BNK부산은행(이하 부산은행)은 지난 2017년부터 3년 간 ‘보안을 혁신적으로 재설계한다(REDesign SECurity)’는 슬로건을 내걸고 독자적인 정보보호 통합 플랫폼을 구축, 고도화하는 작업을 꾸준히 해왔다.

빅데이터 기반 통합 보안관제플랫폼과 정보보호 포털을 구축해 효율적인 정보보호 통합 플랫폼 운영환경을 마련했고, 위험관리시스템까지 연계하는 사업까지 마치고 올해 본격 가동을 시작했다.

그 과정에서 부산은행 정보보호부는 ETIR(Event·Ticket·Incident·Risk) 기반 위험평가 모델을 자체 설계했다. 궁극적인 목표는 사이버 위협 탐지부터 대응까지의 전 과정을 자동화하는 것, 즉 SOAR(SOA·SIR·TIR) 구현이다.

부산은행은 이같은 독자적인 정보보호 통합 플랫폼 개발·구축 경험을 논문과 책으로 발간해 금융보안 고도화 및 혁신사례를 전파하고 있다.

<지난 7일 금융보안콘퍼런스(FISCON 2019)에서 가진 금융보안원 공모전 시상식에서 논문 공동 저자인 BNK부산은행 우성훈 차장, 김민준 대리, 빅민규 대리, 정채덕 SK인포섹 수석, 박준욱 SK인포섹 선임이 최우수상인 금융감독원장상을 받았다.>

지난해 금융보안원이 진행한 금융 정보보호 및 금융 빅데이터 활용 아이디어 공모전에서 ‘빅데이터 시각화분석 기술을 적용한 정보보호 통합플랫폼 구축 사례’ 논문으로 금융보안 우수사례 부문 최우수상을 받았다.

올해에도 ‘ETIR 모델 기반 SOAR 금융보안관제 설계 및 구축’ 논문으로 금융보안원 주관 ‘2019년 디지털 금융혁신과 금융보안 공모전’에서 최우수상을 수상했다. 이 논문은 부산은행 정보보호부 우성훈 차장, 김민준 대리, 박민규 대리와 부산은행 보안관제서비스를 담당하고 있는 SK인포섹의 정채덕 EQST 전략해킹팀 수석(차장), 박준욱 SK인포섹 관제담당 선임이 함께 작성했다.

뿐만 아니라 부산은행은 정보보호부 주관으로 지난 11일 은행 연수원에서 정보보호시스템 기술지원 협력사 30곳을 초청해 ‘정보보호 엔지니어 데이’를 열고, 정보보호 통합관제 혁신적 재설계, ETIR 모델 기반 SOAR 금융보안관제 설계·구축, 2019년 추진내용과 2020년 계획사업을 공유하고 서로 소통하는 자리를 가졌다. 이 자리에는 민영남 BNK 부산은행, 경남은행 최고정보보호책임자(CISO)도 함께했다.

은행 차원에서 협력사 엔지니어를 초청해 이같은 자리를 여는 것은 이례적으로, 부산은행은 올해로 3년째 정보보호 엔지니어 데이를 개최하고 있다.

<BNK부산은행 정보보호부는 정보보호시스템 기술지원 협력사 300곳을 초청해 ‘정보보호 엔지니어 데이’를 열고, 정보보호 통합관제를 혁신적으로 재설계하기 위해 추진해온 주요 내용과 2020년 사업 계획을 공유하고 서로 소통하는 자리를 가졌다.>

ETIR 모델 기반 SOAR 보안관제시스템 구축 

부산은행은 사이버공격이 고도로 진화하면서 다양한 보안 시스템을 구축, 운영하고 있지만 부족한 인력과 비효율적인 시스템 운영으로 인한 보안 운영과 대응 한계를 극복하기 위해 보안관제를 재설계하기 위한 통합 플랫폼 구축을 추진해 왔다.

그 핵심이 되는 ETIR은 보안관제 환경에서 위험을 식별하고 진단, 해결하는 일련의 과정에서 일관되고 자동화된 프로세스를 통해 위협요소를 통합적이고 체계적으로 파악하기 위한 위험평가 모델이다.

