스마트자산관리

(왼쪽부터) 김기석 하나은행 자산관리그룹 부행장, 서봉균 삼성자산운용 대표 [사진=하나은행]

[아이티데일리] 최근 보안업계에서는 날로 진화하는 보안 위협에 대응하기 위한 색다른 시도가 끊이질 않고 있다. 이미 너무나 친숙한 탓에 다시금 생각해 볼 필요조차 느끼지 못했던 각종 보안 용어의 기본적인 개념부터, 공격의 정의와 이를 대하는 방식, 또 대응을 위한 전략과 기술 등 각양각색의 관점에서 변화를 꾀하고 있는 움직임으로 미뤄 볼 때, 보안이 그 어느 때보다 중요해진 시점임을 실감하게 된다. 이러한 흐름에 따라, 필자 역시 다시 기본으로 돌아와 정보 보안의 사전적 정의를 살펴보고자 한다.

정보 보안에 대한 재정의가 필요한 시점

정보 보안이란 정보통신망 및 정보시스템을 통해 수집, 가공, 저장, 검색, 송·수신되는 정보의 유출이나 위·변조, 훼손 등을 방지하기 위해 관리적·물리적·기술적 수단을 강구하는 일체의 행위를 말한다. 이에 정보 보안 담당자의 역할은 보안 규정에 맞게 정보시스템이 구축 및 운영되도록 조치하고, 보안 사고 예방을 위한 구체적인 계획을 수립하고 실천하는 데 있다.

보다 자세하게는 내부 IT 자산에 대한 파악, 운영체제(OS) 설정 및 사용자 권한 현황 파악, 소프트웨어 설치 현황 파악 등 조직 내 IT 인프라 환경에 대한 정확한 인지와 통제를 기반으로 침해 사고나 취약점 발생 시 즉각적인 조치를 취해야 한다. 또 보안 기능이 있는 제품에 대해 안전성을 검증하는 활동인 ‘보안 적합성 검증’을 수행하고, 정보 보안 정책에 대한 이행 여부를 확인하는 ‘정보 보안 관리 실태 평가’를 수행하는 등 정기적인 현황 확인 및 대응이 이뤄져야 한다. 마지막으로 사이버 공격을 실시간으로 탐지, 분석, 대응하는 일련의 활동인 보안관제는 정보 보안의 핵심 업무로 여겨지며, 날로 고도화되는 공격에 따라 보안관제 모니터링의 중요성은 더욱 부각되는 추세다.

여기서 더 나아가 코로나19가 촉발한 디지털 전환은 이러한 정보 보안의 범위를 한층 넓히는 계기가 됐다. 과거 정보보호시스템을 비롯한 각종 정보시스템들은 대체로 조직이 자체적으로 보유한 전산실 서버에 직접 설치돼 운영됐다. 그러나 오늘날 기업 인프라는 기존 온프레미스 환경에서 클라우드 환경, 온프레미스와 클라우드가 혼재된 하이브리드 환경, 메타버스와 같은 가상 환경으로까지 다변화하고 있다. 다시 말해 다양해진 인프라 환경에 따라 오늘날 보안 운영 환경은 한층 복잡해졌고, 이러한 변화에 발맞춰 정교히 진화하는 보안 위협과 더욱 까다로워지는 컴플라이언스로 인해 정보 보안에 대한 재정의가 필요한 시점이 도래했다. 그리고 그 첫 단계로는, 자산관리 범위의 재설정이 있다. 달라지는 정보 보안 패러다임에 맞는 새로운 자산관리가 필요하다는 말이다.

그림1. 확대되는 정보시스템 대상 (출처: 이글루코퍼레이션)

통합된 자산 및 취약점 관리의 필요성

먼저 정보 보안 담당자는 조직 내 IT 자산 중 컴플라이언스와 연관된 자산이 무엇인지 스마트자산관리 사전에 파악하고, 주요 자산에 대한 현행화 및 관리되는 자산에 대한 취약점 진단 업무를 수행해야 한다. 그러나 대다수의 경우, 자산 위협 정보가 수작업으로 관리되고 있으며 매년 강화되고 복잡해지는 정보보호 관련 법규 및 컴플라이언스로 인해 대상 파악부터 진단 및 대응까지, 취약점 관리 전반적인 과정에서 어려움을 겪고 있는 게 현실이다. 그뿐만 아니라 추가되는 자산에 대한 진단 미시행 및 설치된 소프트웨어 식별의 어려움으로 침해 사고 대응에도 지연을 초래하고 있다.

