본문 바로가기
SECURITY ISSUE

금융감독원에서 발행한 2022 디지털금융 및 사이버보안 이슈 전망

by pharmerci 2021. 12. 29.
728x90

금융감독원에서 2022년 디지털금융과 사이버보안 분야에서 주목해야 할 10대 이슈를 선정해 발표했다. 읽어보면서 모르는 내용은 공부도 해보면 좋을 것 같아서 포스팅해본다.

 

1. 사이버공격의 대유행, 디지털 팬데믹

 

디지털 팬데믹(Digital Pandemic)이란 사이버공격이 전세계적으로 대유행하는 상황을 말한다. 코로나19 유행으로 비대면 문화가 확산되었고 이로 인해 디지털로의 전환은 가속화되었다. 교육 측면만 보더라도 코로나19의 유행으로 모든 수업을 원격에서 진행하며 비대면 문화가 확산되었다. 이로 인해 IT의존도는 증가하게 되었고, 사이버공격 대상도 확대되었다.

랜섬웨어로 인한 전세계 피해현황은 2019년에 1.9억건, 2020년에 3억건으로 1년 새에 약 62% 증가하였다. 2021년 7월 IT 관리용 소프트웨어 제공업체는 러시아 랜섬웨어 그룹 Revil에 의해 랜섬웨어 유포 경로로 악용되었다.

 

랜섬웨어와 같은 사이버공격이 주요 금융회사를 타깃으로 일어나게 되면, 금융회사의 업무가 장기간 중단될 가능성이 있다. 이는 금융시스템 전체에 대한 신뢰 하락 및 리스크 확대로 이어져서 금융안정에 영향을 줄 가능성이 크다. 

그러므로 사이버리스크의 확산 방지를 위해서 금융업권의 전방위적 대응이 필요하다. 사이버공격의 예방 역량을 갖추고, 공격 발생 시 리스크 확산 방지를 위한 신속한 복구능력을 확보해야 한다. 또한 정부, 금융회사, 관련기관 간의 신속한 정보공유가 가능하도록 긴밀한 협력체계를 운영해야 한다.

 

 

 

 

 

2. 디지털 전환 시대, 새로운 금융보안 규제

 

인공지능, 블록체인, 클라우드 등의 신기술 도입과 금융시스템의 개방 등으로 인해 금융의 디지털 전환이 가속화되고 있다.

국외 주요국은 디지털 금융에 적합한 규제체계 마련을 위해서 법제도 정비를 지속하고 있다. EU는 지급결제산업지침, 디지털운영복원법 등의 법제도를 정비했으며, 영국은 운영복원력 및 제3자 리스크 관리 정책을 정비했다. 또한 국내에서는 금융보안원칙이 담긴 전자금융거래법 개정을 추진중에 있다. 리스크에 비례한 자율적 보안을 위해서 원칙 중심의 규제를 선언했다.

이 원칙은 금융보안 7대원칙을 말하며 내용은 아래와 같다. 금융보안 7대원칙 중심의 자율적인 금융보안 역량을 강화할 필요가 있다.

  • 기밀성, 무결성, 가용성 확보
  • 업무지속성(회복성) 유지
  • 조직, 임직원의 금융보안 관련 역할 명확화
  • 이사회의 금융보안에 대한 최종 책임성
  • 전사적인 금융보안 체계 확립
  • 정보공유체계 구축
  • 제3자 리스크 관리

 

 

 

 

 

3. 디지털 전환의 필수재료 오픈소스, 그 이면에 감춰진 리스크

 

서비스 혁신을 통해 변화에 대응하고 시장을 선점하는 것이 중요해졌다. 그러면서 다양한 산업분야에서 오픈소스를 적극적으로 활용하고 있다. 하지만 이 오픈소스는 누구나 접근하고 수정이 가능하다는 보안 취약점이 존재한다. 공격자가 임의로 악의적인 코드 추가가 가능하며, 공개된 소스코드에서 취약점을 찾아서 악용할 수도 있다.

그렇기 때문에 오픈소스 취약점을 최소화하기 위한 다각적인 노력이 필요하다. 오픈소스 활용 정책을 수립하고, 오픈소스를 지원하는 서비스를 제공하며, 코드 보안성을 검사하고 주기적인 패치를 하는 등 다양한 오픈소스 보안대책이 존재한다.

