솔루션

[EDR·EPP 전략] 농협은행이 밝힌 '엔드포인트 보안' 전략은?

최민지
[디지털데일리 최민지기자] 지난해부터 인공지능(AI)과 자동화를 통한 보안 지능화 전략에 드라이브를 걸고 있는 NH농협은행이 내년에는 차세대 엔드포인트 보안에 시동을 건다.

농협은행 IT보안부 김유경 부장<사진>은 5일 전국은행연합회 국제회의실에서 <디지털데일리> 주최로 열린 ‘2018 금융·엔터프라이즈 차세대 엔드포인트 보안 EDR·EPP 전략 컨퍼런스(이하 EDR·EPP 컨퍼런스)’를 통해 엔드포인트 위협 탐지·대응(EDR) 시범사업을 내년도에 실시한다고 밝혔다.

김 부장은 “현재까지 10여개 EDR 제품 개념검증(PoC)을 진행했으며, 2019년 시범도입을 위해 검토하고 있다”며 “그동안의 보안전략은 다분히 중앙집중형인데, 사실 공격의 시작과 출발은 엔드포인트이기 때문에 보안 라인업을 확장하려고 한다”고 말했다.

이어 “가시성, 즉 볼 수만 있다면 대처하는 것은 어렵지 않으나 볼 수 없기 때문에 해킹을 당하고도 모르는 것”이라며 “EDR은 기존 보안체계에서 할 수 없었던 행위에 대한 부분, 능동적 방어 등을 지원한다”고 덧붙였다.

이날 김 부장은 농협은행을 포함한 국내 금융권이 원하고 있는 EDR 제품에 대한 요구 사항도 공개했다. 이와관련 김 부장은 망분리 등 금융권 특수 환경에 대응하고, 침해사고 탐지 및 위협에 대한 명확한 정보를 제공하며 기존 보안체계와의 통합 방안을 제시하는 것이 필요하다는 점을 강조했다.

금융권은 폐쇄망이라는 특수 환경이기 때문에 인터넷 연결 없는 온프레미스 환경으로 구축해야 하고, 엔드포인트 보안 솔루션과 충돌, 자원 사용률을 최소화해야 한다.

또, 위협정보에 있어 긴급도와 중요도를 분류·제공하면서도 감염경로, 대수, 행위 분석 및 전파현황에 대해 손쉽게 파악할 수 있어야 한다. 감염기기 격리, 삭제, 프로세스 중지 등 사후 조치 편의성도 요구된다. 내부위협정보(SIEM)와 기존 보안솔루션 정보, 기존 관제 시스템과의 연계방안도 필요하다.

김유경 부장은 “금융기업은 망분리된 환경이라 PoC를 했을 때 프로그램이 작동되다 멈추기도 하고, 후킹 방식으로 운영되다 보니 악성행위로 잘못 인식하거나 리소스 부하가 오기도 했다”며 “EDR이 향후 농협의 10만 클라이언트로 확장했을 때 위협정보 정제와 자동화를 어떻게 구현할 수 있을지도 궁금하다”고 전했다.

또 “EDR에 바라는 것은, 위험행위와 정제된 정보가 한 눈에 보여 손쉽게 제어할 수 있으면 좋겠다”며 “농협은행은 자동화를 많이 하다 보니 API 등 연결성도 제공된다면 바랄 나위가 없다”고 말을 보탰다.

사실상 농협은행뿐 아니라 농협금융의 보안을 책임지고 있기 때문에 은행 1만5000여대, 농협 상호금융(단위조합)을 포함해 약 10만대 규모의 보안 관리 대상이 있는 셈이다. 이에 자동화와 인텔리전스를 통해 보안인력들의 부담을 덜고 효과적으로 보안위협에 대응해야 한다. EDR도 이러한 전략의 일환으로 구성돼야 한다는 설명이다.

앞서, 보안사고 경험을 갖고 있는 농협은행은 2014년부터 2016년까지 금융권 최고 수준의 보안체계 구축을 목표로 정보보호 거버넌스, 단말 보안, 인프라 보안, 전자금융보안, 개인정보보호 영역에 대한 리빌딩을 추진했다. 만 3년간 정보보호 컨트롤타워, PC 인터넷 망분리 구축, 통합 IT센터 이전 등 정보보호 부문 종합대책 104개 프로젝트를 수행했다.

지난해부터는 두 번째 단계로 ‘NH보안 지능화 전략’을 추진하며 AI를 전면에 내세우고 있다. 지능화된 공격에 대응하기 위한 보안체계의 지능화, 복잡해지는 공격징후 탐지 및 보안장비 운영 자동화를 목표로 한다. 이와 관련 농협은행은 ▲차세대 보안관제 시스템 ▲위협정보 수집 자동화 시스템 ▲악성코드 통합 검역 시스템 ▲개인정보 오남용 모니터링 시스템 사업을 진행하고 있다.

차세대 보안관제 시스템은 보안장비의 모든 로그를 추출해 빅데이터로 저장, 보안위협의 실시간 추적 및 상관분석 할 수 있는 차세대 관제 시스템이다. 관제업무 프로세스 자동화, 관제대상 장비 확대, 다양한 탐지 및 분석 룰 운영 가능, 1분 이내로 분석 시간 단축을 목표로 하며 머신러닝을 이용한 분석을 적용 중이다.

위협정보 수집 자동화 시스템은 대외기관 및 보안전문업체 위협정보 수집 절차를 자동화해 최신 위협정보를 실시간으로 활용한다. 최신 위협정보 매칭 예상 소요 시간 최대 12시간에서 실시간으로 단축한다는 방침이다. 연말경 완성될 예정이다.

악성코드 통합 검역 시스템은 인터넷, 팩스, 대외망을 통한 유입파일 및 내부 그룹웨어에서 유통되는 모든 파일에 대한 악성코드 전수 검사를 한다. 샌드박스를 이용한 교차 분석을 수행한다. 개인정보 오남용 모니터링 시스템은 영업점(본부) 직원이 금융거래를 처리하면서 발생 가능한 개인신용정보 오남용을 탐지하고 사후관리하기 위한 빅데이터 모니터링 시스템이다.

김유경 부장은 “농협은 계열사가 많으니 악성코드 유입경로가 그만큼 많으며, 방화벽에 있어서 위협이 어디에서 들어올지 모른다”며 “이를 고려해 파일시스템을 모두 검역하고 개인정보 오남용 시나리오를 80여개 수립했으며, 보안관제 및 탐지 영역도 확대하려고 한다”고 부연했다. 실제로 농협측은 검역시스템을 새롭게 구축함으로써 하루 평균 66000건의 파일을 검역하고 있다.

<최민지 기자>cmj@ddaily.co.kr
최민지
cmj@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널