[데이터넷] 신한생명보험은 고객을 위한 맞춤형 서비스 개발을 위해 첨단 IT 기술을 채택하고 있으며, 진화하는 사이버 공격과 내부보안 위협에 대응하기 위한 지능형 사이버 보안 솔루션을 운영하고 있다. 기존 보안 시스템을 우회해 교묘하고 은밀하게 진행되는 위협을 자동으로 탐지하고 대응하기 위해 AI 기반 네트워크 침입 탐지 및 대응(NDR)을 도입했으며, 이를 통해 보안관제 효과를 높이고 한층 더 고도화된 보안 수준을 유지할 수 있게 됐다. <편집자>
신한생명은 ‘보험으로 따뜻한 세상을 만든다’는 비전을 내세우고 있으며, 가치경영으로 인정받는 회사로 위상을 확보하고, 따뜻한 금융 실천을 통해 생명보험업계의 ‘표준’이 된다는 전략 목표를 밝힌다. 신한생명은 종합 금융망을 기반으로 고객의 필요에 맞는 상품과 보험 서비스를 제공하고, 고객의 성공과 행복을 위해 최선의 노력을 하고 있다. 이를 위해 신한생명은 첨단 IT 기술을 활용해 고객 맞춤형 상품과 서비스를 제공하고 있으며, 고객만족 경영을 실천하고 있다.
신한생명은 고객을 위한 상품과 서비스를 개발하는데 많은 투자를 단행하고 있을 뿐 아니라 금융기관을 노리는 지능화된 사이버 공격으로부터 고객과 비즈니스를 보호하기 위한 노력도 적극적으로 펼치고 있다.
특히 생명보험사의 특성에 따른 복잡한 네트워크 환경을 보호하기 위해 다양한 노력을 기울이고 있다. 생명보험사는 본사와 지점, 대형 법인보험판매대리점(GA)뿐 아니라 홈쇼핑, 신용카드사, 각종 제휴사 및 수탁사와 연결돼 있어 이에 대한 보안관리가 중요하다.
남기호 신한생명 정보보호팀 상무는 “보호해야 할 네트워크와 시스템이 증가하고 협업해야 할 채널이 늘어나면서 보안위협은 그만큼 높아지고 있다. 또한 진화하는 사이버 공격과 실수 혹은 고의에 의한 내부자 위협을 관리하는 것도 중요한 문제”라며 “신한생명은 시시각각 변하는 내·외부 위협에 즉각적으로 대응하기 위해 체계적이고 심층적인 지능형 방어 시스템을 운영하고 있다”고 설명했다.
빈틈없는 방어 전략 구축 최선
신한생명은 신한금융그룹의 보안정책에 따라 보안을 설계·운영하면서, 생명보험사의 특수성을 감안한 보안 정책을 적용해 운영하고 있다. 기존 보안 정책을 우회해 지능적으로 침투해 들어오는 고도화된 보안위협과 내부자에 의한 위협을 실시간으로 탐지하고 대응하기 위한 시스템 도입에 관심을 기울여왔다.
신한생명은 전자금융감독규정에 따라 망분리를 구축했으며, 강력한 접근통제와 지능형 공격 방어 시스템을 구축하고 있다. 그룹 통합보안관제와 협력해 실시간으로 공격을 탐지·방어하는 체계를 갖추고 있으며, 외부 협력사의 보안을 강화할 수 있는 보안 정책을 적용해 빈틈없는 방어 전략을 펼치고 있다.
최근의 지능화된 공격자들은 최신 보안 기술까지 우회하면서 침투해 들어오기 때문에 이에 대한 대응책도 마련하고 있다. 다양한 채널을 통해 중요 데이터에 접근하는 내·외부 임직원에 대한 모니터링 정책도 정비했다. 그러면서 임직원 업무 생산성을 저하시키지 않으며, 기존에 구축한 네트워크에도 영향을 미치지 않는 보안 기술을 도입하기로 했다.