또한 오픈소스의 라이선스 체계 등을 정확히 파악하고 인식해야 한다. Code Eye, Olive Platform 등의 오픈소스 분석 점검 서비스를 이용하는 것도 좋은 방법이다.

 

 

 

 

 

 

4. 제로 트러스트 전략에 따른 차세대 보안환경 확산

 

제로 트러스트 보안 zerotrust security (tistory.com)

 

제로 트러스트 보안 zerotrust security

요즘 관심을 갖고 있는 보안 솔루션인 제로 트러스트 보안을 소개하려 합니다. 제로트러스트의 반대개념인 경계기반모델은 회사 내부 직원임을 인증하면 내부망에서는 원하는 데이터를 쉽게

nicedammy.tistory.com

참고로 여기에 제로트러스트 관련 글을 포스팅했으니 참고하시길 ㅎㅎ

 

비대면 환경 보편화에 따라 기업의 내부, 외부 간의 보안 경계가 모호해졌다. 또한 SSL, VPN 취약점을 이용하여 내부직원 계정을 탈취하거나 랜섬웨어를 유포하는 등 공격방식이 다변화하고 있다. 기존의 경계 기반 모델이 효과가 없는 현재 상황에서 제로트러스트 전략에 주목하게 되었다.

제로트러스트 전략을 구현하고 비대면 환경에서 다양한 보안위협이 증가하게 되면서 AI 등 신기술을 활용한 차세대 보안 솔루션이 확산하는 추세이다. 이에 따라 여러 솔루션이 생겨나고 있는데

구분 내용
제로 트러스트 솔루션 소프트웨어 정의 경계, SDP
신원을 기반으로 접근을 제어하는 방식으로 네트워크 디바이스, 단말상태, 사용자 ID를 확인하여 권한이 있는 사용자에만 접근권한을 부여하는 솔루션
제로트러스트 네트워크 액세스, ZTNA
제로 트러스트를 토대로 사용자 중심으로 강화된 인증을 적용하여 안전한 접속을 제공하는 솔루션
자동화 및 통합 솔루션 보안 통합 자동화 대응, SOAR
통합된 보안 대응을 위해 대량의 데이터를 자동으로 분석하고 유입되는 보안위협에 대해 대응 레벨을 자동으로 분류하고 지원하는 솔루션
엔드포인트 위협 탐지 대응, EDR
제로데이 등 보안위협 대응을 위해 단말에서 발생하는 악성행위를 실시간으로 탐지, 분석, 대응하여 피해를 예방 및 최소화하는 솔루션

 

이러한 솔루션들이 도입되고 있다.

강력한 인증 기반의 제로트러스트 전략과 이를 지원하는 솔루션을 검토해야 한다. 하지만 사전준비 없이 솔루션을 도입하는 것은 오히려 보안 예산이 낭비될 수 있다. 그렇기 때문에 성숙한 조직과 절차를 갖추고 기술 도입의 이점과 보안 투자의 효용성을 평가할 필요가 있다.

 

 

 

 

 

 

5. 금융안정을 위협하는 제3자 리스크, 강조되는 운영복원력의 확보

 

사이버리스크의 범위가 확대되었고 사이버 공격 양상은 더 체계화되고 정교화되었다. 게다가 참여자 간의 연계가 복잡해지면 사이버리스크가 금융시스템 전체로 확산되어 금융안정에 우려를 가져올 수 있다. 기존 IT 시스템, 프로세스 중심의 BCP로는 위기상황에 적절한 대응이 어렵다는 인식이 확산되었다. BCP는 Business Continuity Plan으로 업무연속성계획이다. 비상상황 시에도 유연하게 대처할 수 있도록 기업에서 미리 계획을 세워놓는 것이다. 제3자의 리스크가 발생할 수 있는 만큼, 위기상황에서도 금융기능이 영향 허용한도 내에서 유지되도록 운영복원력 강화 중심의 정책을 추진해야 한다.

금융의 디지털 전환은 금융회사의 제3자 의존성을 증가시킬 것이며 디지털 금융에서의 운영복원력의 중요성은 강조될 것이다.

중요업무 식별 -> 업무별 영향 허용한도 설정 -> 서비스 유지에 필요한 자원 식별 -> 업무 중요도에 비례하는 운영복원력 확보를 위한 지속적 점검, 개선

이 순서로 운영복원력을 확보하기 위한 노력이 필요하다.

