[CIOCISO매거진=홍상수 기자] CIOCISO매거진과 토크아이티가, 지난 9월 4일 금융서비스의 개인정보 보호 및 온라인 사기방지 동향과 금융 산업 보안 이슈와 대안을 짚어보는 2차 프리미엄 웨비나를 개최했다. 350여명 금융권 IT 관계자가 접속해 성황을 이뤘다.

이날 고우성 토크아이티 PD 진행으로 3개의 세션으로 진행됐다. 세션1에서는 서동필 NH농협은행 정보보호기획팀장이 ‘NH농협은행의 개인정보보호 이야기'를, 세션2에서는 이진원 F5네트웍스코리아 부장이 ‘간편한 금융서비스환경에서의 개인정보 보호와 정상사용자경험 향상 방안’을, 세션3에서는 조남용 RSA 이사가 ‘비대면 시대 온라인 금융사기 예방 대책’을 주제로 각각 발표했다. 발표 후에는 접속자들의 활발한 질의와 이벤트 추첨도 이어졌다.

 

 

서동필 NH농협은행 정보보호기획팀장

“보안은 사람이 중심이다”

서동필 팀장은 서두에 최근 비대면 금융서비스에 대한 고객의 니즈가 커졌다며 ‘금융은 신뢰를 기반’으로 하는 만큼 정보 보호가 더욱 중요해졌다고 강조했다. 

서 팀장은 보안은, 보안 솔루션을 베이스로 하지 않는다며 솔루션을 승인하는 사람의 행동을 관찰하여 솔루션 뒷단의 안전, 즉 사람 중심의 보안을 잘 짜야 한다고 말했다. 현재 NH농협은행은 ‘사람 중심의 보안’이라는 방향을 가지고 직원들의 인식 제고를 위해 실무사례를 중심으로 고객과 임직원들이 받는 피해 사례를 영상, 이미지, 웹툰으로 제작해 직무별 맞춤형으로 교육하고 있다. 

서 팀장은 ‘보안 문화의 내재화’를 위해 “개인정보보호 프레임워크를 설계하고 빅데이터 플랫폼 기반 오남용을 정교하게 모니터링한다. 분석 결과를 사무소 현장점검 연계하여 교육 효과를 높이고, 담당 업무별 차별화된 사례 중심으로 보안 교육을 진행한다. 상관분석, 시계열분석 등 교육 효과를 분석하고 임직원의 인식변화를 측정해 정책에 반영하는 선순환을 실시하고 있다”고 말했다.

 

 

이진원 F5네트웍스코리아 부장

“사용자 환경과 행위를 분석해 악의적 사용자 정확히 식별해야”

PC를 이용한 금융서비스 이용 고객 수는 점차 줄고 있는데 전체 서비스 트래픽은 오히려 증가하거나. 뭔가 의심되는 트래픽이 있지만 그 정보를 확인하는데 절차가 너무 복잡한 경우가 있다. 고객의 정보를 가지고 금전적 이익을 노리는 자동화 공격을 막기 위해 정상적 트래픽과 악의적 트래픽을 구분해야 한다. 

이진원 부장은 “먼저 사용자의 환경과 행위를 정확히 분석해야 한다”며 “F5네트웍스코리아의 ‘Shape’는 사용자 마우스의 행동 및 클릭 패턴을 분석해 악의적 사용자를 찾아내어 차단한다”고 말했다. 

Shape의 PoC 에서는 보호하고자 하는 애플리케이션만 연동할 수 있다. Java Script를 이용한 Telemetry 정보를 수집해 마우스 클릭과 드래그드롭 방식의 필터링을 제공하여 간편하게 모니터링 할 수 있다. 또한 UUID(Universal User ID) 토큰 기반으로 정상 사용자와 공격 트래픽 구분하며 HFP & BFP 정보로 자동화 트래픽 유형을 분석한다. 

이 부장은 “Shape는 정확한 방식으로 악의적 사용자를 식별한다. 특정인, 특정 통신사별로도 확인할 수 있다. 해킹은 취약점을 찾지만 Shape는 사용자가 정상인지 아닌지를 구분해 차단한다”고 강조했다.

 

 

조남용 RSA 이사

“온라인 금융사기 발원지 다크웹 폐쇄까지”

코로나19로 인해 비대면 금융서비스가 늘면서 온라인 사기도 급증하고 있다. 조남용 이사는 “RSA의 통계 결과 올해 1분기 동안 50,119건의 온라인 사기 공격 중 27,054건이 피싱 공격이었다”고 말했다. 피싱 공격 즉 온라인 금융사기 예방을 위한 선제적 탐지와 대응력이 중요한 시점이다. 

RSA의 온라인 사기방지 솔루션 ‘FraudAction 360’은 ‘탐지& 검증-> 차단-> 문서화&보고-> 포렌식&분석-> 패쇄-> 산출물 제공’의 6단계로 운용된다. 

피싱, 악성코드, 악성 앱 공격 등을 사전에 탐지하고 Microsoft, Google 등 다양한 주요 인터넷 업체와 협력해 브라우저, 스팸 필터, 네트워크 게이트웨이 등에서 차단한다. 

즉각적 조치 이후에는, 분석가가 면밀한 포랜식 수행해 피싱 도구 및 악성코드 분석한다. 그리고 CERT, ISP, 웹 호스트, 소셜 미디어 플랫폼 등 전 세계 수천 개의 인터넷 기관과 문제 사이트를 아예 폐쇄해버린다. 여기까지 걸리는 시간은 평균 5시간 내외다. 

조 이사는 “RSA는 업계에서 가장 빠르게 문제 사이트를 폐쇄해버린다. 폐쇄 조치 이후에는, 지속적인 공격행위를 모니터링 하여 다시 시작되는 공격도 끝까지 탐지한다. 사용자에게 악성IP, 운반책 과 대리인, 유출된 카드정보 및 계정정보도 제공한다”고 말했다.