2009년 08월 17일

박인범 우리투자증권 TIS부 대리
 

비인가자 권한통제 및 중앙집중통제관리에 효과적


지난 1969년 한보증권으로 출발한 우리투자증권은 40여 년간 국내 증권시장의 성장을 견인하며 대한민국 대표 증권사로서의 입지를 다져왔다. 지난 2005년에는 LG투자증권과 우리증권을 합병하고 전 사업 영역에 걸친 Top-tier 수준의 경쟁력을 토대로 성장하고 있는 우리투자증권은 2009년 3월 현재 67만여명의 고객과 90조원의 고객예탁자산을 확보하고 있다. 박인범 우리투자증권 TIS부 대리는 “이렇게 회사가 성장하면서 업무에 따른 전산시스템도 IT환경에 따라 많은 변화를 거쳐왔다”며 “특히 지난 2007년부터 금융권 차세대 시스템 구축 작업에 착수해 지난 2008년 12월 완료한 우리투자증권은 기존 메인프레임 시스템에서 오픈시스템으로 주전산기를 교체하고 서버와 DB보안을 강화했다”고 밝혔다.


우리투자증권에서 현재 사내 최대 보안 이슈로 꼽는 것은 DBA, 개발자, 운영자 등등, 각자의 역할에 따라 사용자의 데이터 접근에 대한 중앙집중통제 관리기능의 강화하는 부분이다. 또한 개발·운영환경 분리구축에 따른 개발자·DBA 등 내부 사용자에 의한 데이터 유출방지와 로깅 및 DBA·개발자의 중앙집중적인 권한제어도 중요한 보안 이슈로 떠오르고 있다.


그리고 또 한 가지는 최근 들어 증가하고 있으며 이에 의한 피해 심각해지고 있는 DDoS공격 방어를 위한 시스템과 사용자 접근통제, 보안정책의 보완 등이 현재의 최대 보안 이슈다. 박인범 우리투자증권 TIS부 대리는 “무엇보다 중요한 보안 이슈는 내부자의 정보유출방지”라고 강조했다.


그는 또 우리투자증권의 보안팀 규모와 주요 업무에 대해서 “시스템 운영을 담당하는 TIS부내 보안전담파트를 구성하고 있으며 총 5명의 전문 인력으로 구성되어 있다”며 “이들 5명 중 2명은 보안기획 및 총괄업무를 맡고 있으며 1명은 시스템 및 DB보안, 또 1명은 네트워크·방화벽 보안, 그리고 마지막 1명이 PC 및 바이러스 보안을 담당하고 있으며 이들 5명은 각각 상호백업체계를 구축해 서로의 업무를 공유하고 있다”고 설명했다.


한편 박 대리가 근무하는 우리투자증권 TIS부는 Technical Infrastructure Service의 약자로 IT분야에서 시스템 운영과 관리 업무를 하며 IT서비스를 지원하는 부서를 뜻한다.


오픈시스템으로 주 전산기교체, 보안 강화


우리투자증권은 지난 2007년 차세대 시스템 구축을 진행하면서 2008년 12월 기존 주 전산기였던 메인프레임 시스템을 오픈시스템으로 교체작업도 함께 진행했다. 이에 따라 기존 메인프레임보다 보안 측면에서 취약한 오픈시스템에서의 서버와 DB보안을 강화하기 위한 솔루션을 검토하고 주전산 서버의 보안을 강화하기 위해 DB보안의 필요성을 인지하고 이에 대한 솔루션을 도입키로 하고 이를 구축하게 됐다.


박 대리는 “특히 차세대 시스템 구축 프로젝트를 위한 준비를 시작하면서 DB의 물리 및 Meta 관리를 위해 DB데이터 접근 및 권한통제, 중앙집중통제관리에 효과적인 DB보안 솔루션을 검토하고 기능적인 면이나 환경적인 면에서 적합한 솔루션을 검토하던 중 우리투자증권의 시스템과 DB에 가장 적합한 PNP시큐어의 DB세이퍼를 도입하게 됐다”고 밝혔다.


이렇게 해서 우리투자증권은 DB보안 솔루션을 도입해 오픈시스템의 주 전산 서버와 DB에 대한 보안을 강화했다. 특히 박 대리가 이러한 DB보안 시스템을 구축하기 전에 가장 먼저 고려했던 부분은 시스템 운영의 안정성, 권한통제 및 로그관리의 중앙집중통제 편리성, 개발자·관리자의 권한분리 등이었다.


특히 그는 도입 전 충분한 검토와 BMT를 거쳐 중앙집중적 접근통제가 가능하고 데이터의 위변·조 방지를 위해 사용자별 권한통제 등이 가능한지 등을 세밀하게 따져 우리투자증권의 전산 시스템에 가장 적합한 솔루션을 선택한 것.


