Home > 전체기사

[이슈인터뷰] 이글루코퍼레이션 김미희 팀장, “금융권의 디지털화 추세, 자율보안체계 핵심”

  |  입력 : 2023-03-16 15:01
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
2017~2021년 은행 17곳, 사이버공격 매일 598건 발생
금융 생태계, 디지털 생태계로 변모...최우선 과제는 사이버 보안
공급망 위협, 크리덴셜 스터핑, API 보안, DDoS 공격, 클라우드 위협, 가상자산 위협 등 발생
보안 리스크 최소화 위해 자동화된 정적·동적 보안진단 필요...금융보안 공급망 체계 구축해야


[보안뉴스 김경애 기자] 진화하는 보안위협과 디지털 기술 발전에 따라 금융권 보안에도 변화의 바람이 불고 있다. 이와 관련해 최근 금융권은 ‘금융보안 규제 선진화 공동대응 토론회’를 개최하는 등 새로운 변화에 따른 보안 대응방안을 모색하고 있다. 이에 본지는 이글루코퍼레이션 보안분석팀 김미희 팀장과의 인터뷰를 통해 ‘금융보안 규제 선진화 공동대응 토론회’에서 제기된 주요 내용과 보안대책에 대해 들어봤다.

[자료=이글루코퍼레이션]


Q. 최근 ‘금융보안 규제 선진화 공동대응 토론회’가 열린 배경은 무엇인가요?
폐쇄적 운영 기조의 금융 생태계가 경제·기술 패러다임의 변화로 사업 기조에 변화가 나타나고 있습니다. 차세대 기술을 이용한 혁신적인 금융 서비스로 핀테크와 빅테크, 네오테크와 같은 금융산업의 새로운 경쟁자들과 경쟁하게 되면서 금융 생태계가 변화되고 있는 거죠. 변화하는 디지털 기술 흐름에 발맞춰 금융권도 디지털 친화적인 소비자 니즈를 극대화하고 글로벌 추세인 소비자 권리 강화 및 데이터 활성화가 화두가 되고 있는데요. 특히, 인공지능, 분산원장, 양자 컴퓨팅 등 차세대 기술의 발전과 금융규제 현실화의 간극 속에서 현행 금융보안 규제가 효과적으로 작동할 수 있는 방안을 모색해야 하는 상황이 됐습니다.

이러한 가운데 지난해 12월 금융위원회가 금융사들이 IT 정보보호 리스크에 효과적으로 대응할 수 있도록 ‘금융보안 규제 선진화’ 대책을 발표했는데요. 주요 내용은 ‘보안 거버넌스 개선’, ‘보안규제 정비’, ‘관리·감독 선진화’입니다. ‘보안 거버넌스 개선’은 CISO 권한 확대와 금융회사의 보안 리스크 자가 분석 및 평가를 통해 금융보안 리스크에 비례한 보안방안을 수집할 수 있도록 자율보안체계로 전환하는 게 핵심입니다. ‘보안규제 정비’는 금융회사의 안전성 확보 의무사항의 세부사항을 규제가 아닌 가이드로 전환해 보안사고로 인한 사후책임을 강화하는 것입니다. 마지막으로 ‘금융보안 규제 선진화’는 보안규정 위반 여부를 감독 중심에서 자율보안체계의 검증 중심과 보안 거버넌스 구축을 위한 컨설팅 기능을 강화하기 위한 ‘관리·감독 선진화’가 주요 골자입니다.

‘뉴욕주 금융사이버보안 규정(23 NYCRR 500)’, ‘유럽은행감독청(EBA) 내부 거버넌스 가이드라인’, ‘유럽연합 PSD2의 전문인배상책임보험 최저보상한도 산출기준’이나 NIST RMF(Risk Management Framework) 등 글로벌 금융보안 컴플라이언스 및 보안체계가 자율적인 보안 리스크를 분석 및 판단하는 자율보안체계로 변화되고 있는 게 이러한 추제를 대변하고 있습니다.

국내 금융보안체계에도 변화의 움직임이 시작되었습니다. 구체적인 보안강화 방안을 제시하던 방식에서 벗어나 금융시장의 자율성과 책임성을 부여함으로써 금융보안 생태계의 상향화를 목표로 하고 있습니다. 그러다보니 금융보안 강화를 위한 실무적인 고민은 더욱 커졌습니다.

