Case Study - 코스콤 네트워크 통합 보안 구축

초 다투는 사이버 증권 속도위한 네트워크 통합 보안 환경 구현

NVW로 네트워크 웜 제거 시스템 안정성 확보

코스콤은 (구)증권전산으로 지난 1977년 증권 시장 및 업계 업무 전산화를 전담하기 위해 설립된 기업으로, 지난 28년간 업계 IT 인프라 구축 및 운용을 통해 증권선물 시장 발전의 한 축을 담당해왔다.
사이버 증권 거래에 있어 신뢰성은 필요충분조건인 만큼, 코스콤은 보안 투자에 있어서도 남들보다 한발 앞선 모습을 보여왔다. 재해복구센터, 공인전자인증 시스템, 그리고 2003년 금융정보공유분석센터 등을 구축한 게 대표적인 사례다. 이중 금융 정보공유분석센터는 전세계를 강타하고 있는 인터넷 금융 사기 등으로부터 국내 증권업계를 보호하는 선봉장 역할을 담당하며 사이버 증권 세상의 지킴이 노릇을 톡톡히 하고 있다. 특히 올해 트렌드마이크로 바이러스 방역 솔루션을 도입한 이후, 코스콤은 사전 예방 부분을 강화, 기업 보안 전략을 확고히 했다. <편집자>

코스콤 정보공유분석센터(ISAC: Information Sharing and Analysis Center)는 서비스에 가입한 증권업체들을 대상으로 보안 관제와 취약점 분석 서비스 그리고 관련 정보 등을 제공한다. ISAC는 전자 금융 사고 등 각종 보안 위협으로부터 증권 업체들과 투자자들을 보호하는 게 핵심 임무다. 사이버 증권 시장이 떠오르면서 보안에 문제가 생기면 증권 시장에 악영향을 미칠 수 있는 만큼, 코스콤은 오래 전부터 통합 보안 시스템 환경을 구축 운영해오고 있다.
코스콤의 보안 시스템은 방화벽, 침입탐지시스템(IDS), 서버 보안, 백신SW 등 네트워크와 서버 그리고 클라이언트로 이어지는 IT계층을 모두 포함하고 있다. 통합보안관리(ESM) 솔루션도 도입, 전체 보안 시스템이 어떻게 돌아가는지, 특별한 문제는 없는지 실시간으로 감시하고 있다. 특히 코스콤은 2000년 12월 보안 관제 센터를 설립했는데, 보안만을 위한 전용 관제 센터로는 사실상 처음이란 이유로 이 회사 ISAC 직원들의 자부심은 대단하다.

웜 방역위해 네트워크 바이러스월 도입
2003년 전국을 뒤흔든 1.25인터넷 대란은 코스콤에서도 보안 시스템의 새로운 숙제를 던져준 전환점이었다. 기존 보안 솔루션으로는 제대로 대처하기 어려운 신종 웜들이 속속 출현했고, 금전적인 이익을 노린 인터넷 금융 사기도 위협으로 떠올랐다. 블래스터, 넷스카이, 베이글 등 백신SW업체들조차도 질리게 만든 악성 웜들이 전국을 휩쓴 것도 이 때부터였다.
특히 네트워크에 숨어 시스템 성능 저하를 유발하는 웜들은 코스콤 ISAC 관계자들에겐 최대 골칫거리였다. PC가 웜에 걸리면 백신SW로 어떻게 손을 써보겠지만, 네트워크에 돌아다니는 웜에 대한 방역에는 한계가 있었다.
코스콤의 차승현 금융ISAC 센터장은 “웜은 PC에만 있는 게 아니다. 네트워크에도 숨어 있다. 이런 웜들은 네트워크 성능을 저하시키고 PC에도 악영향을 미친다”면서 “PC보안만으로는 네트워크 웜까지 잡아내기에는 한계가 있었다”고 당시를 회상한다.
코스콤은 근본적인 대책 마련에 들어갔고, 네트워크상에 숨어 있는 웜에 대한 방역 기능을 제공하는 솔루션을 도입하기로 결정했다. 당시 웜 퇴치를 명분으로 내세운 보안 제품은 침입방지시스템(IPS), 유해 트래픽 차단 솔루션, 바이러스월 등이 주류를 이뤘다. 이중 코스콤은 금융 거래 트래픽이 많은 것을 감안, 거래 트래픽까지 차단할 수 있는 IPS 등은 제외시켰다. 대신 스위치 단에 설치되는 네트워크 웜을 위한 ‘네트워크바이러스월’ 제품을 주목하게 된다.
제품 도입을 위한 벤치마킹 테스트 결과, ‘네트워크바이러스월’은 네트워크에 숨어 있는 웜을 통제하는데 효과적이었고, 기존 시스템과의 연동에도 별 문제가 없다는 결론이 나왔다. 결국 코스콤은 2005년 네트워크바이러스월의 도입 결정을 내렸다. 도입 규모는 5천여명의 수준.
코스콤이 쓰고 있는 ‘네트워크바이러스월’은 종합적인 네트워크 방역 기능을 제공하는 솔루션이다. 네트워크 접속 차단 외에 긴급상황 모니터링, 사전 예방, 네트워크 바이러스 검사 및 치료, 보안 정책 강화, 자동 피해 복구 등의 기능도 포함하고 있다. 웜과 바이러스가 서버와 PC로 확산되기 전 네트워크 단에서 차단할 수 있고 감염돼도 곧바로 치료가 가능하다. 웜이나 바이러스가 공격하는 특정 네트워크, 포트, 서비스, 파일 이름 등을 정확하게 찾아낸 뒤 격리시키기 때문에 보안 위협을 최소화할 수 있다.

