빅데이터 기반 실시간 모니터링… 대포통장 한달새 4건 적발 결실

증권업계 IT가 '확' 달라졌다. 과거 보안시스템 미비와 낙후된 인프라에서 벗어나 빅데이터부터 인공지능(AI), 오픈뱅킹, 클라우드, 블록체인까지 첨단 IT기술을 경쟁적으로 도입하며 금융혁신을 본격화하고 있다. 이에 주요 증권사의 IT담당 임원들을 만나 신기술 도입 계획과 최근의 성과 등을 직접 들어본다. 첫회로 빅데이터로 대포통장 사냥에 나선 NH투자증권의 백종우 정보보호최고책임자(CISO, 상무)를 만났다.

"빅데이터로 수상한 계좌 정보를 실시간으로 자동 탐색하니 적중률도 높아지고 대포통장 적발에 투입됐던 인력이나 시간도 크게 줄었습니다."

13일 서울 여의도 NH농협재단 사무실에서 만난 백종우 NH투자증권 정보보호최고책임자(CISO, 상무·사진)는 최근 구축한 빅데이터 기반 대포통장 모니터링 시스템의 성과를 이 같이 소개했다.

백 상무가 이끄는 NH투자증권 정보보호부는 지난달 9일 빅데이터 기반의 대포통장 모니터링 시스템을 업계 최초로 구축, 이 시스템을 통해 최근 한 달 동안 4건의 대포통장을 적발하는데 성공했다.

NH투자증권의 대포통장 모니터링 시스템은 지난 2014년 구축했던 이상거래탐지시스템(FDS)을 업그레이드한 것이다. 당시부터 NH투자증권은 타 증권사들과 달리 '빅데이터'를 접목하는데 주목했다. 갈수록 교묘해지는 이상 거래 징후를 실질적으로 포착하기 위해서는 단편적인 방식의 FDS가 한계가 있다는 판단에서다. 백 상무는 "대포통장의 특성상 기존 거래를 안 하던 계좌에서 갑자기 거래가 발생하거나 CD기에서 입금한 직후 자동이체 혹은 직접 지점을 방문해 바로 출금을 해가는 경우가 많아 계좌 중심으로 거래 데이터의 상관관계를 분석하는 빅데이터가 필요했다"고 말했다.

이어 "2014년 당시 6개 증권사가 공동으로 솔루션을 구매해 FDS를 구축하자는 논의를 금융투자협회 중심으로 진행했었으나 이때 제시된 솔루션에는 빅데이터가 빠져있었다"며 "우리는 빅데이터가 당시에도, 향후에도 굉장히 중요하다는 판단을 했고 독자 구축을 진행했다"고 덧붙였다.

대포통장 모니터링 시스템은 방대한 수집데이터에 대포통장의 특성을 반영한 자체 룰 30~40여개, 시나리오 10여개를 적용하고 의심 계좌로 여겨질 경우 업무지원부 모니터링 담당자에게 메시지를 통해 알린다. 담당자는 걸러진 계좌 정보를 확인하고 은행연합회 등에 계좌 정보를 전송하고 은행연합회는 해당 금융기관에 확인을 요청한 후 지급 정지 등의 조치를 내린다.

빅데이터 기반의 대포통장 모니터링 시스템은 무엇보다 기존 투입해야 했던 시간과 인력 등 비용을 대폭 줄였다. 기존 FDS의 경우 일 40만건의 이상거래 징후를 수집하는 반면, 대포통장 모니터링 시스템은 일 70만건 이상을 들여다 볼 수 있다. 이상 거래를 포착하기 위해 수집되는 데이터의 범위도 기존 비대면 채널 계좌 거래 정보에서 지점이나 CD·ATM 등 모든 계좌 거래 내용과 금융결제원 의심유의 계좌, 일시 인출정지 계좌 등 광범위하게 확대됐다. 탐지방법의 경우 이체 전 추가인증 단계뿐 아니라 본거래, 과거이력까지 동시 다발적으로 이뤄지기 때문에 정확도가 높아진다. 백 상무는 "기존에는 대포통장 모니터링이 업무지원부 2명이 하루 300~500건에 이르는 이상 징후 계좌를 하나하나 들여다보는 수작업으로 이뤄졌는데 하루 종일 매달려서 해도 다 보는 것은 무리가 있었다"며 "그러던 것이 자동화 시스템을 통해 한 명이 한 두 시간 정도 매달려 하루 평균 70건 정도만 확인해보면 되는 방식으로 바뀌었다"고 말했다.

앞선 기술 도입이 가능했던 배경은 전사적인 지원 덕분이다. 대포통장 모니터링 시스템을 구축하는 데 투입된 비용은 무려 10억원에 이른다. NH투자증권은 이달부터 각종 보안 솔루션에서 발생하는 로그 데이터 등의 상관관계를 하나의 시스템에서 분석할 수 있는 통합 모니터링 시스템 구축도 시작했다. 백 상무는 "금융권의 개인정보 유출 문제나 불법 거래 등이 만연해지면서 신뢰도가 하락했었는데 이를 극복하고 평판을 개선하기 위해 대대적인 투자를 했다"며 "12월 초 통합 모니터링 시스템을 개시해 더욱 강화된 보안 기술을 보여줄 수 있을 것"이라고 말했다.

