차세대 전산시스템 보안, 외부인력 통제와 테스트가 핵심

우리은행 오류로 차세대 전산시스템 관심 높아져
기술 발전에 따른 양질의 금융서비스 제공이 목표
도입 시 정교하게 테스트하면서 외부인력 통제해야

[보안뉴스 오다인 기자] 지난달 온라인 커뮤니티 ‘생활코딩’에는 우리은행 고객의 제보가 올라왔다. 다른 사람의 입출금 내역이 보인다는 내용이었는데, 유사한 피해를 겪은 고객들이 잇따라 제보하면서 사건이 크게 알려지게 됐다. 이 과정에서 ‘차세대 전산시스템’과 그 문제에 대한 관심도 덩달아 높아졌다.

[이미지=iclickart]

우리은행은 지난 5월 8일 차세대 전산시스템을 도입했다. 오류는 바로 다음날인 9일부터 일주일간 발생했다. 2년의 시간과 3,000억 원의 비용을 들인 방대한 사업이 이처럼 치명적인 오류를 일으킨 데 대해 여러 의견이 제시됐다. ‘예산 절감을 위해 인력을 줄인 것이 문제’라든지 ‘쪼개기식으로 개발한 것이 문제’라는 등의 지적이 쏟아졌다.

본지는 보안의 관점에서 차세대 전산시스템이 무엇인지, 도입 시 고려해야 할 사항에는 어떤 것이 있는지 정리해봤다.

차세대 전산시스템이란?
차세대 전산시스템은 은행이 새로 도입하는 전산장비 및 소프트웨어, 전산시스템, 운영체제를 아울러 이르는 말이다. 국내의 경우, 2005년부터 본격적으로 논의되기 시작했다. 우리나라는 1980년대 말부터 1990년대 초 사이 금융업무 전산화 및 온라인화를 위해 기본 전산시스템을 구축했다.

그런데 1990년대 후반 폰뱅킹, 인터넷뱅킹, 모바일뱅킹 같은 새로운 금융서비스들이 급성장하면서 기존의 전산시스템으로는 이를 감당하기 어렵게 됐다. 용량 부족, 처리속도 저하를 비롯해 서비스 간 연계가 되지 않아 관련 서비스들을 효율적으로 제공하지 못했던 것. 이를 해결하기 위해 기존 전산시스템의 하드웨어와 소프트웨어를 전면 교체하는 것을 일컬어 차세대 전산시스템이라고 부르기 시작했다.

차세대 전산시스템을 도입하는 주기는 15년 내외다. 금융권 관계자는 “15년 전의 서버나 PC 환경을 생각해보면 지금보다 훨씬 열악하다는 사실을 알 수 있다”며 “기술 발전에 따라 이에 상응하는 양질의 금융 서비스를 고객에게 제공해야 할 의무가 (은행에) 있다”고 말했다. 최근에는 빅데이터 분석이나 머신러닝 등의 신기술을 통해 서비스가 제공되고 있다.

한편, 차세대 전산시스템 종류는 주전산기에 탑재되는 운영체제에 따라 메인프레임(Mainframe)과 유닉스(UNIX)로 나뉜다. 메인프레임은 소수의 대형 컴퓨터로 시스템을 구성, 폐쇄형 통신을 사용한다. 외부에 공개하지 않는 별도의 운영체제를 사용하기 때문에 보안이 탁월한 것으로 평가된다. 유닉스는 다수의 중형 컴퓨터로 시스템을 구성, 공개된 운영체제인 유닉스를 사용한다. 기술인력 수급, 관련 업무의 외부위탁 등이 용이하고 초기 설치비와 유지비용이 저렴하다.

우리은행의 차세대 전산시스템 도입은 원래 메인프레임 환경에서 유닉스 환경으로 전환한 사례다. 우리은행 관계자는 “메인프레임 환경이 나빠서 유닉스 환경으로 전환했다고는 볼 수 없다”며 “차세대 전산시스템이라고 해서 반드시 운영체제를 바꾸는 것을 의미하진 않는다”고 설명했다.

차세대 전산시스템을 도입하는 방법은 전체 전산시스템을 단기간(2년 이내)에 교체하는 ‘빅뱅(Big Bang)’식과 중기간(2년 이상)에 걸쳐 단계적으로 교체하는 ‘점진적 방식’으로 나뉜다. 우리은행은 빅뱅식을 택했다.

우리은행은 3,000억 원을 들여 차세대 전산시스템을 도입했는데 투자 대비 효과가 크기 때문에 추진한 것이라는 설명도 있다. 예산 규모도 방대하지만 그 효과는 이를 뛰어넘는다는 것. 기존 전산시스템보다 데이터 처리속도, 업무 연속성·효율성 등이 획기적으로 개선되기 때문에 은행 영업이 대대적으로 향상되는 효과를 누릴 수 있다. 금융상품 개발 및 개발시간 단축 등의 이점도 따른다.

보안 고려사항, 외부인력 통제와 테스트가 핵심
금융권 관계자는 차세대 전산시스템 도입 시 가장 중요한 보안 고려사항으로 ‘유지보수 인력에 대한 통제’를 꼽았다. 그는 “외부 개발자들이 짧은 기간 대규모로 투입되는데 테스트 기간 실데이터(real data)를 써야 하는 경우도 발생한다”면서 “이때 고객정보에 대한 접근통제가 반드시 필요하다”고 강조했다.

차세대 전산시스템은 전체 준비기간의 절반가량이 테스트에 쓰인다. 프로젝트 전체 기간이 2년이라고 하면 1년은 테스트에만 쓰이는 것이다. 프로그램 코딩 시 매번 단위 테스트를 진행하고, 화면이 잘 표현되는지 확인하며, 타 거래와 연관 시 문제 여부 확인을 위해 통합 테스트를 수행하는 것과 함께 성능 테스트 및 주요 시나리오 테스트 등이 이뤄진다.

이처럼 테스트 비중이 높은 배경은 금융이 이자 자릿수 계산이나 요일 계산 등과 관련해 매우 민감한 영역이기 때문이다. “만원일 때는 큰 문제가 되지 않지만 조 단위일 때는 엄청난 차이가 발생한다”는 게 업계의 설명이다. 게다가 개발단계별로 정교하고 꼼꼼한 테스트가 수반되지 않으면 보안에도 ‘구멍(hole)’이 생길 수밖에 없다는 것이 관계자들의 중론이다.

테스트가 진행될 때는 테스트 데이터도 쓰이지만 실데이터도 쓰인다. “테스트 데이터만으로는 시스템 구축 수준을 완전히 확인하는 데 한계가 있기 때문”이다. 이런 과정에서 고객정보가 취급될 수밖에 없는데, 은행 내부직원이 아닌 외부직원이 접근할 때 보안상 위험이 크다. 고객정보 보호를 위해 내부시스템에 대한 접근통제 강화, 실데이터 변환해 직접적인 사용 차단 ,보안 서약서 작성, PC 및 저장매체 반·출입 통제 등이 이뤄져야 한다.

<링크 : http://www.boannews.com/media/view.asp?idx=70721&kind=1>