[데이터넷] ‘동학개미혁명’이라는 신조어가 유행할 만큼 주식시장이 활황을 맞았다. 증권업계는 폭증하는 거래를 안정적으로 처리할 수 있는 시스템을 갖추면서, 한층 더 고도화된 공격에 대응하고 고객의 정보와 자산을 안전하게 보호할 수 있는 방안을 마련하기에 분주하다. IT 전문 매거진 <네트워크타임즈>와 IT 전문 인터넷 언론 <데이터넷>, 그리고 IT 기업 인포시즈가 공동으로 진행하는 <금융 CISO를 만나다> 시리즈는 신영증권의 CIO와 CISO를 겸임하고 있는 원창선 상무와 대담을 통해 증권업계가 직면한 문제를 풀어갈 방안을 제안한다.<편집자>
주식 시장이 유례 없는 활황을 맞으면서 폭증하는 거래 요청을 안정적으로 처리하기 위해 증권업계는 시스템 증설을 했거나 증설을 검토하고 있다. 한편으로 증권업에 최적화된 클라우드 도입 사례를 참고해 자사 환경에 맞는 클라우드 도입 전략을 수립하려는 증권사들은 신영증권의 클라우드 도입과 운영 방법을 주의 깊게 살펴보고 있다. 신영증권은 증권업계에서 최초로 중요 업무까지 퍼블릭 클라우드로 전환을 진행중에 있다.
원창선 신영증권 상무는 “주식투자를 하는 사람들이 크게 늘어나면서 거래 요청이 폭증하고 있는데, 기존 IT 시스템으로는 이를 감당하지 못한다. 일례로, 최근 크게 이슈가 된 공모주 청약의 경우 평소보다 몇 배의 거래가 몰리는데 이에 효율적으로 대응하기 위해서는 클라우드가 효과적”이라고 밝혔다.
원창선 상무는 “신영증권은 증권사 중 가장 먼저 클라우드를 도입, 운영하고 확장하고 있으며, 중요업무까지 클라우드로 전환하고 있다. 금융기관이 클라우드로 전환하기위해서는 여러가지 제약사항이 있는데 금융사와 클라우드 업체의 해결하고자 하는 의지가 무엇보다도 중요하다”고 말했다.
이어 원 상무는 “클라우드 전환 시 반드시 고려해야 하는 사항이 보안이라는 점을 잊어서는 안된다. 보안이 전제된 클라우드만이 급변하는 금융 환경에서 신뢰받는 금융 서비스를 제공할 수 있다”고 강조했다.
급변하는 금융환경, 클라우드로 대응
■ 탁정수 대표= 주식시장의 활황으로 증권사 IT 운영에 상당한 변화가 있을 것 같다. 변화에 어떻게 대응하고 있나.
■ 원창선 상무= 급변하는 금융환경에 대응할 수 있는 가장 효과적인 방법은 클라우드다. 이를통해 IT효율성과 민첩성을 극대화 할수 있다. 신영증권은 중요시스템을 클라우드 기반 서비스로 제공하는 유일한 증권사다.
신영증권의 클라우드 전환 사업은 총 5단계로 진행되고 있으며, 현재 1단계인 DMZ 구간에 대한 클라우드 전환이 완료됐고, 그룹웨어를 클라우드로 구축하는 2단계 사업이 곧 시작된다. 최종목표는 전체 업무를 클라우드로 전환하는 것이다.
신영증권의 IT와 보안조직은 클라우드 도입을 위해 오랜 기간 깊이 있게 학습해왔다. 글로벌 모범사례를 검토하는 한편, 클라우드 운영 중 발생할 수 있는 문제를 분석해 대응 방안을 미리 마련하고 있다. 체계적이고 안정적인 클라우드 도입 사업을 진행하면서 증권업계의 대표적인 성공사례를 만들어가고 있다.
■ 탁정수 대표= 퍼블릭 클라우드는 보안 우려가 높은 편인데.
■ 원창선 상무= 그 점을 고려해 안정성이 검증된 퍼블릭 클라우드 사업자와 함께 보안을 내재화 한 클라우드 전환을 단계적으로 진행하고 있다.
더불어 클라우드 구축 단계부터 테스트, 운영에 이르기까지 모든 과정에서 필요한 보안 검증을 거치고 있다. 구축 완료한 후 보안 점검을 하는 것이 아니라 구축과정에서 보안 문제를 점검하고 취약성을 분석할 수 있도록 적절한 툴과 프로세스를 마련하고 있다.
■ 탁정수 대표= 클라우드를 선제적으로 도입했던 만큼, 그 효과와 한계도 분명하게 말 할 수 있을 것 같다.
■ 원창선 상무= 클라우드가 비즈니스 민첩성과 효율성, 비용 효과성 측면에서 우수하다. 갑자기 폭증하는 트래픽에 대비하기 위해 데이터센터에 막대한 투자를 지속하는 것은 비효율적이다. 또 혁신적인 금융 서비스를 위해서는 유연하고 민첩한 IT 환경이 필수인데, 경직된 온프레미스 IT로는 이 문제를 해결할 수 없다. 클라우드가 최적의 대안이라고 말할 수 있다.