설치 간단·사전/사후 방역 ‘완벽’
코스콤은 네트워크바이러스월 도입과 함께 클라이언트 백신도 트렌드마이크로 ‘오피스스캔’으로 바꿨다. 차승현 센터장은 “업데이트의 원활, 관리의 편리성을 감안, 클라이언트 백신SW도 트렌드마이크로 제품으로 바꾸게 됐다”고 설명했다.
네트워크바이러스월과 함께 도입한 ‘오피스스캔’은 중앙관리가 가능한 기업용 데스크톱 PC 및 네트워크 서버 통합보안솔루션으로 안티 바이러스뿐만 아니라 안티 스파이웨어 기능도 제공한다. 네트워크에 연결된 모든 데스크톱, 모바일 클라이언트, 전 네트워크 서버의 보호와 관리를 중앙집중식으로 할 수 있는 것이 특징이다. 코스콤은 네트워크바이러스월과 오피스스캔을 효과적으로 관리할 수 있는 소프트웨어 ‘TMCM(Trend Micro Control Manager)’까지 도입했다.
네트워크바이러스월과 오피스스캔 그리고 ‘TMCM’으로 이어지는 트렌드마이크로 바이러스 방역 솔루션 구축 이후 코스콤은 웜 통제 능력에서 비약적인 발전을 이뤘다. 사전 예방과 사후 대응 프로세스를 결합, 과거와는 다른 보안 환경을 구현한 것이 핵심이다. ‘네트워크바이러스월’과 ‘TMCM’이 제공하는 사전 예방 기능은 웜이나 바이러스가 등장했지만 엔진 업데이트나 패치가 나오지 않은 기간에 위력을 발휘한다.
충분한 정보가 없는 IT 관리자들은 대응 방안이 마련되지 않은 웜과 바이러스에 대한 해결책을 찾는데 어려움을 느끼기 마련이다. 트렌드마이크로 보안 솔루션은 위협 발견과 조기 경보 기능을 제공, 엔진 업데이트와 보안 패치가 나오기 전 웜 발생을 예방하거나 억제하는 임무를 수행한다.
‘오피스스캔’이 주로 담당하는 사후 대응 부분은 엔진 업데이트, 네트워크 서명 또는 패치 배포를 포함하고 있다. 바이러스 검색을 바이러스 사전 방역 정책과 통합해 중앙에서 관리할 수 있도록 해준다. 이를 기반으로 코스콤은 골칫거리였던 네트워크에 숨어 있는 웜을 효과적으로 방역했다.
이들 제품 중 ‘네트워크바이러스월’은 설치가 간단할 뿐만 아니라 기존 시스템들과 궁합도 잘 맞았다. 세팅 과정도 편리했다. ‘TMCM’덕분에 입체적인 네트워크 방역 작업도 진행할 수 있게 됐다. ‘TMCM’은, 리포팅 기능 등 사용자 편의성에서도 높은 평가를 받았다. 코스콤 차승현 센터장은 “트렌드마이크로 제품 도입 배경에는 관리의 편리성이 큰 몫을 차지하고 있다”며 ‘TMCM’에 후한 점수를 줬다.

