[데이터넷] 디지털 혁신이 금융산업의 생존전략으로 채택되면서 새로운 환경에 대응하기 위한 사이버 보안 전략 마련도 시급해졌다. 유안타증권은 경쟁력 있는 금융 서비스는 보안이 반드시 고려돼야 한다고 판단하고 적극적인 투자를 전개, 7년 연속 ‘보안사고 제로’ 기록을 이어가고 있다.

그 활동의 일환으로 증권사 최초로 네트워크 위협 탐지 및 대응(NDR) 솔루션인 RSA의 ‘넷위트니스 네트워크’를 도입, 인터넷망 전체에 대한 가시성을 확보하고 진화하는 위협에 대응하고 있다. 굿모닝아이텍의 지원으로 RSA ‘넷위트니스’를 성공적으로 도입해 운영하고 있는 유안타증권의 사례를 소개한다.<편집자>

한국 유안타증권은 대만 유안타금융 그룹의 아시아 지역 핵심 계열사로, 글로벌 네트워크를 활용해 경쟁력 있는 금융 상품을 공급하고 있다. 또한 국내 상황을 정확하게 분석하고 투자 정보와 상품을 서비스하면서 고객 수익 향상을 지원하고 있다.

유안타증권은 경쟁사보다 한 발 앞선 금융 서비스를 제공하는데 ‘보안’이 가장 중요하다고 판단하고 이에 대한 투자도 적극 나서고 있다. 유안타증권은 2014년 정보보안 전담 조직 개설 후 ‘보안사고 제로’라는 목표를 수립한 후 올해까지 7년 연속 보안사고 없는 안전한 금융 서비스를 제공하고 있다. 이를 위해 보안운영을 내실화하고, 해킹공격 대응체계를 운영하고 있으며, 개인 신용정보 내부통제 구축, 정보보호 수준 인식제고 등의 다양한 과제를 성공적으로 수행하고 있다.

인터넷 구간 위협 행위 모니터링

유안타증권은 지능적인 사이버 위협에 대응하기 위해 네트워크 가시성을 확보할 수 있는 제품을 찾았다. 기존에 구축된 통합보안관제 시스템은 내부 시스템에 대한 지능적인 위협 탐지와 모니터링을 수행하고 있었으며, 웹·이메일 보안 솔루션을 통해 웹과 이메일을 통해 유입되는 위협을 선제적으로 차단했다.

그러나 인터넷 구간에서 사용자의 행위를 모니터링하는데 한계가 있었다. 또 금융감독 규제에서 네트워크 이상행위 탐지와 모니터링을 강조하고 있어 이를 만족하는 시스템 구축이 필요했다.

그래서 유안타증권은 네트워크 트래픽을 실시간 전수조사해 이상행위를 탐지하는 네트워크 위협 탐지와 대응(NDR) 시스템 도입을 결정했다. NDR은 네트워크 트래픽과 데이터 흐름을 모니터링하고 네트워크 가시성을 확보할 수 있어 보안위협과 내부자의 이상 행위를 실시간으로 탐지할 수 있을 뿐 아니라 금융감독당국에서 제시한 규제준수 요건도 만족할 수 있었다.

고재현 유안타증권 정보보안팀 부장은 “유안타증권의 통합보안관제 시스템이 인터넷망에서 사용자의 활동을 모니터링하는 부분이 부족했기 때문에 이를 해결하는 솔루션이 필요했다”며 “NDR은 모든 트래픽을 분석해 정보유출과 침해시도를 알아낼 수 있어 인터넷 구간의 위협 행위를 탐지할 수 있을 것으로 기대했다”고 밝혔다.

이상행위 판단 근거 제공해야

NDR은 네트워크의 이상징후를 효과적으로 탐지할 수 있는 솔루션이지만, 잘못 구성하면 네트워크 부하가 심해지고, 노이즈가 많아 보안조직의 업무를 폭증시킨다. 또 모든 트래픽을 분석해야 해 실시간성이 약화될 수 있으며, 기존 관제시스템과 제대로 연동되지 못하면 보안 복잡성을 높일 수 있다. 암호화 트래픽을 포함한 모든 트래픽을 빠르게 분석한다고 하지만, 일부 NDR 솔루션은 패킷의 일부만 분석해 완벽한 가시성을 제공하지 못한다.