사실 취약점 관리에 대한 중요성은 아무리 강조해도 지나치지 않다. 지능화된 악성코드를 활용한 내부 해킹 공격에 필수적으로 악용되는 게 다름 아닌 OS 취약점 또는 애플리케이션(Applicaition) 취약점이기 때문이다. 대개 이러한 취약점 공격은 한 번의 공격에서 끝나는 것이 아니라 1차 공격 지점을 또다시 악용해 이번에는 ‘내부로부터의 공격’으로 2차, 3차 감염을 야기하며 보안 사고의 규모를 키워가는 게 일반적이다. 이러한 배경에서, 조직 내 자산에 대한 취약점을 사전에 파악하고 조치하는 것이 보안 사고를 예방하는 가장 근본적인 방법이라고도 할 수 있겠다.

그림2. 취약점을 통해 사이버 공격이 전파되는 과정 (출처: 이글루코퍼레이션)

이렇듯 자산 및 취약점 관리의 현실적인 어려움과 그로 인해 야기되는 사이버 공격의 광범위한 확산까지, 오늘날 정보 보안 담당자가 스마트자산관리 직면한 문제를 어떻게 해결할 수 있을까. 핵심은 통합에 있다. 개별적으로 파편화돼 있는 IT 자산을 목록화하고 통합적으로 관리함으로써 누락 없는 보안 진단 및 취약점 점검을 수행하고, 이를 통해 취약 자산에 대한 신속한 대응과 보안 위협에 대한 효과적인 탐지까지 가능하도록 하는 것이다. 다시 말해 기업 인프라의 보안성 확보를 위해서는, 내부 자산의 보안 현황 파악을 기반으로 한 통합 관리 전략이 요구되며, 이는 ▲계획 및 팀 구성 ▲보안점검 항목 최신화 ▲정보시스템 대상 적용 ▲수행 등의 4단계를 걸쳐 체계적으로 수립될 수 있다.

그림3. 자산 통합보안 관리 프로세스 (출처: 이글루코퍼레이션)

위 프로세스를 통해 자산의 통합보안 관리를 위한 기반이 마련됐다면, 그다음은 이와 연계해 보안관제체계를 한층 고도화할 차례다.

SOAR 중심의 차세대 보안관제체계

그에 앞서 오늘날의 보안관제 현황을 먼저 짚어보자. 최근 스마트자산관리 내부 기밀정보 유출이나 사회기반시설 공격과 같은 직접적인 공격으로 인한 피해가 급등하고 있는 것에 반해, 여전히 대다수의 보안관제센터(SOC)는 소수의 전문 인력에 의한 수동 대응 중심으로 운영되고 있는 실정이다. 날로 진화를 거듭하는 사이버 공격에 발맞춰 보안관제 방식에도 변화가 요구된다.

이와 같은 맥락에서 오늘날 보안관제 패러다임은 보안 정보 이벤트 관리(SIEM) 기반의 빅데이터 보안관제에서 인공지능(AI)과 보안 오케스트레이션·자동화·대응(SOAR)을 더한 지능형 보안관제체계로의 변화를 꾀하고 있다. 특히 한정된 인력과 예산으로 SOC를 보다 효율적으로 운영하기 위한 방안으로 플레이북(Playbook)을 기반으로 한 자동 대응이 핵심으로 부각되고 있다.

기존 SIEM 중심의 보안관제체계에서 나아가 AI, 위협 인텔리전스(Threat Intelligence) 등 공격 유형별 대응을 위한 수많은 요소들을 SOAR 중심으로 결합한다면, 플레이북 기반의 ‘자동 대응’ 영역과 보안 전문가가 직접 수행하는 ‘전문가 대응’ 영역으로 업무를 배분해 SOC의 효율성을 한층 높일 수 있게 된다. 단순 반복적인 프로세스를 표준화된 절차에 따라 자동으로 처리함으로써 정보 보안 담당자는 분석 업무와 같이 전문가의 판단이 반드시 요구되는 중요도 높은 업무에 집중할 수 있게 된다.