‘금융보안 규제 선진화 공동대응 토론회’는 이러한 ‘자율보안체계로의 전환’에 따른 컴플라이언스·거버넌스와 보안기술의 유기적인 연계 방안을 모색하기 위해 마련됐습니다. 기술, 법률, 연구기관이 함께 금융 생태계 변화에 따른 보안 이슈에 대응하고자 글로벌 금융보안 동향 및 보안기술 연구방향을 논의하는 이번 토론회가 개최됐다고 볼 수 있습니다.

Q. 최근 ‘금융 정보보호 해킹 사례 및 동향’에 대해 말씀해주신다면
이글루코퍼레이션의 정일옥 기술위원이 해당 토론회에서 발표한 바에 따르면 국내에서는 금융산업 개방이 보안위협으로 대두되고 있습니다. 오픈 API, 오픈 뱅킹 등 금융산업 개방으로 보안위협에 지속적으로 노출된 바 있습니다. 또한, 은행 17곳이 2017~2021년 사이에 받은 사이버 공격이 매일 598건에 달했는데, 2021년에만 전자금융사고 및 침해사고 6건, 장애 349건으로 집계됐습니다.

[자료=이글루코퍼레이션]


또한, 금융감독원의 발표에 따르면 국내 금융산업 사이버 사고 건수 추이는 2017년 68건, 2018년 107건, 2019년 54건, 2020년 67건 2021년 76건입니다. 금융권에서 발생하는 주요 보안 위협은 오픈소스로 인한 공급망 위협, 크리덴셜 스터핑, API 보안, DDoS 공격, 클라우드 위협, 가상자산 위협 등을 꼽을 수 있습니다.

글로벌 은행들은 과거 사이버 공격에 피해를 입었던 경험을 바탕으로 보안 인프라를 구축할 뿐만 아니라 보안 관련 회사 및 기술에도 적극 투자(아부다비, HSBC, Danske, 도이치뱅크 등)하고 있습니다.

금융 생태계 상당수는 디지털 생태계 중심으로 확산되고 있는데요. 디지털 전환의 최우선 과제는 뭐니 뭐니 해도 사이버 보안이라고 할 수 있습니다. 금융 생태계의 차별화 포인트가 사이버 보안 강화 대책일 정도가 됐죠.

Q. 팀장님께서 생각하는 ‘금융보안 규제 선진화 방안’은 무엇인가요?
‘금융보안 규제 선진화 방안’의 핵심은 금융 생태계 변화속도에 따른 금융보안체계의 상향화입니다. 현행 금융보안 체계는 ①금융보안규제 현황검토→ ②사전통제 기반의 보안성 검토→ ③금융 서비스 오픈과 같이 의무사항 수행 여부에 따른 사전통제 형태입니다. 따라서 금융회사의 조직 규모와 영향도, 보안이슈의 파급력을 고려할 수 있는 자율보안체계를 통한 보안규제 현행화·실무화가 중요합니다.

그러기 위해선 먼저 ①비즈니스 목적 및 기술영향도 파악→ ②보안 리스트 분석 및 조치→ ③금융서비스 오픈 절차를 통해 신기술 적용에 따른 보안 리스크를 최소화해야 합니다. 인공지능, 클라우드, 양자 컴퓨팅 등의 신기술을 통한 디지털 전환은 기존 금융보안 규제에서 발견되지 못했던 보안위협들이 야기될 수 있기 때문에 자동화된 정적·동적 보안진단을 통한 금융보안 공급망 체계(Security by Supply Chain Finance)를 구축해야 합니다.

특히, 최근 챗GPT의 부상으로 인해 금융서비스와 인공지능이 결합되면서 보안이슈가 다시 중요해지고 있는데요. 서비스 측면에서는 의사결정의 편향성 및 데이터 왜곡과 같은 역기능을 최소화하는 한편, 기술적 측면에서는 인포스틸러, 스피어피싱, 랜섬웨어 등 챗GPT를 이용한 사이버 공격 실증사례를 분석해 금융보안체계에서도 인공지능을 활용한 고도화가 중요합니다.