그러나 클라우드 도입만으로 문제가 모두 해결되는 것은 아니다. 클라우드를 어떻게 운영하느냐에 따라 비용이 크게 증가할 수 있으며, 관리되지 않은 보안 홀이 다수 발생할 수도 있다.
■ 탁정수 대표= 선제적으로 클라우드를 도입, 운영해 본 경험을 바탕으로, 클라우드 도입에 있어 반드시 고려해야 할 사항을 조언한다면.
■ 원창선 상무= 클라우드 전환을 진행하면서 느낀 점은, 기술적 문제뿐만 아니라 조직 변화에 대해서도 고려해야한다. 신영증권은 이미 15년전부터 IT인프라에 대한 아웃소싱을 하고 있어서 조직변화의 문제는 고려사항이 아니었지만 인프라팀을 자체 보유한 경우에는 해결해야만 하는 제약사항이다.
클라우드 도입 전략을 수립하면서 베스트 프랙티스를 검토할 때에도 주의해야 할 점이 있다. 각 기업·기관마다 다른 환경과 문화를 갖고 있기 때문에 ‘업계 모범사례’가 자사 환경에 맞다고 보기 어렵다. 자사 기업 문화와 업무환경, 비즈니스 특성을 고려해 최적의 클라우드 모델을 찾아야 한다.
신뢰 기반 보안으로 비즈니스 성장 지원
■ 탁정수 대표= 신영증권이 추구하는 보안 전략에 대해 설명해달라.
■ 원창선 상무= 신영증권은 ‘믿음이 곧 번영의 근간이다’는 뜻의 ‘신즉근영(信則根榮)’을 경영철학으로 삼고 있다. 특히 고객과의 신뢰를 더더욱 중요시 한다. 보안도 이와 궤를 같이한다. 고객정보를 소중하게 여기고 이를 보호하려는 마음 가짐이 무엇보다도 중요한 보안 원칙이다.
금융환경은 그 어느 때 보다 급격한 변화를 겪고 있다. 시장과 고객의 요구에 맞는 다양한 금융상품과 서비스를 출시해야 하고, 다각화되는 고객 채널을 대응하고 관리해야 하며, 여러 기관·기업과 협력해야 한다. 또 보호해야 할 데이터의 종류와 대응 방법이 다양해지고 있으며, 클라우드·재택근무 등 IT 환경의 진화가 진행되면서 새로운 환경을 노리는 지능형 공격과 내부자 위협에 대한 대응도 마련해야 한다.
보안은 ‘양동이 이론(Bucket Theory)’처럼, 가장 낮은 수준의 보안이 그 조직의 보안 수준이다. 신영증권은 비즈니스 속도에 맞춰 IT를 진화시키면서 그에 맞는 보안 수준을 유지할 수 있도록 지속적으로 관리하고 검증하고 있다. 엔드포인트부터 네트워크, 서버에 이르기까지 전체적인 보안 밸런스를 맞추며 약한 연결고리를 찾고 보완하면서 필요한 보안 솔루션과 서비스를 적용하고 있다.
이와 함께 전 직원의 보안 인식을 높일 수 있도록 지속적인 보안 캠페인과 교육, 가상훈련을 통해서 전 임직원의 보안 습관을 형성하기 위해 노력하고 있다.
특히 신영증권은 경영진의 보안인식이 높은 편이다. 경영진이 먼저 고객의 다양한 요구를 만족시키면서 고객을 보호할 수 있는 정책 마련을 요구하고 있으며, 적극적인 보안 투자에 나서고 있다.
강력한 통제·높은 자율성, 두 마리 토끼 잡은 보안 정책
■ 탁정수 대표= 신영증권의 보안 원칙을 가장 잘 드러내는 사례를 설명해달라.
■ 원창선 상무= 대표적인 사례로 망분리를 들 수 있다. 신영증권은 높은 수준의 보안을 유지하기 해 전사 물리적 망분리를 했으며, 인터넷망에도 강력한 보안 정책을 적용해 직원별로 업무와 관련 있는 사이트에만 접속하도록 했다. 업무와 관련이 없는 인터넷 사용은 별도의 외부망을 BYOD로 연결할수 있다.
만일 외부망에서 업무에 필요한 자료를 업무망으로 가지고 오려면 보안검사와 정보보호팀에서의 확인을 거쳐서 가져올 수 있도록 했다. 이를 통해 외부 공격 위협이 내부 시스템에 영향을 미치지 않도록 했으며, 랜섬웨어와 같은 피해를 사전에 예방할 수 있게 했다.
■ 탁정수 대표= 완전히 외부에서 접속해야 하는 재택근무는 어떻게 구성하나.