그림4. SOAR 아키텍처 (출처: 이글루코퍼레이션)

한마디로 SOAR를 활용한다면, 보안관제 오케스트레이션(Orchestration)의 구현을 통한 차세대 보안관제체계 수립이 가능해진다. 국내외 이기종 보안 솔루션과 업무 시스템의 연동을 통해 보다 통합적인 대응을 실현할 수 있고, 보안 위협 유형별 최적의 대응 방안을 매뉴얼화한 플레이북을 활용해 보안 위협 탐지부터 대응에 이르는 과정을 실질적으로 단축시켜 기존 SOC가 직면한 여러 문제점들을 개선할 수 있다.

그림5. SOAR를 통해 자동화된 침해대응 프로세스 (출처: 이글루코퍼레이션)

여기서 한 단계 더, 차세대 보안관제체계의 완성을 위해서는…

지난해 발견된 오픈소스 소프트웨어 취약점 로그포제이(Log4j)는 사상 최악의 보안 취약점으로 손꼽히며 전 세계 보안업계를 긴장시켰다. 로그포제이 공격 발생 시 SOC가 할 수 있는 대응은 크게 두 갈래로 나뉜다. 먼저 침입방지시스템(IPS)이나 웹방화벽(WAF)을 통해 탐지한 후 정보보안 담당자가 수동으로 대응하는 것이 가장 기본적인 대응이며, 여기서 한 발짝 더 나아가 SOAR를 도입한 SOC의 경우엔 플레이북을 통해 자동으로 공격자 IP에 대한 차단을 수행하는 방법이 있다.

그림6. 로그포제이 공격에 대한 플레이북 예시 (출처: 이글루코퍼레이션 SPiDER SOAR)

이 말인즉슨 SOAR에 앞서 강조한 자산 및 취약점 정보에 대한 통합적인 관리가 더해진다면 더욱 발전된 플레이북 제작 및 대응 업무를 수행할 수 있고, 결국엔 보안 위협의 평가에서부터 대응까지 한층 더 강화된 보안체계를 구현해낼 수 있다는 것이다. 또 다른 말로는 차세대 보안관제체계의 완성을 위해서는 이러한 IT 자산관리 및 취약점 진단을 수행해 주는 솔루션과의 연동이 필수불가결한 조건이라고도 할 수 있겠다. 둘의 유기적인 연동이 선행돼야만 내부 자산 및 취약점에 대한 실시간 확인 및 스마트자산관리 조치까지를 일원화할 수 있고, 이를 통해 보다 근본적인 대응이 가능해지기 때문이다.

그림7. 로그포제이 공격에 대한 탐지 결과 예시 (출처: 이글루코퍼레이션 Smart[Guard])

날이 갈수록 고도화되고 다양해지는 보안 위협에 선제적으로 대응하기 위해서는 단편적인 보안 기술 적용을 넘어 보안 환경 전반을 아우르는 통합적인 보안관제체계를 수립할 필요가 있다. 현재 운영 중인 IT 인프라 내 중요한 자산이 무엇인지 파악하고, 각 자산에 대한 정보 및 취약점 관리를 현행화해, 이를 SOAR와 연동 및 적용함으로써 차세대 SOC로의 전환을 꾀해보길 바라는 바다.

핀테크 앱인가 카드사 앱인가?…카드사 앱은 진화 중

과거엔 카드사 앱을 키면 ‘로딩 중입니다’, ‘잠시만 기다려주세요’라는 문구와 함께 수십 초가 지나서야 화면이 나왔다. 느린 속도만이 문제가 아니었다. 메뉴는 어지럽게 늘어져있어, 필요한 서비스를 찾는데 종종 애를 먹었다. 또 공인인증서를 필수적으로 사용해야 해 불편함은 더 컸다.

이랬던 카드사 앱이 탈바꿈하기 시작했다. 오랜 시간 운영해 온 기존 앱을 새롭게 선보인 간편결제 앱으로 통합하고 있다. 핀테크 서비스처럼 쉽고 간결하게 만든 것이 공통된 특징이다. 여기에 개인 맞춤형 자산관리 서비스와 생활 서비스를 더해 생활금융 플랫폼으로 고도화하는 것이 카드업계의 공통된 전략이다.

