통한 네트워크 액세스 통제




엑세스 정책에 위배되는 사용자와 디바이스 검증




스코 아이덴티기반 네트워킹 시스템(IBNS)
시스코 시큐어 액세스 컨트롤 서버(ACS)
시스코 네트워크 액세스 컨트롤(NAC)


통합 보안 필요
자가 방어 네트워크가 발달하려면 기술, 프로세스, 사람들에게 관심을 가질 필요가 있다. 시스코는 보안 접속, 위협 방어, 신용과 ID 관리용 통합 솔루션을 가진 기술 인프라를 제공하고 있다.

개별적인 보안 솔루션과는 달리 시스코 자가 방어 네트워크는 네트워크 전역의 복합 레이어 상에 장착돼 있는 통합 보안에 의존하고 있다. "오래된 패러다임에서 침입 감지 시스템은 있어서는 안 되는 트래픽을 탐지한다 해도 사람의 손이 가야 마무리되기 마련이다. 시스코 솔루션은 통합돼 있기 때문에 구성 장비들끼리 상호 소통을 통해 보다 빠르고 효율적으로 움직일 수 있다"라고 올스런드는 말한다. 보다 철저한 방어가 문제라는 얘기이다.

"네트워크는 포인트 솔루션이나 추가 보안이 아닌 통합 보안 시스템측면에서 디자인돼야 한다. 또 철저한 방어는 종합적으로 전개돼야 하나의 시스템으로 통합된다 해도 나머지 사업에 영향을 미치지 않는다"고 시몬슨은 말한다.

적절한 사례 : 마운틴 아메리카 신용 조합은 시스코웍스 VPN/시스코 관리 솔루션(VMS)과 시스코 위협 반응 기술을 대내외적 시스코 IDS 센서와 통합하고 있다.

"시스코 IDS 센서는 시스코웍스 VMS 관리 콘솔 측에 침입 시도를 보고하고, 이는 즉각 직원에게 전달된다. 시스코 VMS 콘솔과 통합된 시스코 위협 반응(Threat response)은 IDS 경고음을 조회한다. 이로써 수백 개의 IP 주소 관련 메시지를 받는 번거로움 대신 '공격을 개시한 게 바로 이 사람'이라는 하나의 메시지만 받는 것"이라고 컬시는 말한다. 컬시는 저/중/고로 인지된 공격을 자동적으로 중단시키기 위해 시스코 IDS를 배치해왔다. 그에 따르면 "시스코 IDS 센서나 시스코 PIX 방화벽을 사용하면서 침입자를 격리시킬 수 있다. 나중에 너무 지나친건 아닐까 하는 생각이 들지만 우리가 고객과 사업을 보호했다는데서 의의를 찾는다"고 설명했다.

마운틴 아메리카는 중요한 서버에 설치된 시스코 보안 에이전트를 포함해 부가 보안 레이어도 갖추고 있다. "가장 바깥 레이어 상에 다양한 공격을 방어하는 외부 네트워크 IDS 센서가 있다. 가장 안쪽 레이어에는 시스코 보안 에이전트가 웹이나 SQL 서버를 목표로 한 특정 공격을 방어한다"고 컬시는 설명한다.

개별적인 솔루션과 비교해 통합 보안의 중요성을 알 수 있는 또 다른 사례는 직원이 바이러스와 스파이웨어로 감염된 노트북을 집에서 가지고 올 경우 직장에서도 그 여파가 있다는 점이다. 그가 연결을 시도할 때, 노트북에 깔린 시스코 트러스트 에이전트는 시스코 네트워크 액세스 컨트롤쪽과 연학해서 패치와 시그니처가 제공되는 치료 서비스를 노트북에 곧바로 전달한다. 그 결과 회사 네트워크는 두 가지 시스코 솔루션과 제 3의 서비스를 통합시켜 감염을 적극적으로 피할 수 있게 된다.


"중복 투자 줄여야..."
중소 금융 기관은 특별히 네트워크 보안 비용을 효율적으로 처리해야 한다. 그 중 한 가지 방법은 다중 규정 조건을 만족시키는 솔루션에 투자하는 일이다. "대부분의 규정은 다른 점들을 염두에 두고 작성되지 않는다. 그러므로 소규모 은행과 신용 조합들은 아주 많은 규제 사항을 이행하면서도 중복 영역을 줄이기 위해 고군분투 중이다"고 올스번드는 말한다.

