[포커스온] 변하는 금융 시장, 진화하는 보안 위협

다양해지는 금융 보안 위협

금융업계를 위협하는 사이버 공격은 금융 기술의 발전만큼 빠르게 진화하고 있으며, 클라우드 도입 등 금융권의 디지털 전환에 따른 보안 사고도 늘어나고 있다.

금융보안원이 발표한 ‘2023 디지털 금융 및 사이버 보안 동향 이슈 전망 보고서’에 따르면, 앞으로 더욱 증가할 금융 보안 위협으로는 ▲금융 앱 등 금융 플랫폼의 보안 취약점을 노린 공격 ▲ 전화 수신, 위장 등 기능 강화한 악성 피싱 앱 ▲관리 미흡으로 인한 클라우드 보안 사고 ▲디지털 자산을 대상으로 한 공격 등이 있다.

각 위협에 맞는 종합 보안 대책 마련돼야 

디지털 전환에 따른 금융 환경의 변화로 보안 위협이 다각화되고 위협 수준도 진화하면서, 앞으로는 각 위협에 맞는 종합적인 보안 대책이 중요해질 전망이다.

일단 금융 앱 등 금융 SW의 취약점을 노린 공격에 대응하기 위해서 보안 취약점 연구와 버그바운티 프로그램을 적극적으로 활용할 필요가 있다. 이를 통해 금융 서비스에서 발생할 수 있는 보안 취약점을 모니터링하고, 취약점 발견 시 빠른 패치를 통해 관련 위협을 사전에 차단할 수 있다.

늘어나는 취약점 공격에 대응하기 위해 은행 등 금융권은 제로 트러스트 기반의 보안 솔루션을 도입하고 있다. 신한은행은 2021년 안전한 인터넷 환경 구축을 위해 멘로시큐리티의 제로 트러스트 기반의 원격 웹브라우저 격리 솔루션(Remote Browser Isolation, RBI)을 도입했다. 웹 격리 솔루션은 모든 웹 콘텐츠 및 접속 행위를 리스크 요인으로 가정하고 격리 플랫폼에서 모든 콘텐츠를 격리한 뒤, 안전한 콘텐츠만을 전달해 사내 PC에서 악의적인 웹 트래픽이 실행되지 않도록 사전에 차단한다.

금융 서비스를 위협하는 보안 취약점을 찾기 위한 버그바운티 프로그램도 활발히 진행 중이다. 우리은행은 2021년부터 금융보안원과 함께 자사 플랫폼의 보안 취약점을 찾기 위해 대학·대학원생을 대상으로 한 모의 해킹 경진 대회를 열고 있다. 대회를 통해 ‘우리은행 인터넷뱅킹’과 ‘우리WON뱅킹’의 잠재 보안 취약점을 발견하고 제거한다.

또한 랜섬웨어, 디도스, 피싱 앱 등 사이버 금융 범죄를 막기 위한 보안 대책도 더욱 활성화돼야한다. 변화하는 금융 환경에 맞춰 최소한의 접근, 보안 가시성 확보 등을 통한 제로 트러스트 기반의 보안 체계가 구축되고, 동시에 침해 사고 대응 훈련, 정보 공유 체계 참여, 보안 시스템 고도화 등의 노력도 병행돼야 한다.

라온시큐어는 최근 신한은행, 빗썸 등 다수 금융 기업에 공급하던 FIDO 다채널 인증 플랫폼 ‘원패스 1.0’을 ‘원패스 2.0’으로 업그레이드해 제로 트러스트 기반의 보완 환경을 강화했다. 원패스 2.0은 금융 서비스의 보안 환경에서 생체 인증을 통한 패스워드리스 환경을 구현해 접근 권한과 사용 권한을 부여, 금융 서비스의 보안성을 한층 높여준다.

금융권의 차세대 인프라로 자리잡은 클라우드 보안에 대한 역량 확보도 중요해질 전망이다. 특히 MSP(Managed Service Provider, 클라우드 관리 서비스 기업)를 이용하는 경우에도 보안의 사각지대를 잡아주는 안전 장치가 마련될 필요가 있다. 또한 클라우드 관리 미흡으로 인한 보안 사고를 줄이기 위해 금융 클라우드 자원, 애플리케이션, 데이터를 안전하게 관리할 수 있는 CSPM(Cloud Security Posture Management, 클라우드 보안 태세 관리) 등 통합 솔루션과 이에 대한 교육도 중요하다.