나영주 차장은 “내부에 이미 침투한 악성코드나 악의적인 목적을 가진 사용자가 정보자산을 탈취·위변조하는 등 해킹공격을 진행할 경우, 사전에 징후를 탐지하는 것이 쉽지 않다. 또한 사고발생 후 원인을 추적하는 데에도 상당 시일이 걸린다”며 “사용자나 호스트 행위의 적정성을 실시간으로 판단할 수 있는 지능형 해킹 방어체계가 필요했다”고 밝혔다.
AI 기반 해킹방어 시스템 구축
신한생명은 진화하는 내·외부 위협을 효과적으로 관리할 수 있는 시스템을 검토한 후 AI 기반 네트워크 위협 탐지와 대응(NDR) 솔루션을 도입하기로 결정했다. AI 기반 NDR은 IDS/IPS, 네트워크 위협 분석(NTA)을 통합하고 위협 탐지와 대응을 AI를 이용해 지능화, 자동화 한 솔루션이다.
NDR은 SIEM, SOAR, IR 및 티켓팅 시스템 등과 연계해 관제 조직의 위협 탐지와 대응 역량을 높인다. 전통적인 보안관제 시스템이 분절된 데이터만을 제공해 전체 위협의 가시성을 확보하지 못했던 문제를 해결하기 위해 NDR은 여러 탐지·대응 시스템과 유연하게 연동한다. 더불어 내부에서 발생하는 이상행위를 탐지하는 것은 물론이고, 외부와의 수상한 통신 시도도 막을 수 있다.
양한근 차장은 “기존 보안관제는 미리 설정된 공격패턴에 따른 탐지에 초점을 맞추고 있기 때문에 사용자가 실제로 어떤 행위를 하는지 알기 위해서는 포렌식 시스템과 전문인력이 투입 돼야 한다. 이렇게 투자를 한다 해도 모든 악성 행위를 탐지할 수 없으며, 탐지된 이상행위에 대해 확인하는데 일정한 시간이 걸려 실시간 위협 탐지가 어렵다”며 “신한생명은 최소한의 인력 투입으로 최단 시간 안에 사용자 행위의 정상 여부를 판단할 수 있는 해킹탐지시스템이 필요했으며, AI 기반 NDR이 이러한 요건을 만족시킬 수 있다고 평가했다”고 말했다.
자동화된 탐지 시스템 선정
AI 기반 NDR이 지능형 해킹 방어 체계를 강화할 수 있는 솔루션이라고 판단하고 신한생명의 환경에 가장 적합한 제품을 찾아봤다. 가장 중요하게 검토한 점은 탐지된 악성행위의 상세 분석 결과를 제공하는지 여부였다. 신한생명의 정보처리 시스템은 1만명이 넘는 사용자와 2000대 이상의 시스템에서 매일 2억여건의 트랜잭션을 발생시킨다.
방대한 규모의 트랜잭션에서 탐지되는 이상행위를 보안 분석가가 수작업으로 분석하는 것은 한계가 있다. 특히 AI를 활용한 보안 탐지 시스템은 과도한 이벤트를 발생시키는데 이 이벤트가 어떤 이유로 발생됐는지 설명하지 않아 보안팀의 업무를 폭증시킨다는 문제가 있다.
신한생명은 사람의 개입을 최소화하면서 정확하게 이벤트를 탐지할 수 있는 AI 기반 이상행위 탐지 시스템을 찾아봤으며, 굿어스가 국내에 공급하는 벡트라의 솔루션이 가장 적합하다고 판단했다. 벡트라는 머신러닝을 이용해 모든 사용자와 호스트의 트래픽을 학습해 정상적인 행위를 학습하고 정상범주에서 벗어나는 형태의 접근시도나 해킹공격이 발생하면 즉시 탐지할 수 있었다.
신한생명은 실제 시스템 운영 중 보안 조직의 업무를 크게 증가시키지 않으면서 과탐 없이 정탐률을 높일 수 있는 지도학습 기반 머신러닝 기술을 적용하기를 원했다. 비지도학습 기반 머신러닝은 학습 기간 없이 바로 운영할 수 있다는 장점이 있지만 과탐으로 인해 보안조직의 업무가 폭증하며 오염된 데이터를 학습해 잘못된 탐지 결과를 도출할 수 있다는 문제가 있다.