유안타증권은 이 같은 문제를 해결하면서 내·외부 이상행위를 찾아낼 수 있는 NDR을 찾기로 했다. 기존 통합보안 솔루션으로 확보하지 못한 네트워크 가시성은 NDR이 효과적으로 해결할 수 있다고 확신했기 때문이다.

유안타증권이 NDR 솔루션 선정 시 중요하게 검토한 것은 정보유출과 침해시도를 탐지했을 때, 원본 데이터를 확인하고 위협의 근본 원인을 파악할 수 있어야 한다는 것이었다. AI를 이용하는 NDR 솔루션 중 위협 이벤트 발생 근거를 제대로 제공하지 않는 경우가 있다.

유안타증권이 요구한 NDR은 탐지된 이벤트에 대한 원본 데이터를 확인해 확실한 증거를 기반으로 이상행위와 침해 원인을 찾아 해결함으로써 해당 위협은 물론 추가 발생하는 위협에도 대응할 수 있도록 하는 것이었다.

유안타증권은 여러 솔루션을 검토 한 후 굿모닝아이텍이 제안한 RSA의 ‘넷위트니스 네트워크(NetWitness Network)’를 선택했다. ‘넷위트니스 네트워크’는 모든 트래픽을 수집, 저장해 분석 가능한 형태의 정보로 자산화 한다. 사용자는 IT 인프라 전반에 대한 지속적인 가시성을 확보하고 분석하는 체계를 확립할 수 있으며, 저장되는 자산을 실시간으로 수집, 머신러닝을 활용해 연관성 분석을 수행, 오·미탐 없이 정확하게 위협을 찾아낼 수 있다.

넷위트니스는 NDR 솔루션 ‘네트워크’, 차세대 SIEM ‘로그’, EDR 솔루션 ‘엔드포인트’ 등의 제품을 포함하고 있으며, 각 기능에 따라 모듈화해 한 화면에 통합된 형태로 제공한다. 상황에 따라 필요한 모듈을 먼저 구축하고 추후 확대할 수 있어 단계적으로 별도 분리된 형태가 아닌 통합형태의 고도화된 보안관제체계를 구축할 수 있다.

RSA를 제안한 굿모닝아이텍에 대한 신뢰도 ‘넷위트니스’를 선택한 요인이었다. 굿모닝아이텍은 증권사 NDR 시스템 구축에 있어 고려해야 할 점을 면밀하게 파악했으며, 유안타증권이 요구하는 기능을 구현할 수 있는 솔루션을 선택할 수 있도록 했다. 또한 실제 보안 효과를 높일 수 있도록 정책 설정과 구성의 최적화를 지원했다.

고재현 부장은 “국내 증권사 중 처음으로 NDR 솔루션을 도입하는 사업이었던 만큼, 확실한 투자 효과를 얻을 수 있다는 확신을 갖는 것이 중요했다. 그래서 솔루션을 제안하는 기업이 유안타증권의 고민을 제대로 이해하고 있는지, 증권사 특성에 맞는 네트워크 모니터링·분석 시스템을 공급할 수 있는지 살펴봤다. 또 충분한 POC를 통해 솔루션 기능이 실제 현장에서 제대로 구현되는지 확인했다”며 “굿모닝아이텍과 RSA는 이러한 요구를 모두 만족시켰다”고 밝혔다.

증권사 최적화된 위협 모니터링 제공

유안타증권은 RSA·굿모닝아이텍과 함께 NDR 운영 효율성을 높일 수 있는 정책을 마련하는데 상당한 노력을 기울였다. NDR은 모든 트래픽을 분석하기 때문에 탐지 수준이나 패턴·룰을 잘못 적용하면 너무 많은 노이즈로 인해 업무에 불편을 초래할 수 있다. 너무 약한 탐지 수준을 적용하면 위협을 인식하지 못한다.

의심스러운 행위로 탐지돼 차단했을 때 정상업무로 확인되면 즉시 차단을 해제할 수 있도록 정책의 유연성을 높여야 한다는 점도 고려해야 했다. 내부 직원 뿐 아니라 외주 직원, 파트너, 임시 계약직에 의한 이상행위도 탐지할 수 있어야 했다.