웜 감염된 클라이언트 네트워크 완벽 차단
코스콤은 ‘네트워크바이러스월’과 ‘오피스스캔’ 도입으로, 수년 전부터 가동해온 통합 보안 시스템을 보다 정교하게 다듬을 수 있게 됐다. 코스콤은 ESM과 ‘TMCM’을 연동해 사용하고 있는데, 이는 전체 통합 보안 환경에서 체계적으로 웜을 감시하고 문제 발생시 신속하게 대응할 수 있는 구조다. 기존 시스템에서 부족했던 부분인 만큼, ‘네트워크바이러스월’ 등 트렌드마이크로 제품은 코스콤이 보다 안정된 통합 보안 시스템을 운영하는 데 커다란 힘이 돼주고 있다. ‘오피스스캔’ 도입으로, 클라이언트와 네트워크 보안 솔루션간 연계도 강화할 수 있게 됐다.
‘네트워크바이러스월’은 웜에 감염된 클라이언트의 네트워크 접속을 아예 차단할 수 있다는 게 특징이다. 상당수 기업들이 이 기능 때문에 네트워크바이러스월을 도입하는 것으로 알려져 있다. 그러나 코스콤은 클라이언트 차단 기능을 이용하지 않고 있다. 거래 관련 업무가 많아 자칫하면 금전적인 손실로 이어질 수 있기 때문이다. 코스콤 시스템은 외부 사용자가 4천명이 넘고, 이중에는 투자자들도 포함돼 있다.
이에 코스콤은 클라이언트가 네트워크가 접속한 이후부터 방어 태세에 돌입한다. 차승현 센터장은 “거래 트래픽은 그냥 놔둬야 한다”면서 “PC 등 클라이언트를 차단하지 않고도 별문제 없이 시스템을 운영하고 있다”고 전했다.

‘피싱’ 대응 방안 마련 계획중
코스콤은 조만간 백본 네트워크를 기가비트급으로 업그레이드할 예정이다. 방화벽, IDS 등 보안 시스템도 기가비트급으로 동반 업그레이드한다는 방침이다. ‘네트워크바이러스월’도 기가비트급으로 변경할 예정이다. 이 때문에 코스콤은 기가비트 네트워크 환경에서도 웜에 의한 문제는 없을 것으로 낙관하고 있다.
그러나 최근 들어 금전적인 이익을 노린 보안 위협이 금융권을 강타하고 있다. 피싱(Phishing)과 키로그 보안 위협에 대해서는 정부 차원에서도 수 차례 경계령이 내려진 바 있다.
키로그 보안 위협도 만만한 상대가 아니다. 특히 올해의 경우 키로그 공격으로 특정인의 계좌에서 실제로 돈이 인출당하는 사건이 발생했다. 이 같은 상황을 감안, 코스콤은 민감한 정보에 대해서는 암호화하는 방법을 사용하고 있다. 신종 인터넷 금융 사기를 막을 수 있는 솔루션 확보도 서두르고 있다.
코스콤은 정보통신부에 의해 국가 정보통신 기반시설로 지정돼 있다. 나라에서 중요한 시설로 보고 있다는 얘기다. 이에 코스콤은 취약점 분석에 대해서도 빈틈없는 경계태세를 유지해 나간다는 전략이다. 코스콤은 ‘네트워크바이러스월’과 ‘오피스스캔’ 등을 활용, 웜에 의한 네트워크 속도 저하 없이 안정적으로 시스템을 운영하고 있다. 특히 사전 예방과 사후 대응 프로세스를 결합하고 클라이언트와 네트워크를 아우르는 웜 방역 체계도 효과적으로 갖췄다. 코스콤을 신종 웜과 바이러스에 효과적으로 대응하는 모범 사례로 꼽는 이유다.

- 요구 사항: 네트워크에 숨에 있는 웜 제거. 시스템 안정성 확보. 효율적인 관리 환경 구현.
- 도입 제품: 한국트렌드마이크로 ‘네트워크바이러스월’, ‘오피스 스캔’, TMCM(트렌드마이크로 콘트롤 매니저).
- 도입 효과: 네트워크에 있는 웜 효과적으로 통제. 내부로의 웜 확산 방지. 효과적인 네트워크 방역. 궁극적으로 향상된 통합 보안 시스템 구축.