신한금투 “망연계 보안 강화로 보안·편의성 두 마리 토끼 잡다”
상태바
신한금투 “망연계 보안 강화로 보안·편의성 두 마리 토끼 잡다”
  • 김선애 기자
  • 승인 2019.07.23 09:24
  • 댓글 0
이 기사를 공유합니다

휴네시온과 ‘이미지 은닉 악성코드 무력화 기술’ 공동 개발…망분리 불편함 줄이고 보안 수준 강화

[데이터넷] 신한금융그룹 100% 자회사인 신한금융투자는 은행, 카드, 생명을 아우르는 신한금융그룹의 광범위한 네트워크를 바탕으로 금융 업종간 장벽을 뛰어넘는 첨단 금융 서비스를 제공하고 있다. 탄탄하고 안정적인 기업지배와 재무구조, 선진 경영기법을 결합해 국내 금융투자업계 선두주자로 나가고 있는 신한금융투자는 업계 최고 수준의 전문인력을 통해 고객 투자의 가치를 높이고 있으며, 지속적인 사회공헌 활동을 펼치며 세상을 이롭게 하는 따뜻한 금융 서비스 환경을 만들어가고 있다. <편집자>

신한금융투자(이하 신한금투)는 디지털 금융 환경의 변화를 선도적으로 이끌어가기 위해 ICT 기술을 활용한 혁신적인 금융 서비스를 개발해 제공하고 있으며, 지능화되는 사이버 공격으로부터 고객 자산과 비즈니스를 보호하기 위한 체계적인 보안 전략을 운영하고 있다. 더불어 IT 및 정보보안 파트너와 함께 디지털 금융 혁신을 위한 기술을 개발하면서 중소기업과의 상생협력을 이어나가고 있다.

중소기업 상생 협력의 대표적인 사례로 정보보안 기업 휴네시온과 함께 개발한 ‘이미지 파일에 존재하는 악성코드와 은닉정보 무력화 방안’을 들 수 있다. 신한금투와 휴네시온은 이 기술에 대한 공동 특허를 출원했으며, 대기업과 중소기업의 우수 협력 사례로 주목되고 있다.

신한금투와 휴네시온이 이 기술을 개발하게 된 이유는 인터넷의 자료를 내부 업무망에서 열어 볼 수 있어야 한다는 현업의 요구 때문이다. 금융투자업 특성 상 인터넷을 통해 여러 투자 정보를 수집해야 하며, 특히 실시간으로 중요한 뉴스를 참고할 수 있어야 한다.  전자금융감독규정에서 금융기관은 전사 망분리를 적용하며, 내부망에서 외부 통신망으로 연결할 때 반드시 위험평가를 하고 보안 요건을 갖추도록 하고 있다.

신한금투는 내부망에서 인터넷 연결이 필요한 사이트에 대한 위험평가를 실시했다. 그 결과 많은 언론사 사이트에서 취약점이 발견돼 보안 대책을 마련하지 않으면 통신을 연결할 수 없었다.

이미지 은닉 악성코드 탐지 기술 필요
신한금투는 업무망의 주식매매 프로그램에 종합뉴스를 제공하고 텍스트로 된 뉴스 기사를 확인할 수 있도록 했다. 그러나 최근 기사들은 그래프와 표 등을 이미지로 제공하고 있어 뉴스 기사에서 이미지까지 볼 수 있도록 해야 했다.

이미지는 데이터를 직관적으로 이해할 수 있도록 도와주지만, 악성코드 유포를 위해 사용되기도 한다. 신한금투는 이미지에 숨은 악성코드를 탐지·제거하기 위해 여러 보안 시스템을 망연계 구간에 적용하는 방법을 고민했다. 자체 수집한 악성코드 샘플과 금융보안원에서 제공받은 악성 이미지 샘플을 기존에 사용하던 보안 시스템에서 탐지하는지 테스트했는데, 거의 대부분 탐지하지 못했다.

곽병주 신한금투 정보보호본부 상무는 “금융투자업의 특성상 업무에서 외부 인터넷의 자료를 참고하는 일이 많다. 그래서 신한금투는 업무망에서 외부 뉴스 사이트를 확인할 수 있도록 했다. 그러나 이미지에는 은닉된 유해 요소가 많기 때문에 이미지를 그대로 업무망으로 가져올 수는 없었다”고 말했다.