하나카드는 지난달 31일부로 하나카드 앱을 종료하고, 이번 달 1일부터 기존 서비스를 ‘원큐페이’ 스마트자산관리 앱에 통합해 서비스하고 있다. 지출내역, 금융일정 관리 등의 자산관리 기능이 핵심 서비스다.

신한카드는 오는 10월 27일, 기존 신한카드 앱을 종료하고 ‘신한플레이’로 통합한다. 신한플레이는 결제, 뱅킹, 자산관리, 멤버십, 신분증, 인증 서비스 등을 제공한다. 국민카드는 KB페이를 중심으로 통합 앱 구축 사업을 진행하고 있다. 우리카드는 우리금융그룹과 통합 간편결제 플랫폼을 구축 중이다. 삼성카드는 지난 4월 삼성의 금융계열사와 함께 통합금융 플랫폼 모니모를 선보였다. 삼성생명, 삼성화재, 삼성카드, 삼성증권의 거래현황을 한 번에 조회할 수 있다.

왼쪽부터 모니모, 하나원큐 서비스 화면

공통적으로, 카드사들이 새롭게 선보이거나 준비한 앱은 핀테크처럼 간결한 사용자인터페이스(UI)와 사용자경험(UX)에 초점을 맞췄다. 서비스 메뉴나 디자인을 단순하게 만들어 사용자가 쉽게 서비스를 쓸 수 있도록 했다. 과거에 복잡했던 메뉴구성을 단순하게 만들었다. 자산현황, 자산관리, 상품추천 등이 공통 메뉴다.

재미 요소도 더했다. 모니모는 선불전자지급수단을 활용해 자산증식 서비스를 제공 중이다. 이벤트에 참가해 받을 수 있는 젤리는 선불전자지급수단인 모니머니로 교환할 수 있다. 국민카드는 KB페이에서 카페 등에서 주문을 할 수 있는 스마트오더를 제공하고 있다. 하나카드는 원큐페이에서 운세를 서비스 중이다.

인증은 토스, 네이버 등 간편결제 사업자의 인증서를 활용하고 있다. 사용자 입장에선 기존 공인인증서 대비 빠르고 편하게 인증을 할 수 있다.

카드사들이 자체 앱을 통합하는 것은 금융사의 디지털전환(DT)의 일환이다. 앱에서도 엿볼 수 있듯 경쟁사는 핀테크 서비스다. 핀테크 업체들이 종합 금융앱을 지향하면서 금융영역을 확대하고 있는 가운데, 자산관리 서비스를 통해 카드사용 지출내역 등을 보여주고 있다.

점점 카드 소비자들이 핀테크 서비스에 의존하기 시작하면서 카드사들은 자칫하면 상품공급자로만 전락할 수 있다는 위기감을 느낀 것으로 풀이된다.

카드업계 관계자는 “플랫폼 고도화는 생존을 위한 필수적인 경쟁 요건”이라며 “사용자가 자주 쓸 수 있는 앱이 되기 위해 생활금융 플랫폼으로 지향하는 것이 목적”이라고 전했다.

지금까지는 새로운 플랫폼을 만드는데 집중했다면, 앞으로는 차별화된 콘텐츠를 개발하는 것이 숙제다. 핀테크와의 차별점을 만들어야 자체 앱을 찾는다는 것이 업계의 공통적인 의견이다.

또 다른 관계자는 “서비스 개발 시 아무래도 핀테크 사례를 참고하지 않을 수 없다”면서도 “지금 유사하게 서비스를 만들었다면, 앞으론 카드사만의 차별화를 찾는 것이 앞으로의 과제가 될 것”이라고 밝혔다.

IT비즈뉴스(ITBizNews)

(왼쪽부터) 김기석 하나은행 자산관리그룹 부행장, 서봉균 삼성자산운용 대표 [사진=하나은행]

하나은행이 삼성자산운용과 확정급여형(DB) 퇴직연금제도의 효율적 자산운용을 위한 전략적 업무협약을 스마트자산관리 체결했다고 2일 밝혔다.