또한 국회 논의 중인 전자금융거래법 개정안에서도 업무 지속성, 수탁자 관리 등에 대한 규제를 강화하려 하고 있기 때문에 고위 경영진 중심으로 리스크 관리, 정책 정비, 자원 확보가 필요하다.

 

 

 

 

 

6. 디지털자산 확산에 대한 기대와 우려

 

지급, 결제, 투자, 자산의 소유권 보장 및 거래 등 디지털 자산의 용도가 다양화되고 있다. 중개기관 없이 거래하는 탈중앙화 금융 서비스를 제공하는 디파이가 등장했다. 세계 각국의 중앙은행은 물리적 법정화폐를 대체하는 수단으로 CBDC 도입을 추진하고 있다. 각국 중앙은행이 발행을 검토하고 있는 디지털화폐(Central Bank Digital Currency: CBDC)란 기존의 실물 화폐와 달리 가치가 전자적으로 저장되며 이용자간 자금이체 기능을 통해 지급결제가 이루어지는 화폐를 말한다.

디지털자산이 금융의 제2의 디지털전환을 일으킬 것이라는 가능성이 제기되었다. 그렇기 때문에 선제적으로 비즈니스 모델에 대해 적극적으로 준비할 필요가 있다. 디지털자산은 앞으로 주요 거래수단이 될 수 있으므로 보안성 확보는 필수적이다. 디지털자산의 특성과 용도에 맞게 보안대책을 수립하고 안전한 디지털자산 활용을 위한 엄격한 기준과 원칙을 마련해야 한다.

 

 

 

 

 

 

7. 금융 메타버스, 현실세계와 가상세계의 융합

 

메타버스 metaverse 개념, 장점, 단점 (tistory.com)

 

메타버스 metaverse 개념, 장점, 단점

사실 필자는 우주하마의 왕팬이다( •̀ ω •́ )y 요즘 우주하마 채널에서 로블록스를 이용한 게임들을 시청자들과 하는 모습을 볼수 있는데 무척 재밌다.. 독사들과의 케미가 엄청남 ㅎ 암튼 이

nicedammy.tistory.com

저번에 포스팅한 메타버스 관련글 ㅎ

 

신한은행 무인점포 '디지털 라운지'

금융범위에서의 메타버스 활용 사례, 범위가 빠르게 증가하고 있다. 이전에는 직원교육, 업무회의, 고객 홍보 목적으로 메타버스가 이용되었다. 최근에는 온오프라인 업무연계, 디지털지점 운영, AI은행원 배치 등의 목적으로 메타버스가 이용되고 있다. 게다가 최근 메타버스 플랫폼 내의 독자적인 경제활동이 나타나고 있다. 한 사례로 로블록스에서 게임 및 아이템을 제작해 가상자산인 로벅스로 교환이 가능하다. 이 로벅스를 달러로 교환도 가능하다.

이렇게 금융분야에 메타버스를 활용하면서 금융사기 위협이 확대되고 고도화된 사기 수법이 등장할 것으로 예상한다. 그렇기 때문에 AI, 클라우드, AR/VR 기기 등 메타버스 기반 기술의 취약점에 유의하여야 한다. 또한 메타버스 속 가상자산의 성장과 NFT 영향력 확대는 메타노믹스의 등장을 현실화할 수 있다. 그러므로 새로운 체계 내에서의 자금세탁 방지, 과도한 변동성 완화를 위한 방안을 마련해야 한다.

 

 

 

 

 

8. 업무 자동화 확산에 따른 리스크 증가

 

이전에는 단순한 업무만 자동화로 처리했으나 AI발전으로 금융회사 내의 고차원적 업무의 자동화가 진행되면서 효율성과 정확성이 극대화되고 있다.

예를 들면

  • Lowcode : 복잡한 코딩을 단순화하여 간단한 UI로 쉽고 빠르게 개발, 배포
  • SOAR : 보안 솔루션을 일괄 지휘하는 자동화된 컨트롤타워
  • iPaaS : 애플리케이션 통합을 위한 플랫폼으로 여러 환경에서 구축된 프로그램을 상호연동

이런 것들이 다 초자동화 기술의 예시이다.

하지만 업무자동화의 확대에 따라 여러 문제점이 발생한다. 예상치 못한 자동화 오류, 시스템 복잡도 상승에 따른 취약점 증가, 지속적인 관리실패, 대안 부재 등의 문제점이 발생할 수 있다.

