企銀·産銀, 내부 보안 강화에 ‘구슬땀’

바젤2, SOX 등의 규제사항을 준비하기 위해 최근 금융기관 내부에서 보안을 강화하는 움직임이 활발하다.

지난 3일 기업은행은 자사의 주전산기인 계정계 메인프레임 시스템에 로그 분석기를 도입한다고 밝혔고, 같은 날 산업은행은 50여개의 자행 시스템을 연계하는 ID 통합관리 솔루션 ‘싱글사인온’을 재구축한다고 밝혔다.

◆ 기업銀, 3/4분기에 전사적 적용
기업은행은 최근 자행의 계정계 시스템에 로그 분석 시스템을 도입하는 ‘주전산기 시스템의 보안 Event 관리체계 구축’ 사업을 시작한다고 밝혔다.

자행 주전산기 시스템의 보안 취약점과 내부통제를 강화한다는 취지하에 추진 중인 로그 분석기 도입 사업은, 메인프레임 환경의 주전산기에서 발생하는 각종 보안 이벤트를 체계적으로 관리함으로써, 시스템 불법접속 통제 및 자원사용의 적정성을 검증하기 위함에 목적이 있다.

특히 이번 시스템은 현재로선 계정계 시스템에 국한된 영역에 도입될 예정이지만 향후 전체 시스템으로 확대 적용할 계획이어서, 내부 보안성 향상뿐만 아니라 외부에서 접속하는 모든 채널에 대한 안정성도 크게 향상될 것으로 전망했다.

이번 “주전산기 보안 Event 관리체계 구축” 사업은 사업자 선정과 계약과정이 마무리 되는 시점으로부터 총 2개월간의 개발기간을 필요로 하는 소규모 사업이지만, 향후 전사적으로 확대 적용할 방침이기 때문에, 전체 통합 로그 분석기의 밑그림을 그리는 첫 단추라는 점에서 의의가 크다.

따라서 기업은행 측은 이번 사업의 사업자 선정 과정에서 SW 제품군의 성능과 이를 지원할 수 있는 유지보수 능력도 중요하지만, 그보다 향후 기업은행 측이 추구하고 있는 장기적인 정보보호 마스터플랜에 부합되는지 여부에 좀 더 높은 점수를 부여한다는 입장이다.
◆ 장기적 서비스 비전 제시가 변수

현재 기업은행 측은 오는 9월, 자사의 주요 시스템에 활용중인 4개의 메인프레인 CPU를 5개로 확대한다는 계획이다. 따라서 업그레이드 된 시스템을 통합적으로 지원해 줄 수 있는 장기적인 서비스 비전 제시가 차별화 전략의 변수로 작용할 예정이다.

기업은행 정보시스템부 김경필 차장은 “기업은행은 오는 9월까지 현재 운영중인 메인프레임의 CPU를 4개에서 5개로 확대할 계획”이라며 “하드웨어를 추가로 도입하는 방식이 아니라 이미 구축된 프로세서의 라이선스를 추가로 구매하는 형식이 될 것”이라고 설명했다.

또한 “현 시점에서는 2,633MIPS의 메인프레임 CPU 용량을 사용하고 있지만, 9월 이후에는 453MIPS가 증가한 3,086MIPS의 용량이 될 것”이라며 “사업자 선정 과정에서 업그레이드되는 동 시스템을 얼마나 잘 지원해 줄 수 있느냐 여부에 무게를 둘 것”이라고 강조했다.
기업은행 측은 이번 로그 분석기 도입을 통해 주전산 시스템인 메인프레임으로 접속하는 현황을 실시간으로 파악할 수 있게 될 것으로 전망했고, 이를 통해서 국제적인 기준에 부합하는 각종 규제준수에 한발 다가섰다는 입장을 보이고 있다 .

◆ 산업銀 계정관리, 국산SW 3파전

한편, 산업은행 역시 오는 7월 18~19일 양일간 한국산업은행 정보시스템부 세미나실에서 통합로그인(SSO)시스템 개편에 대한 제안설명회를 갖고 통합계정관리 솔루션 재구축 사업을 진행할 예정이다.

이번 통합로그인 솔루션 구축 사업은 산업은행이 지난 2001년 3월 15일에 오픈한 신정보시스템의 계정관리 시스템을 대체하는 데 목적이 있다.

산업은행 역시 내부 보안을 강화하기 위한 목적으로 이번 사업을 진행한다는 점에서 기업은행과 크게 다를 바 없지만, 국책은행이라는 특성상 국정원의 보안적합성 심사를 거친 국산 SW 업체만이 참여할 수 있어 큰 차이점을 보여주고 있다.

산업은행의 통합계정관리 재구축 사업은 50여개의 내부 시스템을 통합하고, 이에 대한 통일된 접속 시스템을 갖추는 것이 골자로, 사업자 선정이 완료되는 시점부터 총 4개월의 개발기간동안 4억원의 예산이 투입되는 사업이다.

현재 국내에서 싱글사인온 패키지 솔루션을 공급하는 기업은 많지만, 국산 업체이며 동시에 보안 접합성 평가를 받은 보안기업이 소프트포럼ㆍ이니텍ㆍ유비엔티스랩 3곳밖에 없어, 사실상 이 3기업 중 한 곳이 선정될 확률이 높은 것으로 예상된다.

◆ 암복화 기술력에 높은 비중

현재 산업은행이 제안요청서를 통한 밝힌 요구사항으로는 크게 △통합로그인 인증단계 △인증서 사용자관리 △자격등급관리 과정에서의 특화된 암복화 기술력을 제공할 수 있느냐에 무게를 둔 상태고, 3가지 요구사항에 대해서는 각각 5개 정도의 세부 요구사항이 추가된 상태다.

암복화 기술이란 클라이언트 PC와 인증서버 사이의 인터페이스 과정을 암호화하고 해독하는 기술력이고, 암호화된 데이터를 받은 인증서버는 이를 복화해 인증한 후, 다시 암호화를 통해 클라이언트 PC로 해당 정보를 제공하는 방식이다.

한국산업은행 정보시스템부 프로젝트관리팀 황수범 팀장은 “현재로선 자격을 가진 업체가 3곳 정도로 파악되고 있지만, 해당 업체가 어떤 방식으로 제안할지에 대해서는 알 수 없다”며 “각 기업들이 추가적으로 제안하는 항목을 비교 검토 후, 최적의 방안을 선택할 계획”이라고 말했다.

또한 “이번 시스템 도입을 통해서 불필요한 내부 인증과정을 크게 개선하는 효과를 기대할 수 있고, 동시에 보안측면의 안정성도 크게 향상 시킬 수 있게 될 것으로 기대한다”고 덧붙였다.

현재 기업은행의 ‘주전산기 시스템의 보안 Event 관리체계 구축’ 사업은 7월 13일까지 제안서를 접수할 계획이고, 산업은행의 통합로그인시스템 개편 사업은 16일에 입찰 참가자 등록을 마감할 계획이다.



김남규 기자 ngkim@fntimes.com