전날(1일) 오후 을지로 하나은행 본점에서 열린 협약식에서 양사는 ▲퇴직연금 자산관리서비스 인프라 구축 ▲퇴직연금 상품 공동 개발 ▲퇴직연금 IPS 수립·자산배분·위험관리·성과평가 자문 ▲퇴직연금 자산관리 교육 등 다양한 분야에서 상호 간 협력하기로 했다.

또 하나은행은 삼성자산운용과 스마트자산관리 협업을 통해 삼성자산운용의 기금운용 노하우를 담은 자산운용 솔루션을 활용해 기업별 특화 상품도 개발하기로 했다.

확정급여형(DB)제도에서도 개정된 근로자퇴직급여보장법을 반영하는 등 기업별 맞춤형 자산관리 서비스를 고도화하는 게 목표다.

또 기존에 진행중인 IPS컨설팅 서비스를 고도화해 ▲기업별 퇴직 부채 흐름 진단 및 전망 ▲부채 특성을 기반으로 한 목표수익률 도출 ▲기업의 투자 가이드라인을 반영한 자산관리 인프라 구축을 통한 기업별 맞춤형 자산배분 솔루션도 제공할 예정이다.

김기석 하나은행 자산관리그룹 부행장은 “연금자산에 대한 사회적 관심이 갈수록 높아지고 있는 만큼, 퇴직연금사업자로서 책임감을 느낀다”며 “꾸준히 성장하는 관련 시장에서 더 효율적이고 체계적인 서비스를 제공할 수 있도록 확정급여형(DB)제도에 특화된 자산운용 솔루션으로 질적 성장을 이뤄가겠다”고 밝혔다.

스마트자산관리

신중년 ‘노후준비 콘서트’.

[이모작뉴스 한종률 기자] 서울시50플러스재단은 신중년들의 노후준비를 지원하기 위해 자산관리 스마트자산관리 전문가들의 특강으로 ‘노후준비 콘서트’를 준비한다. 이 콘서트는 재무적 노후설계가 필요한 신중년세대를 대상으로 노후 자산관리의 기초지식과 정보를 전달해 안정적인 노후 준비를 돕기 위해 마련됐다.

이번 콘서트는 9월부터 12월까지 부동산·세무·연금 등 노후 재무 설계 등을 50플러스캠퍼스(북부·서부·남부·중부 순)를 순회하며, 총 4회 시리즈로 진행한다.

강사는 박원갑 KB금융그룹 수석전문위원(부동산), 이호용 세무사(세무), 곽재혁 KB금융그룹 수석전문위원(연금/보험) 등이다. 강연 후에는 현장 질의응답 시간을 통해 실제 중장년층의 노후 준비 관련 궁금증을 해결할 수 있도록 돕는다.

최근 서울시민의 노후준비 현황을 조사한 연구 결과에 따르면, 서울시 중장년층의 재무 노후준비지수(53.62점)는 비재무 노후준비지수(57.71점)에 비해 낮은 것으로 나타났다.

또한 노후 생활비 준비 여부도 서울시 중장년층의 50.73% 만 준비했다고 응답해 절반 정도는 여전히 노후 준비가 부족한 것으로 나타났다.

노후 준비에 관심 있는 중장년층은 누구나 참여 가능하며, 오는 5일부터 순차적으로 50플러스포털에서 온·오프라인 특강을 각각 사전 신청할 수 있다. 오는 23일(금) 오후 4시 1회차 특강을 시작하며, 2회차부터는 매월 초 사전 신청 가능하다.

특강은 현장 참여와 유튜브 생중계를 동시에 운영하며 총 5천여 명 규모로 모집한다. 현장 참여는 코로나19 방역을 위해 사전신청한 선착순 50명(회차당)이 참여할 수 있으며, 온라인은 사전신청자에게 발송되는 참여링크를 통해 누구나 실시간 시청할 수 있다.

서울시50플러스재단 임성미 경영기획본부장은 “100세 시대, 노후 준비의 중요성이 점차 커지는 시기에 서울시민의 안정적인 노후 설계에 도움이 되고자 KB 국민은행과 손잡고 전문가와 함께 하는 특강을 기획했다”며, “중장년세대가 이번 기회로 노후 빈곤을 예방하는 체계적인 재무관리를 시작하는 유용한 시간이 되길 바란다”고 말했다.