세상이 빠르게 변화하고, 새로운 기술이 등장하면서 우리의 자산도 여러 형태로 변모하고 있다. 최근 많은 논란이 있지만 비트코인 등의 가상자산도 혁신적인 기술과 함께 등장한 새로운 디지털 자산의 하나다. 이처럼 현대인의 자산은 다양한 형태로 변화하고 있지만, 그 중심에는 여전히 전통적인 금융 시스템이 자리하고 있다.
형태는 조금 달라졌지만 우리는 지금도 은행에 돈을 맡기고, 은행에서 돈을 빌리며, 다른 이들과의 거래 시에도 은행을 애용한다. 이는 전통적인 금융 시스템이 탄탄한 신뢰를 바탕으로 유지되고 있기 때문에 가능한 일이다.
인터넷뱅킹 고객 2억 명 시대
20세기를 배경으로 하는 드라마나 영화 등을 보다 보면 두툼한 월급 봉투를 받고 기뻐하는 모습들이 종종 등장한다. 하지만 21세기를 살아가는 현대인들에게 월급 봉투는 낯선 단어다.
요즘은 회사에서 일한 대가로 받는 월급을 모두 개인 은행 계좌로 직접 넣어 주기 때문이다. 그리고 이렇게 들어온 월급은 카드 대금이나 대출 이자 등 여러 용도로 온라인 이체를 통해 빠져나간다. 그래서 현대인들은 자신이 가진 돈을 인터넷뱅킹이나 알림 문자를 통해서만 확인할 뿐 실제로 현금으로 쥐어 보는 경우가 드물다.
한국은행이 올해 3월 발표한 국내 인터넷뱅킹 서비스 이용 현황에 따르면, 2021년 말 기준으로 모바일뱅킹을 포함한 인터넷뱅킹 서비스에 등록된 고객 수는 1억 9086만 명으로 집계됐다. 2012년 인터넷뱅킹 등록 고객 수 8643만 명과 비교하면 10년 사이 약 2.2배가량 증가한 수치다.
특히 스마트폰이 사용이 일상화되면서 모바일뱅킹의 비중이 크게 늘어난 것으로 나타났다. 2012년 모바일뱅킹 등록 고객 수는 3709만 명으로 전체 인터넷뱅킹 등록 고객 중 42.9%를 차지했지만, 2021년 모바일뱅킹 등록 고객 수는 1억 5337만 명으로 전체 인터넷뱅킹 등록 고객 수의 80% 이상을 차지했다.
금융 서비스 이용 채널별 비중을 살펴봐도 최근 인터넷뱅킹 사용 비율이 빠르게 늘고 있는 것을 확인할 수 있다.
2012년 기준 은행 입출금 및 자금 이체 서비스 이용 채널별 비중을 보면, 은행 창구를 통한 대면 거래가 12.2%, ATM 등 자동입출금기를 이용한 거래가 전체의 39.8%, 텔레뱅킹이 13.4%, 모바일뱅킹을 포함한 인터넷뱅킹은 33.9%였다. 그리고 2021년 통계에서는 창구 이용 비중이 5.8%로 줄고, 인터넷뱅킹의 비중은 74.7%까지 커져 이제는 가장 많이 사용되는 은행 이용 채널이 됐다.
금융 거래가 이처럼 디지털 중심으로 변화되는 모습은 일상에서도 쉽게 찾아볼 수 있다. 카드 결제와 간편 결제가 보편화되면서 요즘은 일상에서 현금을 들고 다니거나 현금 거래를 하는 경우가 드물어졌다.
심지어 길거리 노점상들도 카드 결제나 계좌 이체로 제품을 판매하는 모습을 쉽게 찾아볼 수 있다. 사실상 사회 전반의 금융 인프라가 이제는 디지털 그리고 온라인 기반으로 돌아가고 있다고 할 수 있는 것이다.
금융 보안의 중요성 부상
디지털과 온라인 기반의 금융 환경은 경제의 투명성과 편의성, 그리고 효율성 등을 크게 끌어올렸다. 금융 거래 내역이 전산으로 기록되면서 금융 범죄를 방지하고, 범죄 행위를 추적하기도 쉬워졌으며, 소비 시장의 결제도 간소화됐다. 여전히 현금을 선호하고 별도로 보관하는 사람들이 있지만, 사회 전반적으로는 디지털 금융이 보편화된 것이다.