하지만 업무 자동화 흐름은 구독형 서비스 형태여서 큰 초기비용 없이 자동화 추진이 가능하기 때문에 업무 자동화 도입으로 비용, 기술, 오류, 복잡성이 최소화될 수 있다. 그래서 이를 이용하는 기업은 증가할 것이다. 하지만 위험요소가 존재하기 때문에 이를 사전에 차단하고 안전하게 활용하는 것이 중요하다. 자동화 구축 후 업무 처리 과정을 지속적으로 모니터링하며 장애 발생 시 사전 마련된 안전장치로 업무 공백을 최소화해야 한다.

 

 

 

 

 

 

9. 데이터 무한 경쟁 시대 개막과 데이터 양극화

 

적극적인 데이터 활용으로 혁신적인 서비스를 발굴하고 더 높은 경쟁력과 수익을 창출하려는 기업이 증가하고 있다. 이에 따라 데이터 양극화가 발생하게 된다. 기업 간에는 보유 데이터가 많은 빅테크 기업은 다른 기업과 데이터를 공유할 일이 적으며 데이터를 독점하는 경향이 있다. 그리고 기업이 개인정보를 수집, 가공, 활용하면 개인이 자신의 데이터를 온전히 통제하지 못하는 현상이 발생할 수 있다. 또한 개인 간에는 디지털 매체에 접근을 잘 못하는 소외계층은 데이터생성 활동에 참여하기 어려워 양극화가 발생할 수 있다. 그래서 국가별로 데이터 양극화 방지를 위해 다양한 정책을 제안하고 있다.

데이터 독점 등 이슈를 최소화하기 위해서 공정하고 지속 가능한 데이터 전략 수립이 필요하다. 또한 고품질 데이터 확보를 위한 데이터 품질 점검 관리 등 데이터 거버넌스 수립이 필요하다. 또한 데이터 거래, 유통 플랫폼의 적극적인 활용 등 종합적인 데이터 전략 검토가 필요하다. 금융 데이터 거래소 등 관련 플랫폼을 적극 활용하는 방안을 포함한 종합적인 데이터 전략을 검토해야 한다.

 

 

 

 

 

10. 멀티플랫폼으로 진화하는 금융서비스와 보안위협

오픈뱅킹 확산 이후 금융서비스의 세분화가 확대되며 임베디드 금융 시장 진출에 적극적이다. 또한 비금융서비스를 함께 제공하는 금융, 생활 플랫폼으로의 변화를 추구할 수 있다. 대표적으로 네이버는 기존에 비금융서비스인 포탈 서비스의 대표 기업이었으나 최근 네이버페이를 도입하며 금융 플랫폼의 주요한 기업으로 자리잡고 있다. IT기업이 자사 서비스에 금융서비스 결합을 시도하면서 금융서비스의 이용환경도 진화하고 있다.

현대카페이(현대자동차)

그러면서 차량, IoT 등 다양한 환경을 공격하는 멀티플랫폼 악성코드가 증가하고 있다.

금융 플랫폼 내 연계를 통해 고객 요구사항을 자동으로 파악하고, 필요한 금융서비스를 자동으로 구성하여 제공하는 서비스가 확대될 전망이다. 또한 초개인화의 극대화로 AI, IoT 등이 사람을 대신하여 서비스를 요청하고 처리하는 기계고객이 금융분야에도 확장될 전망이다. 금융 플랫폼에는 양질의 개인정보를 다량 보유하고 있어서 공격대상이 되기 쉬우므로 금융 플랫폼의 관문이 되는 API 보안 강화와 함께 공격자 관점의 플랫폼 공격 시나리오 분석 등 고도의 역량을 갖춰야 할 것이다.

 

 

 

 

 

728x90
저작자표시

'SECURITY ISSUE' 카테고리의 다른 글

메타버스 metaverse 개념, 장점, 단점  (0) 2021.12.22
자율주행자동차 보안문제점(외부, 내부 네트워크, 전장플랫폼)과 보안 시스템 / 보안 법제 현황(미국, 영국, 한국, 일본)  (0) 2021.12.14
사상 최악의 취약점 Log4Shell 이게 뭐지? : 원격 코드 실행(RCE) 취약점 CVE-2021-44228  (0) 2021.12.13
아파트 월패드 해킹 이슈 : 홈가전 IoT 보안가이드  (0) 2021.11.30
개인정보보호위원회와 한국인터넷진흥원에서 운영하는 털린 내 정보 찾기 직접 해봤다!  (0) 2021.11.16

관련글

티스토리툴바