“지루한 컨퍼런스는 NO! 신나는 축제는 YES!” 금융보안 전문기업 NSHC(대표 허영일 www.nshc.net)가 27일 엘타워에서 금융사 보안담당자 80여 명이 참석한 가운데 개최한 글로벌 금융 IT 보안 컨퍼런스 ‘SAFE SQUARE 2013’은 기존 딱딱한 분위기의 컨퍼런스와는 달리 마치 작은 해커 컨퍼런스 처럼 유쾌하고 재미있게 진행됐다.

 
오프닝부터 남달랐다. 허영일 대표는 평소 연습한 섹소폰을 들고 나와 참관객들 앞에서 멋들어지게 ‘You raise me up’을 연주해 박수갈채를 받았다.
 
또한 주제발표 중간중간 퀴즈와 다양한 이벤트로 참관객을 즐겁게 했고 강연장 옆 야외공간에서는 제기차기, 동전던지기, 딱지치기 등 추억의 게임들과 포토존 등 재미있는 이벤트들이 진행돼 지루할 새가 없었다. 그리고 무한 제공된 생맥주는 참관객들 간 어색한 분위기를 해소하는데 도움을 주었고 점심 이후에는 작은 음악회까지 열려 참관객들의 눈과 귀가 즐거운 하루였다.  

 
◇보안, Back to the basic!=주요 발표를 살펴보면, 첫번째로 하나은행 윤종옥 팀장의 발표가 시작됐다. 주제는 ‘차세대 금융보안시스템 구축사례’였다. 윤 팀장은 “금융권은 최근 다양한 금융보안 위협을 경험했다. 이는 취약점 대처와 기본적인 대응요령들이 무시돼 발생한 사건들”이라며 “Back to the basic, 즉 기본으로 돌아가 기본에 충실하는 것이 최선”이라고 강조했다.
 
하나은행은 전자금융과 내부통제 영역으로 구분해 보안을 1~7레이어까지 전 영역에 포함해 체계으로 운영하고 있다.
 
업무 영역에서는 접근통제시스템 강화를 위해 NSHC와 공동으로 개발한 스마트폰 OTP 로그인 시스템을 운영하고 이를 시스템접근통제와 연동해 OTP인증 없이는 어떠한 시스템 접근도 될 수 없도록 통제를 강화하고 있다.
 
또한 알려지지 않은 악성코드 탐지와 대응을 위해 빅데이터 분석을 통한 통합로그분석 시스템을 도입해 사전대응에 초점을 맞추고 있다고 한다.
 
윤 팀장은 “보안로그 분석은 기본중의 기본이다. 그러나 현실은 엄청나게 쏟아지는 보안시스템 로그를 빠르게 분석하지 못하는 상황이다. 이를 해결하기 위해 빅데이터 시스템을 이용해 빠른 속도로 로그분석을 실시하고 있으며 지난 3.20 사이버공격 시에도 빅데이터 시스템으로 상당히 빠른 속도록 문제가 된 C&C서버와 내부 PC가 접속했는지를 파악해 낸 바 있다”고 설명했다.
 
또한 최근 이슈가 되고 있는 스마트폰 뱅킹에 대한 보안강화에도 힘을 쏟고 있다고 한다. 특히 그는 “금융 앱 보안을 위해 NSHC와 협업을 하고 있으며 금융사의 요구를 적극 수용해 솔루션에 적용해 주고 있는 NSHC에 감사한다. 앞으로도 지속적인 공동대응에 노력해 주길 기대한다”고 밝혔다.
 
더불어 “스마트폰 앱 위변조 방지를 위해 난독화를 적용하고 있다. 앱 무결성 검증을 위해 앱 해쉬값을 떠 놓고 서버단에서 해쉬값을 비교해 위변조를 검증 하는 등 관련 공격들을 차단하기 위해 노력하고 있다”며 “앱 자체에 대한 보안은 금융앱의 필수요건이다. 스마트폰 뱅킹 보안을 위해 앱 개발 초기단계부터 시큐어코딩이 중요하다”고 강조했다.