우리은행은 지난해 12월 우리에프아이에스와 함께 은행권 최초로 ISO 27017 국제 표준 클라우드 보안 인증을 획득했다. ISO 27017은 클라우드 서비스 제공자의 정보 보안 통제 수단의 적정성 등을 평가하는 클라우드 보안 인증이다. 핀테크 기업 핀다는 최근 보안 기업 안랩의 보안 클라우드 관리 서비스인 ‘안랩 클라우드’를 도입했다. 이를 통해 핀다는 금융 법규 준수 목표를 달성하고, 사용자들이 안심하고 개인정보를 제공할 수 있도록 플랫폼의 보안성을 강화했다.

가상자산, AI 등 새 금융 환경 대비한 보안 필요

가상자산과 관련해서는 국내 규제의 글로벌 규제 적합성에 따라 시장 안정, 이용자 보호, 규제 차익 방지 등 안전 사항을 포함하는 규제안이 논의되고 있다. 또한 가상자산의 발행에서 유통까지 전 과정에서 일어날 수 있는 보안 위협을 방지하기 위한 규제 체계도 마련되고 있는 상황이다.

이에 금융권은 가상자산 관련 보안 위협에 대응하기 위해 입법 동향을 지속적으로 살피고 법적 요구 사항에 빠르게 대응할 수 있는 대책을 마련해야 한다. 특히 높은 유동성과 변동성 등 가상자산의 특성을 고려해 위험 평가, 비즈니스 연속성 계획 수립 등을 통해 위협 요소를 적극적으로 관리할 필요가 있다.

국내 가상자산 거래소 코인원은 2022년 11월 보안성 강화를 위해 최고정보보호책임자(CISO) 주관 하에 내부 보안 감사를 실시했다. 이를 통해 가상자산 전산 시스템, 금융 컴플라이언스 준수 여부, 정보 보안 업무 등에 대한 적정성을 검토하고 내부 통제 및 운영 관리 체계를 강화했다.

블록체인 및 가상자산 보안 솔루션 기업 인블록은 최근 디지털 자산 보안 솔루션 ‘도깨비원’을 개발했다. 도깨비원은 인블록이 IBM의 리눅스원 장비 기반으로 구축한 메타코인 네트워크 사용자 전용 지갑 메타월렛에 탑재한 보안 솔루션이다. 가상자산에 대한 내외부에서의 접근을 전면 차단해 보안성을 확보해준다.

금융 시장 분석, 상품 추천, 고객 응대 등 금융 산업 전반에 AI를 도입하는 사례가 늘어남에 따라 금용 보안 관제, 금융 범죄 예방, 이상 금융 거래 탐지 등 금융 보안 분야에서의 AI 활용도 확대될 전망이다.

보안 기업 컴투스테크놀로지는 2022년 11월부터 KB 국민은행의 금융 서비스에 적용될 ‘AI 기반 신분증 진위 확인 판별 시스템’을 구축하고 있다. AI 기반 신분증 진위 확인 판별 시스템은 비대면 실명 확인 시 신분증 사진이 실제가 아닌 인쇄된 신분증인지, 휴대폰 화면(디스플레이) 재촬영 신분증인지 등 위조 여부를 판별한다. 이를 통해 보이스피싱이나 스미싱으로 타인의 신분증을 전송 받아 비대면 가입을 시도하는 것을 예방해준다.

이 외에도 많은 개인정보가 한 곳에 집중되는 금융 마이데이터 서비스 확대에 따른 무분별한 정보 수집, 서비스 해킹 등으로 인한 개인정보 침해 위협도 증가하고 있다. 이에 마이데이터 서비스 내 개인정보 보호 조치 또한 강화될 것으로 보인다.

신기술 접목, 디지털 전환, 금융 채널 변화 등으로 우리의 금융 환경은 빠르게 변하고 있으며 동시에 금융 서비스를 노리는 사이버 위협도 더욱 고도화되고 있다. 이에 제로 트러스트 기반의 보안 패러다임 구축은 이제 필수가 됐다.

또한 가상 자산 등 새롭게 등장한 금융 시장의 안전을 위한 합리적인 규제의 필요성도 높아지고 있다. 향후 금융 시장의 성패는 이런 빠른 변화들에 발맞춰 각 위협에 맞는 보안 대책을 얼마나 빠르게 세울 수 있는지에 달려 있다. 이처럼 혁신과 보안이 균형을 맞췄을 때, 금융 시장은 비로소 안전하게 성장해 나갈 수 있을 것이다.