‘넷위트니스’는 사전 정의된 탐지룰을 제공해 POC 도중에도 높은 정확도로 위협을 탐지하는 효과를 보여줬다. 여기에 유안타증권이 보유하고 있는 탐지 룰을 결합시켜 증권사에 최적화된 위협 모니터링을 가능하게 했다.

고재현 부장은 “NDR은 많은 투자가 진행되는 사업인 만큼, 최적의 보안 효과를 낼 수 있는 방법을 찾는데 많은 시간과 노력을 투자했다. 사용자들의 정상 업무 범위와 비정상 업무 범위를 분류하고, 사고 케이스별 탐지 패턴과 룰을 만들어 실제 네트워크에 구축·운영하면서 노이즈를 줄이고 안정화시켰다”고 설명했다.

NDR은 이전에 보지 못한 위협을 가시화하기 때문에 구축 초기에는 꽤 많은 이벤트가 발생했다. 유안타증권은 이 이벤트가 실제 발생한 위협인지, 정상적인 업무 범위에 있는 것인지 확인하고 분류하는 과정을 거치면서 탐지 룰을 최적화해나갔으며, 이벤트 발생량을 줄이고 정확도를 높였다. 2개월 여 지난 후 보안팀이 분석해야 할 이벤트는 하루 한두 개 정도로 줄었으며 그 외 위협행위는 정상적으로 차단된 것으로 나타났다.

고재현 부장은 “POC 과정에서 내부망과 인터넷망의 위협 현황을 살펴봤는데, 내부망에서는 이상징후가 탐지되지 않았으며, 인터넷망에서는 상당한 수준의 위협 이벤트가 발생하는 것을 확인했다. 그래서 인터넷망에 넷위트니스를 적용하고, 실시간으로 진행되는 위협의 종류와 패턴을 분석하면서 최적의 탐지·제어 정책과 룰을 만들어 적용하면서 위협 탐지·대응 효율성을 높여왔다”고 말했다.

실제 환경서 효과 있는지 검증해야

유안타증권은 넷위트니스를 보안관제 솔루션과 연동해 보안 탐지·대응을 위한 시너지를 높이고 있다. 공격이 언제, 어떤 경로로 접근하는지 실시간으로 확인하고 대응할 수 있어 보안위협을 한층 낮출 수 있었다.

향후 유안타증권은 넷위트니스를 내부망, DMZ 등으로 확대 구축해 보안관제 체계를 발전시켜 나갈 계획이다.

고재현 부장은 NDR 도입이 쉬운 사업이 아니었다는 점을 밝히며 “CISO와 경영진의 강력한 의지와 지원 덕분에 무리 없이 안정적으로 시스템 도입과 구축이 이뤄졌다”고 밝혔다.

유안타증권 경영진은 장기적인 관점에서 고도화되는 위협 대응과 컴플라이언스를 위해 새로운 네트워크 모니터링·분석 시스템 도입을 결정했으며, 실제 운영 환경에서 효과를 발휘할 수 있는 제대로 된 솔루션 도입에 힘을 실어줬다.

유안타증권은 솔루션 도입 시 자사 환경을 정밀하게 분석하고, 어떤 점이 취약한지, 기존에 구축된 시스템과 시너지를 낼 수 있는 방법이 무엇인지, 컴플라이언스 이슈와 보안조직의 역량, 최신 위협 동향 등을 파악하고 이를 해결할 수 있는 가장 좋은 방법을 선택함으로써 보안을 한층 강화할 수 있게 됐다.

고재현 부장은 “보안 솔루션 도입 시 어떤 취약성을 해결하고자 하는지 파악하고, 실제 환경에서 조직이 요구하는 기능이 제대로 작동하는지, 새로운 위협에 민첩하게 대응할 수 있는지를 살펴봐야 한다. 또한 국내·외 다양한 고객에 도입돼 충분히 검증된 솔루션인지 확인하는 것도 필요하다”며 “RSA와 굿모닝아이텍은 이러한 요구에 최적화된 솔루션과 서비스를 제공했다”고 밝혔다