김유정기자 clickyj@

http://www.dt.co.kr/contents.html?article_no=2016061402100658759001

둘러보기

더보기

서울시, 차세대 보안관제 구축…차세대는 무엇이 다른가?

보안이 무너지고 있다. 개인정보 유출 등 지난 몇 년간 정보보안 사고가 크게 늘어나면서 전통적인 경계보안의 한계와 문제점이 도출되고 있다. 특히 민감한 정보를 다루는 공공기관 같은 정보시설 등은 특정 정보를 빼내갈 목적으로 진행되는 APT공격의 표적이 되기가 쉽다. 갈수록 지능화되고 고도화되고 있는 APT공격은 암처럼 번지고 있다. 이에 보안업계에서는 각사별 APT 대응 솔루션으로 앞다퉈 APT 대응체계를 갖추고 있지만 확실한 대안이 나오고 있진 않다. 이에 주목받는 기술로 빅데이터 엔진을 활용한 공격 패턴 분석으로 사이버 공격을 사전에 방지하는 방법이 떠오르고 있다. 보안업계 관계자는 “APT 공격은 단기간에 준비해 실행하는 것이 아니라 장기간에 걸쳐 준비되고 이런 공격을 탐지하기 위해선 각종 대용량 데이터를 신속하게 분석할 수 있는 대용량 통계분석이 필요하다”며 “이런 대용량 통계분석 기능 위에 각종 시나리오로 분석을 수행할 수 있어야 된다”고 설명했다. 빅데이터 분석을 통해 로그를 통합, 관리하고 보안 위협을 종합적으로 대응하거나 보안사고시 상황을 빠르게 인지하고 분석하며 즉각 대처할 수 있는 삼박자가 맞아야 되는 필요성이 대두되고 있는 상황이다. 이러한 가운데 지난 5월 서울시청은 ‘서울 통합보안관제센터 이전 및 차세대 보안관제시스템 구축’ 사업을 선정한 바 있다. 서울 외에 부산도 차세대 보안관제 사업 선정을 조만간 진행할 예정이며 이외 많은 지자체에서도 지능화, 고도화된 사이버공격 위협으로부터 신속한 대응체계 구축을 위해 차세대 보안관제시스템을 준비중이다. 방화벽 등 다양한 이기종 로그를 신속하게 수집해 시나리오 기반 분석을 수행해 지능화·고도화된 사이버 위협에 대한 분석은 기본 대응체계를 확립하고자 하는 것이 주된 이유이다. 서울시가 진행하는 이번 사업은 서울시 전 기관에 대한 24시간 365일 보안관제 체계를 수립해 정보보안업무의 컨트롤 타워 구축을 통해 서울시 정보자산의 보호는 물론 시민에게 무중단 정보서비스를 제공하는 것이 목적이다. 특히 서울시측은 이번 보안 사업을 통해 전통적인 보안관제 체계를 넘어 사이버 공격 사전 예방, 침해사고 발생시 즉각 대응조치 등 보다 강화된 보안 관제를 수행하고자 하는데 가장 큰 목표로 하고 있다. 차세대가 붙은 이유는 바로 여기에 있다. 이 사업은 한솔넥스지와 이디엄 양사가 손을 잡고 사업을 수주했다. 두 기업의 선정이유는 바로 ‘빅데이터 역량’이다. 이디엄은 IT 인프라에서 발생하는 각종 데이터를 실시간으로 수집, 분석하는 역량을 지니고 있으며 한솔넥스지는 보안컨설팅, 취약점분석 등 보안관제에 필요한 뛰어난 역량과 더불어 자체적인 보안관제 방법론을 구축한 기업이다. 양사가 서울시가 구축하게 될 차세대 보안 관제시스템은 보안 시스템의 로그를 모아 살펴보는 것 그 이상을 의미한다. 구동언 이디엄 이사는 “차세대 보안 관제시스템은 보안 시스템 뿐만 아니라 사용자, 기기의 행위와 관련된 다양한 원천 데이터를 형태에 상관없이 수집한다”며 “이 모든 데이터를 각종 공격 유형에 해당되는지 확인하고 해당 사용자/기기의 과거 이력과 비교해 동료 사용자, 타 기기들의 이력과 비교해 이상행위인지 등을 판단하게 된다”고 말했다. 이어 “실시간 탐지, 대용량 통계분석, 프로파일링 기반 이상징후를 결합해 실시간으로 수집되는 다양한 유형의 데이터에 대해 실시간 이벤트 분석 및 복잡한 시나리오 기반의 분석을 할 수 있게 됨으로써 지능형 공격을 탐지할 수 있게 된다”고 덧붙였다. 특히 이디엄이 개발한 로그프레소가 가진 데이터 처리 역량이 높은 점수를 받았다. 로그프레소는 로그와 프레소의 합성어로 ‘데이터 핵심의 정수를 뽑아서 보여준다’는 뜻을 담고 있다. 구동언 이디엄 이사는 “로그프레소는 IT인프라에서 발생하는 다양한 데이터를 수집해 분석하고 한 눈에 시각화해서 보여주는 빅데이터 솔루션으로 통신, 금융, 공공 등 다양한 분야에서 활용되고 있다”고 설명했다. 특히 수집부터 시각화까지 의사결정에 필요한 모든 단계를 지원하고 전체 보안 현황을 확인할 수 있는 대시보드 형태의 웹 기반 UI를 제공하는 등의 메리트가 있어 국내 다양한 보안기업에서도 로그프레소를 활용해 보안 솔루션을 구축해 활용하고 있다. 각종 서버에서 쏟아지는 다양한 개인 정보 접근 로그를 업무 각 단계에서 수집해 개인정보 유출 및 오남용 이상 징후를 빠르게 인지하고 대응할 수 있는 점도 특징이다. 한편 한솔넥스지와 이디엄 양사는 다양한 산업 분야에서 선도적 빅데이터 보안 관제 모델을 만들어내 차별화된 정보보안 서비스를 제공할 계획이다. [http://www.cctvnews.co.kr/news/articleView.html?idxno=50854](http://www.cctvnews.co.kr/news/articleView.html?idxno=50854)