이어 그는 “하지만 인터넷 뉴스나 보고서들이 그래프와 이미지를 통해 많은 정보를 제공하고 있으며, 투자 업무에 이 이미지를 참고해야 할 일이 많아지고 있다. 적시에 적절하게 판단하고 고객을 보호하기 위해 업무망에서도 외부 인터넷의 이미지를 참고할 수 있도록 환경을 개선해야 했다”고 밝혔다.

이미지는 악성코드 유포를 위해 아주 많이 사용하는 도구다. 스테가노그래피 기법을 이용하면 대부분의 멀웨어 탐지 기술을 우회할 수 있다. 스테가노그래피는 이미지의 픽셀 값을 조작하거나 이미지 신호를 왜곡하고, 이미지의 밝기나 휘도를 수정해 악성코드를 숨긴다. 시그니처에 없는 방식이기 때문에 백신으로는 막을 수 없으며, 샌드박스 내에서 악성코드가 활동하지 않도록 설계되기 때문에 샌드박스 솔루션도 탐지할 수 없다.

콘텐츠 무해화(CDR) 기술도 검토했지만, CDR은 액티브 콘텐츠만을 제거하기 때문에 이미지에 숨어있는 정적인 위협요소를 제거하지 못했으며, 새로운 구조의 문서는 지원하지 않았고 오·과탐이 많다는 문제도 있었다. 이미지를 분해해 무해화하는 솔루션도 검토했지만, 탐지율이 높지 않으며 PC 리소스를 많이 사용해 업무 부하와 장애가 많이 발생한다는 한계가 있었다.

김광배 정보보호센터 부부장은 “내부망에서 업무에 필요한 인터넷 기사를 확인할 수 있도록 하기 위해 망연계 시스템과 연동할 수 있는 거의 대부분의 보안 기술을 검토하고 테스트 했다. 그러나 이미지에 교묘하게 숨어있는 악성코드를 제거할 수 있는 기술을 찾을 수 없었다”며 “또한 업무 생산성에 영향을 줄 만큼 속도가 느리거나 PC 리소스 사용이 과다한 기술은 사용할 수 없었다”고 설명했다.

악성코드 활동하지 못하는 환경 만들어
신한금투는 망연계 시스템 ‘아이원넷(i-oneNet)’을 구축한 휴네시온과 함께 이 문제를 해결할 수 있는 방법을 찾아봤다.

신한금투는 외부 메일 사용을 위해 웹메일 시스템을 자체 구축했는데, 스팸이나 피싱 공격 피해가 없도록 화이트리스트 정책을 적용해 메일을 확인하도록 했다. 정상 사용자로 등록한 주소에서 발신된 메일만 받을 수 있도록 했으며, 나머지는 스팸메일함으로 보낸다.

정상 사용자의 메일이라 해도 첨부파일은 이미지로 보여줘 악성코드가 활동하지 못하도록 했다. 악성코드는 대부분 미리 설정된 특정한 환경에서 활동하도록 설계돼 있으며, 환경이 조금만 달라져도 활동하지 않는다. 첨부파일을 이미지화 하면, 악성코드가 이미지에 갇혀 있는 상태로 활동하지 못하게 되므로 감염 우려를 덜 수 있다.

정병기 정보보호센터 부서장은 “신한금투에서 요구한 것은 업무 생산성과 속도에 영향을 미치지 않으면서 외부 이미지를 안전하게 확인할 수 있는 기술이었다. 지능화되고 정교해지는 은닉 악성코드를 모두 제거하는 것은 불가능한 일이었기 때문에 어떤 악성코드가 유입된다 해도 악성코드가 활동하지 못하는 환경을 만드는 방법으로 무해화 하는 것이 가장 현실적이라고 판단했다”고 밝혔다.

▲ 신한금융투자 정병기 정보보호센터 부서장, 곽병주 정보보호본부 상무, 김광배 부부장(왼쪽부터)

속도저하 없는 이미지 무력화 방안 적용
휴네시온은 신한금투에서 제안한 아이디어를 기반으로 악성코드가 활동하지 못하도록 하는 방법을 찾기 위해 수많은 기법을 연구하고 테스트했다. 파일 포맷을 변환시키고, RGB 값을 보정하는 등의 방법으로 악성코드를 무력화하는 기술을 개발했다.