 
◇안드로이드 금융앱을 노리는 해커들=두번째 발표는 NSHC에서 운영하고 있는 RedAlert팀 봉용균 팀장의 발표가 이어졌다. 주제는 ‘스마트 서비스 환경의 초신 해킹 기법 시연’이었다.
 
봉 팀장은 “스마트폰 점유율 중 안드로이드가 70.3%를 차지하고 있다. 따라서 해커들은 안드로이드 사용자를 대상으로 가장 많은 공격을 시도하고 있다”며 “2012년 통계를 보면 안드로이드 대상 악성코드가 79%에 달할 만큼 안드로이드 대상 공격이 급증하고 있다”고 전했다.
 
그는 또 “안드로이드용 악성코드 유포는 주로 SMS를 통해 유포되고 있고 주로 금전 갈취와 데이터유출을 목적으로 이루어지고 있다”며 “특히 금융서비스와 관련된 정보를 탈취하기 위한 악성코드들이며 매일 다른 형태로 악성코드가 생성되고 짧은 주기로 변경이 이루어지고 있어 방어하기가 쉽지 않다”고 주의를 당부했다.
 
한편 시연도 이루어졌다. SMS를 통한 악성코드 유포 시도가 이루어지고 사용자 단말에 악성앱이 설치되고 악성코드가 실행되면 C&C서버에 감염자 폰의 휴대폰 정보와 각종 개인정보들이 그대로 전송되는 상황을 시연해 보여줘 참관객들의 관심을 끌었다.
 
이외에도 윤선희 NSHC 부장의 ‘안드로이드 보안을 위한 핵심전략’, 우상태 이사의 ‘금융보안을 위한 모의해킹 서비스 소개’ 등이 이어졌고 해외 발표자로 일본 NetMove사 사와다 대표의 ‘일본 금융보안 시장의 현 주소 및 클라이언트 금융보안 솔루션 도입 사례’, 싱가폴 TBS 치와 대표의 ‘글로벌 금융기관을 대상으로 하는 최신 공격 유형과 대응현황’ 등에 대한 발표가 이어졌다.
 
◇한국 해커들의 해외진출 기회 만들 것=허영일 대표는 데일리시큐와의 간략한 인터뷰를 통해 “이번 컨퍼런스는 NSHC 설립이래 단독으로 주최한 처음 행사다. 어색한 자리보다는 재미있고 신나는 컨퍼런스를 만들어 보고 싶었다. 그래서 재미있는 이벤트도 많이 준비했다”며 “작은 자리였지만 우리나라 금융사들이 글로벌 금융사로 발돋움 하는데 도움이 되고자 해외 금융기업들의 보안구축 사례도 소개하고 서로 대화할 수 있는 자리를 만들었다는데 의의를 가진다. 우리 금융사들도 보안투자 더욱 적극적으로 하고 해외 진출 준비를 해서 글로벌 금융사로 더욱 성장하길 기대한다. 이번 컨퍼런스가 작은 도움이 되길 바라는 마음”이라고 밝혔다.
 
또 “NSHC는 글로벌 금융 IT 보안 컨퍼런스 ‘SAFE SQUARE’를 앞으로 매년 개최할 예정이다. 첫해라 부족한 면도 있었지만 앞으로 더욱 알차고 재미있는 컨퍼런스로 만들어 나가겠다”고 밝히고 “지난 1년간 싱가폴 TBS사와 취약점 분석과 제로데이 리서치 등 협력을 해오고 있으며 한국의 실력있는 해커들이 아시아 전역에 진출해 강의도 할 수 있도록 교육시스템도 만들고 있다. 국내 해커들의 해외 진출에 도움이 될 수 있길 바란다”고 전했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com