[금융보안 퍼스트 시대 (1)] 잠들지 않는 금보원, 최전선에서 '피싱 감별사'

[한국금융신문 정선은 기자] [편집자주 : 금융환경이 융합과 개방으로 나아가면서 견고한 금융보안 필요성이 더욱 커지고 있다. 금융사는 디지털 전환을 추진하면서 경영리스크로 관리할 보안 역량을 요구받고 있다. 약한 고리를 파고드는 사이버 위협 가운데 금융보안의 현재는 어떻고 또 앞으로 어떤 과제가 있는 지 모색해 본다.]

탐지→분석→대응.

경기도 용인에 위치한 금융보안원에 이달 22일 기자가 직접 방문해 보니, 통합보안관제센터에서 30여명의 보안 전문인력이 주야로 교대하며 24시간 365일 '조용한 전투' 중이었다.
통합보안관제센터는 금융보안원의 핵심 기지로 금융분야 정보공유 분석센터(ISAC) 역할을 한다. 금융회사를 비롯, 정부 및 유관기관 등 190곳과 정보를 공유하고 공조하고 있다.

통합보안관제센터에서 실시간 침해시도 탐지가 이뤄지면 유의미한 것을 골라내 분석하고 대응한다. 센터 종합상황실 대형 화면에는 이날 수 십 만건의 탐지현황과 함께 공격이 탐지된 국가별 순위도 매겨졌다.

김기철 금융보안원 보안관제팀장은 "실제 공격 조직들은 IP를 경유해서 우회하는 경우가 많아서 직전의 국가를 탐지하는 것이고 공격 국가를 특정하기는 어렵다"고 설명했다.

패턴 기반의 IDS(침입탐지시스템)뿐 아니라 빅데이터를 분석하는 TAS(트래픽분석시스템)도 가동하고 있다. 더 나아가 지능화되는 공격에 대응하기 위해 지난해 개발이 완료된 AI(인공지능) 기반 분석 모델도 최근 시스템에 접목했다.

금융보안원에 따르면, 오탐을 제외하고 올해 상반기 기준 최종적인 전자적 침해시도 대응 실적은 총 115만5000건이며, 하루 평균으로 따지면 6300건 꼴로 나타났다.
대응건에 대해서는 공격자 IP에 경고 메일을 보내고 해당 금융회사에 알려 전파한다. 공격이 다른 금융회사까지 번지지 않도록 요주의 IP는 정보를 서로 공유하며 밀착 방어한다.

김기철 금융보안원 보안관제팀장은 “공격을 보면 금융사의 가장 약한 고리를 노리는데 대형 서버보다 사용자 쪽 이메일 등이 대상이 된다”며 “다행히 금융사는 망분리가 잘 돼 있기는 하지만 사이버 공격이 조직화·지능화되고 있다고 할 수 있다”고 설명했다.

금융보안원은 기본적으로 디도스(DDoS·분산서비스거부) 공격 비상 대응센터 역할도 맡고 있다. 대규모 디도스 공격이 발생하면 대신 차단하고 정상 트래픽만 참가기관으로 전송해준다.

최근에 관심이 쏠리고 있는 분야는 ‘약한 고리’다. 누구나 알만한 금융회사나 공공기관을 그럴듯하게 사칭해서 개인정보를 낚는 피싱(Phishing), 악성코드로 감염시켜 사용자 PC를 조작하는 파밍(Pharming)이 있다.

이날에도 센터 대형 화면에 선제적인 피싱사이트 탐지 현황이 실시간으로 오르락내리락 했다.

금융보안원은 자체 개발해서 운영 중인 '피싱탐지시스템(PAS)'에 보이스피싱 범죄에 이용되는 악성앱을 탐지할 수 있도록 기법을 보강했다.

피싱탐지시스템(PAS)을 적극 가동하면서 올해 상반기 피싱사이트 탐지 건수가 2만2206건으로 지난해 연간 건수(1만8422건)를 이미 앞질렀다.

피싱탐지 정보는 한국인터넷진흥원(KISA)에 신고하고 금융회사에 전파하게 된다. 주로 해외에 있는 피싱사이트 접속이 차단돼 악성앱 다운로드 경로가 막히므로 피해를 예방할 수 있다.

수장인 김영기닫기김영기기사 모아보기 금융보안원장도 금융보안 파수꾼 역할을 자임하고 있다. 금융회사 최고경영자(CEO)들이 디지털 전환에 힘을 싣고 있는 가운데 권역 별 침입시도 같은 금융보안 관제 동향을 담아 모바일 CEO레터를 보내며 적극 소통하고 있다.

정선은 기자 bravebambi@fntimes.com