지도학습 기반 머신러닝은 일정한 학습 기간을 거쳐야하지만, 정제된 데이터만을 학습해 잘못된 학습결과를 도출할 우려를 없앨 수 있으며, 오탐을 최소화해 보안 조직이 안정적으로 운영할 수 있다.
양한근 차장은 “보안관제 조직에서 NDR을 운영하기 위해서는 정제된 이벤트가 필요하다. 너무 많은 이벤트가 발생하고 원인을 분석하는데 노력을 쏟아야 하는 환경은 보안관제에 적합하지 않다. 사람의 개입을 최소화하면서 실시간으로 위협을 탐지하며 자동으로 대응하기 위해서는 지도학습 기반 머신러닝 기술을 이용한 NDR이 적합하다”며 “또한 그룹사 보안관제 체계와 연계하기 위해서도 오탐 없는 자동화된 보안 탐지가 가능한 기술이 필수”라고 덧붙였다.
전사 위협 가시성 확보
AI 기반 보안 시스템은 초기 학습기간이 중요하다. 처음에는 정탐과 오탐이 혼재된 수많은 이벤트를 발생시키며, 이 이벤트를 일일이 확인하고 검증해 정확한 데이터를 학습하도록 보정해야 한다. 발생한 이벤트와 관련된 담당자를 확인하고 시스템의 상태를 점검하면서 정상 행위인지 비정상 행위인지 판단하고 AI 시스템을 보정해야 한다.
이 과정에서 일시적으로 보안팀의 업무가 늘어나지만, 안정화 된 후에는 기존 보안인력으로도 충분히 운영할 수 있다. 신한생명은 기존에 관제시스템을 운영하면서 위협 모델을 고도화해왔기 때문에 단기간에 효과적으로 AI 시스템을 학습시킬 수 있었다.
최신 글로벌 위협 트렌드를 빠르게 알 수 있다는 점도 장점이다. 벡트라 본사에서 배포하는 최신 위협 패턴이 자동으로 적용되기 때문에 지능적인 최신 위협으로부터 내부 네트워크를 보호할 수 있다.
2018년 벡트라를 도입, 운영하면서 신한생명은 전사 트래픽 가시성을 확보하고 사용자와 호스트 행위의 적정성을 판단해 내부보안을 한층 고도화할 수 있었다. 최소 인력 투입만으로 지능화된 위협에 대응할 수 있어 보안 업무 부담을 늘리지 않고 운영할 수 있었다.
나영주 차장은 “벡트라 도입 효과 중 하나로 조작오류를 막을 수 있다는 점도 있다. 설정 오류나 사용자의 실수, 혹은 인지하지 못한 상황에서 허용되지 않은 시스템으로 접근하거나 오남용하는 것을 탐지하고 경고할 수 있다. 다양한 채널을 통해 인가된 사용자가 정상적인 권한으로 접근한다 해도 의심스러운 행위가 발생할 수 있는데, 벡트라는 지능적으로 위협을 인지하고 경고함으로써 내부보안 수준을 한층 높일 수 있게 됐다”고 밝혔다.
실제 보안 효과 검증한 후 도입해야
AI 기반 보안탐지 솔루션은 시그니처나 탐지 패턴에 없는 지능적이고 교묘한 위협까지 대응할 수 있다는 장점이 있지만, 구축 초기 오탐이 많고 탐지결과 분석작업이 필요해 보안팀의 업무가 늘어날 우려가 있다.
양한근 차장은 “머신러닝에 대한 이해가 부족한 상태에서 기존 레거시 경계망 보안 솔루션 도입과 같이 AI 솔루션을 도입하면 많은 시행착오를 거치게 된다”며 “AI 보안 솔루션을 효과적으로 사용하기 위해서는 일정 기간 선행학습이 필요하다는 점을 염두에 두고 사업 추진 전 PoC 등을 통해 충분히 검증해야 한다. 특히 기능 검증 시 실제 통신 발생 여부를 확인해야 하며, 사용자나 시스템 관리자와의 인터뷰도 필요하다. 도입효과를 극대화하기 위해서는 필수 과정이다”고 강조했다.
