세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
[카드뉴스] 차세대 전산시스템 보안, 핵심 고려사항은?
  |  입력 : 2018-06-29 13:07
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기










“우리은행 업데이트 이후에 원터치 알림앱에서 다른 사람의 계좌 입출금 내역이 들어오고 있습니다. 내역에 찍힌 계좌번호까지 다른데 이게 어떻게 구현을 하면 이런 문제가 발생하는 걸까요? 그 분 계좌들 잔액까지 나오네요.”

5월 9일, 온라인 커뮤니티 ‘생활코딩’에 올라온 제보와 잇따른 유사 피해들…….

제보가 시작된 5월 9일은 우리은행이 ‘차세대 전산시스템’을 도입한 바로 다음날이었습니다. 이에 피해자들과 은행의 일반 고객들 사이에서 차세대 전산시스템에 대한 관심이 높아졌죠!

차세대 전산시스템이란 은행이 새로 도입하는 전산장비 및 소프트웨어, 전산시스템, 운영체제를 아울러 이르는 말입니다. 우리나라에서는 2005년부터 본격적으로 논의되기 시작했습니다. 1980년대 말~1990년대 초 구축된 기존의 전산시스템으로는 인터넷뱅킹·모바일뱅킹 같은 새로 등장하는 금융서비스를 감당하기 어려웠기 때문입니다.

차세대 전산시스템은 대개 15년 주기로 도입됩니다. 종류는 2가지. 주전산기에 탑재되는 운영체제에 따라 메인프레임과 유닉스로 구분됩니다. 전자는 폐쇄형, 후자는 개방형인데 어느 것이 더 낫다기보다 각각의 장단점이 존재합니다.

전체 전산시스템을 단기간(2년 이내)에 교체하는 빅뱅식과 중기간(2년 이상)에 걸쳐 단계적으로 교체하는 점진적 방식으로 나뉘기도 합니다. 우리은행의 경우, 2년간 3,000억원을 투입한 빅뱅식으로 차세대 전산시스템을 도입했습니다. 운영체제는 메인프레임에서 유닉스로 전환했고요.

그렇다면 차세대 전산시스템 보안을 위해서 무엇을 고려해야 할까요?

가장 중요한 보안 고려사항은 유지보수 인력에 대한 통제입니다! 외부 개발자들이 단기간 대규모 투입되는데 이때 테스트 데이터뿐만 아니라 실데이터(real data)도 사용하게 되기 때문이죠.

차세대 전산시스템은 전체 준비기간의 절반이 테스트에 쓰입니다. 코딩마다 단위 테스트를 수행해야 할뿐더러 화면 테스트, 다른 거래와의 연동 및 통합 테스트, 성능 테스트, 주요 시나리오 테스트 등이 수행됩니다. “개발 단계별로 정교하고 꼼꼼한 테스트가 수반되지 않으면 보안 구멍(hole)이 생길 수밖에 없다”는 것이 관계자들의 중론입니다.

테스트 시, 시스템 구축 수준 확인을 위해 쓰이는 실데이터(실제 고객정보)에 은행 외부직원이 접근할 때 보안상 위험이 매우 큽니다. 위험을 줄이려면, 1) 내부시스템 접근통제 강화 2) 실데이터 변환으로 직접 사용 차단 3) 보안 서약서 작성 4) PC 및 저장매체 반·출입 통제 등이 이뤄져야 합니다.
[오다인 기자(boan2@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)