▲자산과 보안 솔루션에서 발생하는 수많은 ‘이벤트(event)’를 바탕으로 위험을 식별한 뒤 ▲보안관제시스템(SIEM)에서 설정된 룰에 의해 탐지돼 관제팀에서 분석해야 하는 이벤트인 ‘티켓(Ticket)’으로 분류해 소명 처리, 대응하고 ▲실제로 사고가 발생할 수 있는 위협을 인시던트(Incident)로 구분해 ▲이 가운데 식별된 위협을 평가해 비즈니스 관점에서 피해를 줄 수 있는 ‘위험(Risk)’을 정량적으로 측정한다.

수많은 이벤트가 발생하는 과정에서 피해를 줄 수 있는 위협을 빠르고 정확하게 골라내 대응하는 것이 쉽지 않은 상황에서 이같은 한계를 탈피하기 위해 부산은행은 ETIR 프로세스에 SOAR를 적용하고 있다. SOAR는 ‘보안 오케스트레이션 및 자동화(SOA)’와 ‘보안사고 대응 플랫폼(SIR)’, ‘위협 인텔리전스 플랫폼(TIR)’의 결합을 뜻한다.

<BNK부산은행이 자체 설계한 ETIR 모델 기반의 통합 보안관제시스템과 정보보호 위험관리시스템이 구현된 정보보호 통합 플랫폼>

정채덕 SK인포섹 차장은 “수많은 이벤트로 인해 발생되는 티켓 수는 어마어마하다. 보안관제 요원들은 이 과정에서 매우 단조롭고 반복적인 작업을 하고 있는데, 이 프로세스를 자동화해 전체 대응 프로세스를 효율적으로 진행할 수 있도록 ETIR의 각 영역에서 SOAR를 맵핑했다”고 설명했다.

정 차장은 “SOA는 전체 대응프로세스를 자동화하기 위해 다양한 이기종 솔루션을 연동해 효율화하고, SIR는 SIEM에서 탐지된 위협, 특히 보안사고 유형별 대응 절차인 플레이북을 관리하는 시스템이다. TIR는 위협 데이터를 실시간 수집, 상관분석해 최적의 액션(Action)을 제시한다”라면서 “ETIR의 위협 식별, 위험 분석, 위험수준 평가 절차에 SOAR의 탐지, 선별 검사와 대응, 우선순위화 단계로 업무절차를 진행하고 있다”고 덧붙였다.

현재 부산은행은 이디엄, RSA, SK인포섹, 클릭테크 등이 제공하는 빅데이터 분석·위협 인텔리전스·위험관리 시스템을 기반으로 ETIR 모델을 구성하는 각 영역에 부합한 SOAR 보안관제시스템을 구현, 통합 정보보호 플랫폼의 핵심 요소로 활용하고 있다.

이같은 ETIR 모델은 국제표준 정보보호관리체계(정보보호경영시스템)인 ISO27001, 정보보호 위험관리 ISO 27005, 위험관리 ISO 31000이 제시하는 위험관리 방법론과 위험평가 및 위험대응 요구사항을 만족하고 있다.

그 이유로 김민준 부산은행 정보보호부 대리는 “기업 내에서 정보와 정보자산 가치가 크게 증가하면서 위험관리 필요성이 점점 커지고 있다. 정보보호 전략과 정보보호 기술도 각각 표준화된 정책과 모델로 위험관리를 수행해야 한다”고 지적하면서 “위험관리 기준이 있으면 정보보호 기술 영역에서 침해사고 대응과 모의해킹, 보안관제가 각각 따로 움직이는 것이 아니라 각각의 활동을 엮을 수 있다”고 ETIR 프로세스에 표준화 모델을 반영한 배경을 제시했다.

이어 김 대리는 “ETIR은 모델은 SIEM 환경에 위험 식별과 위험분석, 위험수준 평가 단계를 녹여내 결과적으로 경영진이 확인할 수 있는 비즈니스 측면의 금전적 손해, 내부 신뢰, 평판 위험, 법규제 위반과 같은 위험도를 산출해 보여줄 수 있다. 이는 효과적인 의사결정을 이끌어 내는 데 기여할 수 있을 것”이라고 강조했다.

