[ET단상]VPN 음지만을 노리는 해킹 차단 방법은

박완성 금융정보시스템연구회 회장
박완성 금융정보시스템연구회 회장

2000년 이후 최고의 인터넷 기반 통신 방법이 가상사설망(VPN) 방식이다. VPN 방식은 정보화시대 초기에 금융전산망에서 사용해 오던 고비용의 전용선 통신 방식을 대신한 이래 인터넷 기반 환경에서 최고의 황금기를 지금까지 누리고 있다.

현재 대부분 금융기관에서 사용하고 있는 VPN 기반 접속 방식은 지난 20여 년 동안 인터넷 기반 환경의 네트워크 보안에서 효율성·경제성·보안성이 높은 통신 방식으로 자리 잡았다.

다만 통신 과정에서 서버 등 인터넷(IP) 주소가 노출돼 해킹 우려가 있고 실제로 해킹 사고가 여러 자료 등을 통해 발표되고 있음에도 금융기관은 오랫동안 안정을 유지하며 잘 사용해 온 관성 탓에 가장 안전하다고 생각하고 있다. 해외에선 이미 새로운 네트워크 보안 방식이 개발돼 널리 활용되고 있음에도 국내 금융기관은 VPN 방식을 여전히 고수하고 있는 셈이다.

물론 금융기관은 2011년과 2014년에 발생한 전산 사고 이후 망 분리를 의무화, 대형 해킹 및 분산서비스거부공격(DDoS, 디도스)에 대해 잘 대응하고 안정된 금융서비스 환경을 제공하고 있다. 또 VPN 기반 접속 방식으로 오랫동안 금기시해 온 재택근무도 일상화되고 있다. 그러나 연일 언론에서 거론되고 있는 IP 해킹 관련 이슈나 원격접속 단말 관련 해킹 위험에 대한 적극 대응을 찾아보기는 어려운 게 현실이다.

그렇다면 앞으로의 시대, 즉 금융 응용프로그램개발환경(API) 활성화, 데이터댐 간 자유로운 데이터 이동, 클라우드 및 재택근무가 일상화할 4차 산업혁명 시대 환경에서 우리가 지향해야 할 네트워크 보안 방식은 무엇일까.

새로운 보안 패러다임을 채택한 혁신 기술들을 검증하고, 점차 적용해 간다면 더 효율 높고 안전한 환경이 될 것이라고 생각한다.

최근 국내외 여러 매체 및 자료에서는 화이트리스 개념, 즉 '내부든 외부든 누구도 믿지 마라'를 기본 개념으로 한 '인터넷 망에서는 아무도 믿지 마라'(ZTNA) 또는 소프트웨어정의경계(SDP)를 구현 및 적용하는 방법도 하나의 사례가 될 수 있을 것이다.

다만 우리나라는 여러 금융기관 입장을 볼 때 국내외 보안 관점에서 충분히 검증된 새로운 개념 및 제품이 적용되기는 쉽지 않은 환경이다. 보안에 관한 한 당국의 엄격한 규정이나 지침 및 기준이 있어서 설령 사고가 날 가능성을 상당 부분 인정하더라도 규정 준수를 절대 가치로 생각하고 기준을 벗어나는 방식의 대응에는 미적지근한 것이 현실이다.

규정과 지침은 보안 확보를 위한 최소한의 기준이어야 한다. 각 기관은 시스템 운영을 책임지는 최종 책임자로서 보안성·효율성 등을 고려해 최신 및 최적의 방법을 찾아 문제가 될 만한 원인을 주도해서 선제 방어해야 하는 것이 보안의 최고 목표 기준이 돼야 한다.

아무리 혁신 개념을 구현한 제품이 있다 하더라도 미온 상태로 대응 자세가 지속된다면 무용지물이 되고, 미래에 발생할 사고를 막지 못하고 후회하게 될 수도 있다.

금융보안 환경 강화를 위해 혁신 개념 및 제품을 신속히 도입 및 적용할 수 있는 신속 대응방식 도입이 필요하다. 규정이나 지침을 넘어서는 방식이라면 금융당국·금융기관·제품사 등이 공동 검증한 후 먼저 적용하고, 규정 및 지침을 보완하면 된다.

날고 있는 해커를 사고 후 대응하는 식의 규정으로 막아 내는 데에는 한계가 있다. 향후 일어날지 모르는 사고를 예방하기 위한 목표로 모든 관계자가 함께 지혜를 모아서 노력해야 할 시기다.

박완성 금융정보시스템연구회장 pwspwspw@naver.com