아이디어는 단순한 것 같지만, 실제 업무에 사용할 수 있을 만큼 안정화 시키는 것은 상당히 어려운 일이었다. 미세한 보정의 차이로 인해 악성코드가 동작하기도 하고, 이미지가 왜곡돼 사용하기 어려운 상황이 될 수도 있었다. 수많은 이미지 악성코드를 대상으로 테스트하고 세밀하게 값을 조정하면서 최적화된 변환값을 찾아냈다.

이를 망연계 시스템에 적용해 테스트했는데, 이미지 악성코드를 무력화하는 효과는 있었지만 많은 이미지를 변환시켜 유입하다보니 속도 저하 문제가 발생했다. 그래서 최초에 한 번 열어본 이미지의 캐시값을 저장해 다음 조회할 때에는 원본 이미지가 아니라 변환된 안전한 이미지를 열어볼 수 있도록 했다.

이렇게 완성된 기술이 특허 출원한 ‘이미지 파일에 존재하는 악성코드와 은닉정보 무력화 방안’ 기술이며, 망연계 솔루션 ‘아이원넷(i-oneNet)’에 탑재되는 ‘아이원넷 피시 유알엘 디톡스(i-oneNet PC URL Detox)’ 기능으로 구현됐다.

김광배 부부장은 “이미지 보정 값이 잘못 설정되면 악성코드를 무력화하지 못하거나, 사용자 PC에서 이미지를 볼 수 없게 될 수 있다. 이미지가 왜곡돼 사용할 수 없는 상황이 될 수도 있다. 현재 많은 기사와 보고서들이 이미지를 통해 중요한 정보를 전달하고 있기 때문에 이미지 왜곡을 줄이면서 위협요소가 활동하지 못하도록 조절하는 것이 가장 중요했다”며 “수많은 테스트와 검증을 통해 위협을 줄이면서 업무에 활용할 수 있는 기술을 통해 보안을 포기하지 않으면서 업무 효율성을 높일 수 있게 됐다”고 말했다.

인터넷망에도 적용해 보안 수준 높여
신한금투는 이미지 악성코드 무력화 기술을 HTS에 적용해 1년여 간 운영했다. 그동안 오·미탐이나 속도 저하 문제는 전혀 발생하지 않았으며, 보안을 포기하지 않고도 생산성을 높인 성공사례를 만들었다.

신한금투와 휴네시온은 이 기술을 다른 인터넷 사이트에도 적용할 수 있도록 고도화하고 있다. 망분리에서 예외 지정된 금융관련 사이트와 공공 사이트, 업무 사이트 등에서도 이미지 파일이 필요할 때가 많은데, 이미지 파일에서 은닉정보를 무력화해 안전한 망분리 환경을 만들 계획이다.

현재 신한금투는 인터넷망도 화이트리스트 정책을 적용해 운영하고 있다. 업무에 필요한 사이트만을 허용하는 방식으로 인터넷망에서도 강력한 보안을 유지할 수 있도록 한다. 화이트리스트 정책관리 자동화를 통해 관리 부담을 줄이고 있다. 여기에 이미지 파일 악성코드 무력화 기술을 적용해 더 높은 수준의 인터넷망 운영이 가능하도록 할 계획이다.

정병기 부서장은 “인터넷망에서도 중요한 정보가 유통되는 만큼 인터넷망의 보안을 강화해야 할 필요성이 있다. 화이트리스트와 같은 강력한 보안 정책에 이미지 파일 악성코드 무력화 기술까지 더해 높은 수준의 보안을 유지할 수 있도록 지속적으로 노력하고 있다. 그러면서도 업무의 불편함 없이 보안 정책을 운영할 수 있도록 개선하며 자동화 기술을 통해 보안팀의 업무 부담도 줄여나가고 있다”고 설명했다.

곽병주 상무는 “신한금투는 고유의 기술을 이용해 보안 수준을 높이는 한편, 휴네시온과 같은 기술 파트너와 함께 새로운 보안 기술로 업무 편의성과 보안성을 모두 만족하는 업무 환경을 만들어가고 있다”고 밝혔다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.