2016-06-21

이디엄, 빅데이터 분석 솔루션 GS 인증 1등급 획득

이디엄(대표 양봉열)은 빅데이터 솔루션 ‘로그프레소(Logpresso)’가 한국정보통신기술협회(TTA)로부터 GS인증 1등급을 획득했다고 16일 밝혔다. GS인증은 국제 품질평가 모델 ISO/IEC 916, 25041, 25051을 기반으로 국가가 소프트웨어 품질을 평가하고 인증하는 제도다. 로그프레소는 기업 IT 인프라에서 빅데이터를 수집, 분석, 시각화 할 수 있는 소프트웨어로, 엔터프라이즈 환경에서 발생하는 다양한 데이터 수집부터 저장, 분석, 시각화에 이르는 전체 과정을 효율적으로 통합하고, 실시간으로 다양한 분석을 수행할 수 있는 솔루션이다. 특히 실시간으로 대용량 데이터 분석을 수행할 수 있는 여러 기능을 내장하고 있어 실시간 빅데이터 분석이 필요한 각종 산업 영역에서 적극적으로 도입되고 있다. 2013년 첫 버전이 발표된 이래로 컴플라이언스를 위한 대용량 로그 관리, 빅데이터 보안관제, 서비스 품질 관리, 개인정보 유출 탐지, 실시간 이상 거래 탐지, 생산 공정 품질 데이터 분석 등 다양한 목적을 위해 활용되고 있다. 로그프레소는 GS 인증 평가를 통해 ▲기능성 ▲신뢰성 ▲사용성 ▲효율성 ▲유지보수성 ▲이식성 등 다양한 기준에 대한 기능평가 및 현장조사를 모두 충족하여 1등급 인증을 받았다. [http://www.datanet.co.kr/news/articleView.html?idxno=102930](http://www.datanet.co.kr/news/articleView.html?idxno=102930)

2016-08-16

앤서, 대한상공회의소에 통합 로그 시스템 구축 완료

빅데이터·보안 솔루션 업체 앤서(대표 박준형)는 대한상공회의소에 통합 로그 시스템을 구축했다고 4일 밝혔다. 앤서는 이를 통해 대한상공회의소는 회원들이 안심하고 홈페이지에서 정보를 이용할 수 있는 무결성 기반의 환경 구축과 개인정보보호법, 정보통신망법, 공공기관의 개인정보보호를 위한 기본지침 등 법정 준수사항 이행을 위한 안전장치를 갖추게 됐다고 설명했다. 앤서가 대한상의에 공급한 '로그프레소' 플랫폼은 △네트워크, 서버의 장애로 인해 로그수집이 불가능 할 시 에이전트가 마지막 전송 기록을 재전송해 로그수집 유실 방지 △로그 수집과 동시에 원본 대비 10% 크기의 용량으로 실시간 압축해 디스크 입출력(Input/Output) 비용 절감 △초당 5십만EPS 인덱싱 및 1TB 로그를 1초 이내 처리하는 빠른 검색 및 분석 △로그 포맷에 상관없이 사용자가 원하는 대시보드의 유연한 생성 등의 특징을 제공한다. 앤서는 앞으로 교육기관이나 의료기관 등 법적 규제에 따라 개인정보보호를 강화해야 하는 분야에 대한 영업을 강화할 계획이다. 박준형 앤서 대표는 "그동안 금융권을 중심으로 구축이 이루어지고 있던 통합로그 시스템이 기관이나 협단체를 비롯해 다른 산업분야로 확대되고 있다"며 "특히 기업, 교육기관, 병원 등 정부의 기본지침에 따른 법정 준수사항을 이행해야 하는 많은 유관기관에서 시스템 도입을 검토하고 있다"고 말했다. 이재운기자 jwlee@dt.co.kr [http://www.dt.co.kr/contents.html?article_no=2016020402109960813001](http://www.dt.co.kr/contents.html?article_no=2016020402109960813001)

2016-02-04