▲이글루코퍼레이션 보안분석팀 김미희 팀장[사진=이글루코퍼레이션]


Q. 금융보안 분야는 보안 시스템 구축, 정보보호 담당조직 등 기본적인 보안체계가 완비돼 있습니다. 그럼에도 불구하고 다크웹 상의 정보 유출, 고도화된 사이버공격 등의 한계점이 있어 사후규제 중심의 전환에 대해서도 의견이 분분할 것 같은데요. 이에 대한 견해는 어떠신가요?
다크웹의 크리덴셜 정보 활용 및 고도화된 사이버 공격과 관련한 제도적·기술적 한계는 항상 존재해 왔는데요. 사후규제 중심의 전환이 전반적인 금융보안 생태계를 저해할 수 있다는 회의적인 시각도 존재할 수 있습니다. 현재 금융보안 체계가 금융회사의 보안수준을 일정수준 이상으로 유지하는데 일조하고 있다는 건 부인할 수 없는 사실이기 때문입니다.

하지만 중요한 것은 IT 생태계의 파괴적인 변화는 사이버 보안 생태계 전반의 가시성 저하로 이어지고 있습니다. 명문화된 보안 의무사항의 준수만으로는 현재의 사이버 보안 위기를 대응하는데 적절하지 않기 때문입니다. 우리에게 지금 당장 필요한 것은 최소한의 보안기준이 아닙니다. 안전한 고객 데이터 관리와 다양한 금융 서비스 제공을 통한 금융 생태계 활성화라는 금융회사의 본래 목적을 수행하기 위해 최대한의 보안기준을 마련할 수 있는 현실적 대안을 찾는 것입니다.

Q. 특히, 금융기관은 돈을 다루고 있는 만큼 보안이 무엇보다 중요한데요. 현 시점에서 금융기관이 보안 강화를 위해 가장 염두에 두어야 할 것은 무엇인가요?
금융은 비즈니스 생태계에서 여타 다른 산업군에 비해 높은 보안수준이 요구됩니다. 금융 생태계는 금융 서비스를 주로 다루던 종전의 환경에서 변화되고 있는데요. 테크기업의 금융업 진출과 크라우드 펀딩, 파이낸슈머(Finansumer), 인베슈머(Invesumer), 렌슈머(Lensumer) 등과 같이 소비자가 금융생산에 참여하는 형태로 변화하면서 금융의 ‘빅블러’ 현상이 나타나고 있습니다.

이는 강력한 금융보안이 차별화 수단으로 작용될 수 있다는 것을 의미합니다. 따라서 거시적인 금융보안 체계를 통한 능동적인 보안활동이 수반돼야 합니다. 글로벌 금융 생태계 변화에 따라 유연하게 대응하고, 자율보안체계를 통한 책임감 있는 보안역량 강화를 바탕으로 금융회사들이 강력한 보안 경쟁력을 갖춘다면 우리가 생각하는 금융보안의 이상적인 그림이 완성되지 않을까 싶습니다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아스트론시큐리티 파워비즈 2023년2월23일 시작 시큐아이 위즈디엔에스 2018
설문조사
오픈AI가 개발한 인공지능 챗봇 챗GPT가 GPT4 버전까지 나오면서 디지털 혁신의 촉매재 역할을 하고 있습니다. 보안 분야에서도 챗GPT로 인해 보안위협이 가속화될 것이라는 전망과 함께 보안업무에 효과적으로 활용된다면 보안대응 역량 향상에도 크게 기여할 것이라는 의견도 제기됩니다. 이에 대한 여러분들의 생각은 어떠신가요?
챗GPT 악용으로 인해 보안위협이 더욱 고도화되고 증가할 것
챗GPT를 악용하는데 한계가 있어 보안위협이 소폭 늘어나는 추세에 그칠 것
챗GPT 활용에 따라 보안대응 업무에 적지 않은 도움이 될 것
챗GPT의 적극적인 도입 및 적용 통해 보안대응 역량이 획기적으로 향상될 것
보안위협 또는 보안대응과 관련해서는 큰 영향이 없을 것
기타(댓글로)