박 대리는 “DB세이퍼는 기존 메인프레임에서 오픈시스템으로의 DB 전환이라는 큰 변화를 감안해서 데이터의 전환과 개발자·관리자의 각 데이터 업무영역으로 접근권한 통제 등에 대한 정책의 일관성 유지 등, 여러 가지 부분에서 우리투자증권의 시스템 환경에 가장 적합하고 만족스러운 결과가 나왔다”며 “특히 사후 추적을 위한 사용자 로그관리 및 변경관리결제시스템(DMS)의 추가, 개인정보보호를 위한 쿼리 마스킹 기능을 통해 비인가자의 정보 접근을 차단하는 기능 등이 매우 만족스러웠다”고 DB세이퍼의 특징과 장점에 대해 설명했다.


하지만 그는 이와 같은 장점에도 불구하고 DB보안 솔루션을 구축하는 과정에서 일부 어려웠던 점도 있었다고 말했다. 그 중에서도 가장 어려운 문제에 부딪혔던 부분에 대해서 그는 “기존 메인프레임에서 오픈시스템으로 전환이라는 큰 변화로 인해 DB서버를 업무별로 분리해 구축해야 했고 관리자, 개발자, 운영자 등의 사용자 업무권한에 따라 권한분리 등에 대한 새로운 시스템으로의 전환에 따른 정책의 일관성을 유지해만 했는데 이를 유지하기가 매우 힘든 부분이었다”고 밝혔다.


즉 업무별로 서버를 분리·구성하는 과정에서 시스템은 더 다양해졌지만 이를 위해 DB보안 시스템을 도입해 그 만큼 보안은 강화됐다는 점은 이점이 될 수 있다고 말했다.


통제권한에 대한 중앙집중관리 가능


그러면 현재 DB보안 시스템을 운영하면서 박 대리가 느낀 DB세이퍼만의 장점은 무엇일까? 그는 “DB세이퍼는 국내 보안 전문 업체에서 개발되었기 때문에 필요에 따른 기능 추가와 기존 IT환경에 맞도록 보완이 가능하며 또 사용시 이슈화된 문제점에 대한 지원과 서비스, 그리고 유지보수 등의 기술지원 등이 사용자들에게 편리하도록 잘 이루어진다”는 점을 들었다.


또한 그는 국내 금융결제원 등과 보안이슈 사항을 함께 공유하고 있어 보안 취약사항에 대한 공동대응이 가능하다고 덧붙였다. 특히 DB보안 솔루션 구축 후의 DB운영이나 보안측면에서 나타난 효과와 장점으로 “단일 솔루션으로서의 DB보안 제품으로 평가한다면 데이터에 대한 개발자와 관리자의 접근통제권한에 대한 중앙집중관리, 로깅관리 기능이 타 제품에 비해 탁월하다고 할 수 있다”면서 “서버 시스템 보안통제 솔루션과 연계할 때 호환성과 기능보완 측면에서 아주 편리하다”고 말했다.


우리투자증권은 향후 고객정보나 사내 보안강화를 위해 내부정보유출방지, 사내외 메일·메신저 통제 및 로깅, 개발·운영 분리에 따른 내부자 관리강화 등이 추진되고 있다. 또한 최근 발생한 개인정보유출 사건과 관련, 자사 시스템에 대한 내부유출방지 솔루션 및 PC보안을 강화 및 이를 추진하고 있으며 외부 해킹 및 DDoS 공격 대응방안도 적극 검토·추진하고 있다.


박 대리는 한 기업의 보안 담당자로써 올해 최대 중점 보안 업무로는 시스템 운영과 관리체계 정립을 위해 보안정책에 대한 통제력 강화에 중점을 둘 계획이다. 또한 정보유출 중에서도 내부자의 정보유출방지와 최근 증가하고 있는 DDoS공격에 대한 대응체제를 검토해 이에 적합한 대응방안과 시스템 구축을 위한 준비를 하고 있다.


“보안은 어느 한 파트의 시스템을 구축한다고 해서 완벽하다고 할 수는 없다”는 박 대리는 개발자·운영자 및 보안 관리자의 보안에 대한 인식수준을 높이는 분위기 조성이 필요하다고 강조한다. 이렇게 보안에 대한 각각의 이해관계자들의 눈높이를 맞추어 시스템이 구축될 때 비로소 보안통제에 대한 시너지 효과로 높은 성과를 보일 수 있다는 것.


아울러 금융감독원, 금융결제원 등에서도 보안지침에 의한 원칙적인 통제뿐만 아니라, 보안의식의 변화를 위한 사회적 보안의식을 고려한 정책이 마련되어야 할 것이라는 것이 박 대리의 생각이다.


즉 현재 보안에 대한 박 대리의 계획과 큰 그림은 보안파트의 비전 등 향후 회사 내 IT보안에 대한 체계적인 운영과 전사적인 보안관리를 위해 보안업무에 대한 회사 내의 눈높이를 맞추는데 전력을 기울인다는 것.


한편 현재 우리투자증권은 보안의 효율성을 높이고 체계적인 관리를 위해 통합보안 시스템 구축을 현재 추진 과제로 삼고 있으며 한 단계씩 실행에 옮기고 있다.


<글/사진 : 김태형 기자(is21@boannews.com)>



[월간 정보보호21c 통권 제108호 (info@boannews.com)]


<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>


 
기사원문 : http://www.boannews.com/know_how/view.asp?page=1&gpage=1&idx=2696&numm=2325&search=title&find=&kind=02&order=ref