국내 A은행은 전체 차세대 시스템에 대한 보안성과 안정성을 강화 및 구축하기 위해 전 업무를 대상으로 소스코드 보안 취약점을 사전에 점검해 애플리케이션의 보안 위협을 근본적으로 차단할 대안을 찾았다. 이를 위해 소스코드의 보안 상태를 점검해주는 솔루션을 적용하기로 결정했다.

가트너에 따르면 전체 사이버 공격의 75%가 애플리케이션의 취약점을 이용한 것으로, 세계적으로 90% 이상의 웹 서버가 보안 위협에 노출된 상태이다. 이런 외부 공격에 대응하고자 A은행 역시 과거 차세대 구축 이전인 2007년 6월부터 외부 공격에 노출되기 쉬운 인터넷뱅킹 시스템을 대상으로 소스코드 상시 취약점 점검 체계를 수립한 적이 있다.

당시 애플리케이션 보안 툴은 개발이 완료된 후 운영하는 단계에서 취약성을 진단하는 데 초점이 맞춰져 있었다. 하지만 A은행은 애플리케이션 운영 이후의 보안 진단은 한계가 있다고 판단해 취약점을 근본적으로 최소화 하는 방안을 찾는데 주력했다.

이후 프로그램을 개발할 시점부터 보안 취약점을 파악하고 개발된 프로그램의 전체 수명주기에 걸쳐 적용할 수 있는 상시 보안체계를 마련하기 위해 포티파이를 전격 도입했다.

A은행은 우선 모든 시스템에 대한 소스코드 및 모의 해킹 등 점검을 실시해서 보안 취약점이 발견된 시스템은 서비스를 일체 오픈하지 않는다는 강력한 정책을 수립했다. 이 때문에 전체 개발자들에게 사전 설명회 및 교육, 업무협의를 통해 보안 적용 방법 및 조치 방법을 안내하는 등의 노력을 시작하는 등 정책에 따라주었다.

일반적인 경우 소스코드 취약점 점검은 개발 작업을 거의 완료한 후에 진행하는데, 빠듯한 개발 일정으로 인해 사전 소스코드의 문제점 파악하는 것에 대해 개발자들은 매우 회의적인 모습을 보였다. 그러나 취약점을 내포한 애플리케이션의 개발 기간이 더 오래 걸릴 것이라는 인식이 확산되면서 개발자들이 먼저 취약점 점검을 적극적으로 요청하는 등 새로운 보안 정책에 적극 협조했다.

두 번째로는 취약점 점검 프로세스를 단계화해 상시 점검 체계를 구현하려고 했다. 세 단계는 △1단계 : 개발자가 개발을 완료한 후 점검 △2단계 : 프로그램 운영모드 적용 시에 형상관리와 연동해 점검 △3단계 : 운영 중인 모든 프로그램에 대한 운영상 취약점을 도출 등이다.

A은행은 이들 단계를 통해 전 시스템에 대한 소스코드 점검을 실시해 보안 취약점이 발견될 경우 모두 수정했다. 특히 인터넷뱅킹에 대해서는 개인뱅킹과 기업 뱅킹을 모두 포함해 전체 5천 여 개의 웹 페이지에 대한 전수 진단을 실시한 결과, 1차 전수 작업에서 4백 여 개의 취약점이 파악됐고 2차에서는 150여 개가 발견됐으며, 차세대 오픈 직전에는 제로 상태가 되었다.

A은행은 차세대 시스템을 구축하면서 소스코드 개발 단계에서 보안 취약점을 사전 제거해 보다 안전한 IT서비스를 제공할 수 있게 되었고, 특히 개발자들의 보안 의식을 강화시켜 전사적 보안 수준을 향상시킨 것을 가장 큰 효과라고 볼 수 있습니다.

현재 A은행은 차세대 이후에도 주요 업무 시스템을 대상으로 소스코드 상시 취약점 점검 시스템을 운영하고 있으며, 위 사업을 참조 자료로 활용하여 각 개발 단계별로 소스코드 보안 점검을 실시하고 있다.