비즈니스 위험 도출 목표 달성 위해 지속 투자

김 대리는 현재까지의 성과로 “더디지만 방향성을 갖는 정보보호 관제시스템으로 성장한 것”을 꼽으면서 “위험평가 관리 관점에서 모델을 설계한 것이 큰 의미가 있다. 불필요한 티켓은 과감히 없애고 의미 있는 티켓을 추출하기 위한 구조를 설계해 보안담당자의 업무집중도를 높일 수 있는 환경을 마련했다. 앞으로 더욱 많은 이벤트를 얻기 위한 자산 식별, 상황정보, 표준 취약점(CVE)과 공격코드 연구를 활용, 강화하고 비즈니스 측면의 위험을 표현할 수 있도록 시도해나갈 것”이라고 밝혔다.

부산은행은 위험평가 기반의 보안관제, 정보보호 통합 플랫폼을 구축해 전사 가시성을 확보하고 일관된 대응체계를 운영할 수 있게 됐다. 침해 대응부터 내부통제, 이상거래 탐지, 개인정보보호, 기획, 교육, 컴플라이언스 대응까지 수행하고 있다.

이 과정에서 45개 정보보호 단위업무와 160여대 개별 보안시스템을 통합 운영한다.

우성훈 부산은행 정보보호부 차장은 “지난 3년간 혁신적으로 보안을 재설계한다는 목표로 노력해온 결과 현재의 정보보호 통합 플랫폼을 구현했다. 그 결과 이상거래 탐지·대응, 침해대응, 내부통제, 통합위험관리, 개인정보보호, 보안기획, 컴플라이언스 대응 등 정보보호부의 직무 로드맵을 마련했다”라면서 “앞으로도 SOAR, 자동화 개념에 부합하는 플랫폼으로 발전시키기 위해 다양한 사업을 추진할 계획”이라고 말했다.

이와 관련 부산은행은 현재 차세대 침입방지시스템(NGIPS) 구축을 진행하고 있다. 노후화된 장비를 차세대 장비로 대체하면서 실시간 상황 인식 변화와 보안 인텔리전스를 자동으로 반영해 향상된 위협 대응을 수행할 수 있도록 활용할 계획이다. 우 차장은 “차세대 IPS가 구축되면 정보보호 통합 보안관제 플랫폼과 연동해 자산을 기반으로 오탐지율을 줄일 수 있을 것”이라고 기대했다.

비실행파일 악성코드 진단시스템 구축도 진행 중이다. 외부망과 내부망 사이 망연계된 구간에 리버싱 기술 기반의 악성파일 무해화(CDR) 기능이 있는 시스템으로 가상 실행환경 위협 분석 시스템(샌드박스)의 한계를 보완, 문서 취약점을 식별해 알려지지 않은 공격에 대응하겠다는 방침이다.

엔드포인트 위협 탐지·대응(EDR) 도입도 추진, 국내 보안 솔루션과 외산 솔루션을 검토하고 있다. 업무용 PC(엔드포인트) 환경에서 발생하는 이상징후를 탐지하기 위한 조치다. 위협정보 가시성을 확보해 SOAR를 더욱 강화하겠다는 취지이기도 하다.

내년에는 내부망 네트워크 위협 헌팅 플랫폼도 도입할 예정이다. 머신러닝 기술을 활용해 위협정보를 능동적으로 찾는 사업을 추진한다. 현재 통합 보안관제시스템에 머신러닝 기법 처리를 일부 적용하고 있긴 하지만 인공지능(AI) 기술을 어떠한 방식으로 확대 적용할지 방안을 고민하고 있다는 게 우 차장의 얘기다.

또 이기종 방화벽 정책관리 시스템도 추가해 SIEM과의 연동을 강화할 예정이다.

이밖에도 올해부터 추진해온 딥러닝 기반 보이스피싱 탐지 시스템, 정보보호 위험관리시스템 고도화, 침해사고 대응절차 자동화 시스템(SOAR) 등과 노후 시스템 교체 사업도 다양하게 진행한다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network

--------------------------------------------------
[무료 웨비나 안내] 팬데믹 시대, 중소기업 비대면 업무 혁신 솔루션
  • 일시 : 2020년 10월 28일 14시~15시
등록하러 가기
--------------------------------------------------
[스페셜리포트] 새롭게 부상하는 웹 애플리케이션 위협
  • 아카마이 악성 스크립트 차단 솔루션 리포트
다운로하러 가기