하지만 거의 모든 금융 인프라가 디지털 기반으로 운영되면서 보안의 위험성 역시 커지게 됐다. 디지털 온라인 인프라에 문제가 생길 경우 일시적으로 모든 금융 업무가 마비될 수 있기 때문이다.
우리나라에서 금융 보안에 대한 관심이 높아진 것은 2010년 이후부터다. 물론, 1990년대 후반부터 인터넷 인프라가 빠르게 보급되고, 인터넷뱅킹 등 디지털화된 금융 서비스를 이용하는 고객이 늘었지만, 당시에는 대형 금융 사고가 발생하지 않았고, 인터넷과 디지털 환경에 대한 사회 전반의 이해도도 높지 않았다.
보안에 대한 필요성은 알았지만, 디지털 금융 분야에서 보안을 어떻게, 어떤 방식으로 적용하고 운영할지에 대한 연구가 부족했던 것이다. 그럼에도 2000년대 중반에 발생했던 기업들의 대규모 개인정보 유출 사건으로 인해 온라인 환경에서의 보안에 대한 사회적 경각심이 높아지고는 있었다.
이런 상황에서 금융 보안의 중요성을 일깨워준 결정적 사건이 2011년 4월에 발생한 농협 전산망 마비 사태였다. 2011년 4월 12일 오후 5시를 넘어 전국 농협 전산망이 마비되면서 농협의 은행 업무가 중단되는 사고가 발생했다. 이 사고로 마비된 은행 업무는 3일이 지난 후에야 완전히 회복할 수 있었다.
당시 언론 보도에 따르면 이 사고로 농협이 입은 피해액만 수백억 원에 달할 것으로 추정되고 있다. 또한, 이 사고의 원인으로 북한의 사이버 공격이 지목됐지만, 전문가들은 이러한 수사 결론에 그다지 동의하지 않았다.
어쨌든 이 사건은 기존의 개인정보 유출 사건들과 달리 기업의 전산망 마비가 기업에 큰 손해를 끼칠 수 있다는 것을 보여준 대표적인 사례가 됐다. 이후 국내에서는 사이버 보안에 대한 여론이 크게 강화됐다.
금융 보안의 주요 영역
2010년대 이후 정보 보호에 대한 사회적 인식이 높아진 이후에도 금융 기관에서 보안 사고는 끊임없이 발생했다. 대부분 개인정보 유출이 많았고, 전산망 마비 사고나 해킹처럼 특정 계좌가 공격받는 등의 사례는 드물게 발생했다.
다행히 금융 인프라 전반을 마비시킬 만한 큰 보안 사고는 발생하지 않았던 셈이지만, 앞으로도 그렇지 않을 것이라는 보장은 없다. 실제로 외국 은행에서는 사이버 공격으로 직접적인 피해를 입는 사례가 종종 발생하고 있다.
현대 사회에서 인터넷으로 연결되는 모든 전자기기와 서비스는 언제든 외부로부터 공격받을 가능성이 있다. 그러므로 거의 모든 사회적 인프라가 인터넷에 연결되어 있는 현대 사회에서 보안의 중요성은 아무리 강조해도 지나치지 않다.
물론, 서비스의 형태와 분야에 따라 필요한 보안 솔루션은 달라진다. 정보 보안의 영역을 어떻게 분류하느냐는 기관과 기업에 따라 조금씩 달라지지만, 보편적으로 네트워크, 애플리케이션, 인증, 엔드포인트, 재해 복구 등을 주요 보안 분야로 보고 있다.
이 모든 보안 솔루션을 금융 서비스에 적용하면 좋겠지만, 현실적으로는 비용적인 문제와 사용자 편의성 등을 이유로 필수 보안 솔루션만 선택적으로 적용하고 있다.