시스코는 은행과 신용 조합 측에 다중 규정에 공통적인 리스크 관리 요소를 확인하고 처리하는 데 도움을 준다. "시스코는 표준 규정을 준수하는데 전혀 무리가 없게 돕는다. 예를 들어, 금융 기관이 보안 음성 통화나 이메일 서비스와 관련해 규제를 받는다면, 우리는 요구 사항을 처리하기 위한 방법의 일환으로 VPN을 통한 암호화 트래픽을 제안할 지도 모른다"고 시스코 금융 서비스 부문 미국 지역 마케팅 매니저인 짐 브라이트가 말한다.

브라이트에 따르면, 시스코 자가 방어 네트워크로 인해 금융 기관은 정보와 음성 트래픽에 따른 위험성을 보다 처리하기 쉬운 환경에서 관리할 수 있게 된다. "뿐만 아니라 표준 준수의 검토를 규정 기관에 올리는데도 용이해진다"고 브라이트는 말한다.

자가 방어 네트워크는 소규모 은행과 신용 조합의 비용 절감 노력을 함께 한다. 직원을 더 보충할 필요를 없애면서 매뉴얼 보안 프로세스를 자동으로 작동시키기 때문이다. "자가 방어 네트워크가 없을 때는 방화벽 로그와 센서 경고음을 관리하기 위해 풀타임 인력 한 명이 필요했다. 시스코 VMS 콘솔에 위협 방어 시스템을 도입하자 그럴 필요성이 없어졌다. 시스코 IDS 센서가 특정 호스트에서 공격을 감지하면 호스트 관리 시스템 버전과 보안 패치를 체크한다. 호스트가 공격받게 되면 시스템이 다 알아서 처리해주므로 할 일이 줄었다"고 컬시는 말한다.


믿을만한 파트너 제휴
자가 방어 네트워크 보안 사용자는 규제 요구 사항을 신뢰하고 그에 만족하도록 도울 뿐 아니라, 경쟁력 있는 장점을 만들어낼 수도 있다. 서비스 지속성을 확보하는 것이 하나의 방법이다. "길거리에 있는 은행용 ATM이 보안 침입 사태로 다운됐다고 하자. 이때 빨리 손을 써서 고쳐 놓으면 은행 측은 새로운 고객을 확보할 수 있게 된다"고 올스런드는 말한다.

보안 네트워크 덕택에 금융 기관은 새롭고 경쟁력 있는 서비스를 제공할 수 있게 된다. 예를 들어 보안 무선 네트워크와 함께 금융 기관은 무선 관리 서비스로 고객 서비스를 개선시킬 수 있다. 태블릿 PC와 무선 프린터를 보유한 은행 창구 직원은 고객들에게 현금 입출금 이외의 다양한 서비스를 제공할 수 있어 서비스가 더욱 향상된다.

자가 방어 네트워크는 보안 네트워크 액세스를 자택근무자들에게 제공하면서 관리 비용도 줄여준다. 마운틴 아메리카 신용조합은 액세스 컨트롤용 시스코 보안 액세스 컨트롤 서버를 사용한 후 재택 근무가 가능해지면서 컨텍 센터 비용을 절감했다.

시몬슨은 자가 방어 네트워크 상에서 기술 지원의 역할을 강조한다. "은행 같은 24x7 비즈니스에 있어, 필요할 때 지원해주는 사업 파트너와 제휴를 맺는 일이 중요하다. 시스코 스마트넷과 시스코 SASU(Software Application Support plus Upgrades)로 인해 우리는 최첨단 파일과 즉각적인 지원을 쉬지 않고 받을 수 있게 됐다. 시스코는 사태가 최악으로 가기 전에 미리 보안이 요구되는 위급한 상황을 잘 처리해준다. 고객의 성공을 보장하는 약속은 벤더와 사업 파트너를 잘 구분하는 것에서 시작된다"고 시몬슨은 강조했다.

추가자료
 
■ 금융 기관용 자가 방어 네트워크
   cisco.com/go/sdn_for_finance







Packet 지난 호 보기