■ 원창선 상무= 재택근무로 보안 수준이 낮아지지 않도록 하는 것이 가장 중요한 원칙이었다. 금융감독당국의 재택근무 가이드라인을 따라, 재택 시에는 사용자와 기기의 무결성을 검증한 후 VPN을 이용해 업무망에 접속하도록 했다. 접속 후 강화된 모니터링 시스템을 통해 이상행위를 탐지하고 있으며, 혹시 모를 외부 위협에 철저하게 대응하고 있다.
SOAR 통한 보안 효율성 추구
■ 탁정수 대표= 강력한 보안은 편의성을 해치고 비즈니스 속도를 저해하며, 보안조직의 업무를 증가시킨다는 우려가 있다.
■ 원창선 상무= 신영증권은 ‘심리스한 보안 정책’을 원칙으로 업무 편의성과 비즈니스 속도에 영향을 미치지 않으면서 강력한 보안을 유지할 수 있도록 하고 있다.
신영증권이 추구하는 심리스한 보안 정책은, 정상적인 사용자는 보안이 적용됐는지 조차 느끼지 못하지만 비정상적인 사용자는 발을 붙일 수 없게 해야 한다는 보안 담당자의 마인드셋부터 시작한다. 다소 이상적으로 생각될 수 있지만, 보안담당자가 보안 측면만 지나치게 강조하다 보면 비즈니스 본연의 가치를 훼손할 수 있기 때문이다.
이 같은 정책은 보안 복잡도를 높이고, 보안조직의 업무를 증가시키게 된다. 그래서 보안 자동화를 통해 업무 효율성을 높이려고 하고 있다. 자동화 하기 전에 반드시 기존 보안 프로세스가 문제가 없는지 점거해야한다. 잘못된 프로세스를 자동화하면 오히려 보안 취약성이 높아질 수 있으므로, 내부 업무의 성숙도를 높인 후 자동화를 진행해야 한다.
자동화를 위해서는 보안 프로세스를 표준화해야 하는데 이 과정이 단기간에 쉽게 이뤄지지는 않는다. 또 자동화를 이룬 후에도 일정 기간 이 프로세스를 보정하는 단계도 필요하며, 그 효과를 검증하는데 상당한 시간이 걸린다.
신영증권은 여러 고려사항을 점검하면서 단계적으로 자동화를 도입해 보안 운영의 효율성과 정확도를 높여 나가고 있다.
■ 탁정수 대표= 보안 자동화는 SOAR를 위한 단계인가.
■ 원창선 상무= 궁극적으로 보안은 SOAR로 진화하게 되어 있다고 본다. 여러 보안 시스템이 협력하고 자동 대응하는 이상적인 대응 체계를 만드는 것이 필요하다. 그러나 SOAR를 도입하려면 전제조건을 갖춰야 한다. 보안 프로세스를 표준화하고, 플레이북을 충분히 마련해야 한다.
신영증권은 일부 보안관제 프로세스에 자동화를 적용했으며, 지속적으로 통합·자동화 범위를 넓혀갈 계획이다. 현재 금융보안원 사이버 위협정보 공유 시스템을 통해 모니터링 된 위협 정보를 내부 침입차단 시스템에 자동 적용했다. 이 같은 통합·자동화 범위를 꾸준히 확대해 나갈 계획이며, 클라우드 보안 서비스를 이용해 효율적인 보안 대응이 이뤄질 수 있도록 하겠다.
기술-정책 협력해 최적의 정보보호 대책 마련
■ 탁정수 대표= 최근 금융권에서는 데이터경제 시대를 위한 전략 마련에 분주하다. 신영증권은 어떤 전략으로 데이터경제 시대를 대비하고 있나.
■ 원창선 상무= 금융 서비스의 지속적인 혁신을 위해 데이터를 어떻게 활용하느냐는 매우 중요한 일이다. 당장은 정보 제공자 입장에서 인프라 구축을 검토하고 있지만 마이데이터 사업에도 지속적인 관심을 갖고 전략을 마련할 예정이다. 보안측면에서는 데이터 흐름 속에서 고객 정보를 어떻게 보호할것인지 검토하고있으며, 적법하고 안전하게 데이터를 제공할 수 있도록 세밀한 보안 정책을 세워 대비하고 있다.
■ 탁정수 대표= CIO와 CISO를 겸임하고 있기 때문에 비즈니스와 보안이라는 과제에 접근하는 관점이 다를 것 같다.
■ 원창선 상무= IT와 보안 정책을 모두 파악하고 있기 때문에 더 합리적인 의사결정을 내릴 수 있다고 본다. 신영증권이 추구하는 비전, 비즈니스의 특성, 조직문화를 두루 파악하고 있으며, 업무구축 시 보안을 동시에 고려해 진행할 수 있기 때문에 더 효율적인 측면이 있다.
하지만 보안조직관련해서는 기술담당 조직과 정책 담당 조직을 분리 운영해 견제와 발란스를 유지하면서 최적화된 정보보호 방안을 찾고 있다. 제가 맡고 있는 부분이 기술 조직이며, 정책담당 조직과 협력하면서 다양한 관점에서 IT와 보안 전략을 수립하고 실천하고 있다.