특히 최근의 보안 트렌드는 사전 탐지를 통한 차단을 우선하고 있다. 과거의 보안 솔루션들은 침해 사고 발생 후 빠른 대응과 복구를 우선했다. 백신이라고도 하는 안티바이러스 솔루션이 대표적으로, 이러한 보안 솔루션들은 시스템이 악성코드에 감염된 후 이를 삭제하고 파일을 복구하는 방식으로 동작했다.
하지만 이 과정에서 중요한 파일이 손상을 입을 가능성이 높고, 그로 인해 업무 연속성에 지장을 받는 일이 발생할 수도 있기 때문에 최근에는 위협 요소를 원천 차단하는 방향으로 보안 트렌드가 바뀌고 있다.
금융보안원에서는 금융 보안의 7대 원칙으로 ▲기밀성·무결성·가용성 확보 ▲ 업무지속성(회복성) 유지 ▲조직·임직원의 금융 보안 관련 역할 명확화 ▲이사회의 금융 보안에 대한 최종 책임성 ▲전사적인 금융 보안 체계 확립 ▲정보 공유 체계 구축 ▲제3자 리스크 관리를 제시하고 있다.
다만, 이 원칙은 어떤 방식으로 금융 보안 시스템을 구축해야 한다는 기준을 제시한다기보다는 금융 기관들이 보안 시스템을 구축할 때 고려해야 할 주요 내용을 정리한 것에 가깝다. 결국 최종 보안 시스템은 각 기업들이 자율적으로 구축하고 책임을 져야 한다.
변화하는 금융 보안 트렌드
가장 완벽한 보안은 모든 침입 통로를 틀어막는 것이다. 침입 통로가 늘어나면 늘어날수록 보안 취약성은 올라가게 된다. 그리고 모든 것이 연결되는 21세기 온라인 시대에서는 완벽히 폐쇄적인 시스템은 구축할 수 없다.
은행 등 금융 기관은 외부망과 내부망을 분리하는 망 분리 솔루션 도입이 의무화되어 있지만, 이 역시 운영하는 사람에 의해 종종 사고가 발생하기도 한다. 더욱이 최근의 사이버 공격들은 AI와 봇 등을 통해 지속적이면서 지능적으로 진화하고 있어, 보안 기술도 이에 대응할 수 있는 방향으로 발전되어야 한다.
앞서 언급한 것처럼 최근 보안 시장의 트렌드는 사전에 차단하는 것이다. 이를 위해 기업들은 제로 트러스트 보안 정책을 채택하고 있다. 제로 트러스트는 이름 그대로 ‘신뢰하지 않는’ 보안 모델이다. 이 보안 방식에서는 접근하는 모든 트래픽에 대해 의심하고 최소한의 접근 권한만을 부여하며, 인증된 일부 트래픽만 신뢰한다.
물론, 기존의 보안 방식에서도 위협적인 트래픽을 사전에 차단했지만, 제로 트러스트에서는 위협적이지 않은 트래픽에 대해서도 의심과 인증을 진행함으로써 시스템이 완전히 신뢰하는 트래픽에 대해서만 권한을 부여한다.
제로 트러스트 보안 정책은 금융권에서도 관심을 갖고 빠르게 도입을 검토하고 있다. 이와 함께 엔드포인트 탐지를 위한 EDR이나 XDR은 이미 여러 금융권에서 도입하고 있으며, 클라 우드를 비롯한 원격 보안 등을 모두 아우르는 SASE(Secure Access Service Edge) 개념도 적극적으로 검토되고 있다.
이처럼 새로운 보안 솔루션과 정책들은 최근 수년 사이 급속도록 전파되고 있는데, 이는 보안 환경이 그만큼 빠르게 변화하고 있음을 보여준다.
한국은행의 자료에 따르면 지난해 인터넷뱅킹을 통한 자금 이체 금액은 약 70조 원에 이른다. 인터넷뱅킹 이용자가 늘면서 이용 금액도 빠르게 증가하고 있는 상황에서, 보안 환경마저도 빠르게 진화하고 있다 보니 금융권도 보안업계도 시장의 변화에 대응하기 바쁜 것이 현재의 상황이라고 할 수 있다.
당분간 이러한 흐름은 지속될 것으로 예측되면서 금융 보안 시장은 포스트 코로나 시대에서 보안 업계의 새로운 돌파구가 될 것으로 기대된다.
