디지털 전환을 피할 수 없는 상황에서, 불충분한 보안 조치가 고위험 침해의 직접적인 원인이 될 수 있음 밝혀

카스퍼스키(지사장 이효은)는 11월 10일, 금융 산업 분야의 디지털 전환 트렌드와 보안 위협 증가 대응방안을 발표했다.

Kaspersky의 IT Security Economics 2024 보고서에 따르면, 은행·금융·보험기관은 연간 평균 120만 달러를 사이버 보안에 지출하고 있다. 이는 적지 않은 금액처럼 보이지만, 대규모 보안 사고의 평균 피해액인 약 320만 달러와 비교하면 2.7배나 적은 수준이다. 디지털 전환을 피할 수 없는 상황에서, 불충분한 보안 조치가 고위험 침해의 직접적인 원인이 될 수 있음을 명확히 보여준다고 업체 측은 밝혔다.

 

카스퍼스키 아드리안 히아 아시아 태평양 총괄 사장은 “은행, 보험사, 그리고 금융 플랫폼에게 디지털 전환은 단순한 전략적 우위가 아니라 실질적인 성장, 우수한 고객 경험, 그리고 운영 민첩성 향상을 위한 필수 요소다”라며, 그러나 이러한 진화는 기술 발전 속도에 맞춰 진화하는 사이버 위협으로 인해 복잡한 전장으로 바뀌고 있어 단 한 번의 실수도 심각한 결과를 초래할 수 있다”라고 밝혔다. 이어 “이제 금융기관이 성공하고 장기적인 성장을 지속하기 위해서는, 단순한 기술 채택을 넘어 보안을 전략적이고 통합적인 관점에서 재정립해야 한다”라고 말했다.

금융 산업이 급격한 디지털 전환을 거치며 API, 클라우드, AI 기반 인텔리전스를 중심으로 초연결 생태계로 진화하고 있다. 이는 고객 중심의 혁신, 신속한 운영 프로세스, 무한한 확장성을 약속하지만, 동시에 해커들에게는 새로운 공격 표면을 제공하는 ‘디지털 취약점의 뷔페’가 되고 있다.
 
금융 산업은 디지털 전환으로 오픈 뱅킹 API, 서비스형 뱅킹(BaaS), 임베디드 파이낸스, 클라우드 마이그레이션, AI 등의 도입이 빠르게 진화하고 있다. 이러한 변화는 고객 중심의 혁신과 효율성을 높이는 동시에, 새로운 보안 취약점을 동반한다.

오픈 API는 데이터 접근성을 높이지만 침입 경로를 확장 시키고, BaaS는 협력사 간 공유된 위험으로 생태계 전체의 신뢰를 위협한다. 또한 임베디드 파이낸스는 기존 보안 경계를 넘어선 공격 표면을 넓히며, 클라우드 전환은 설정 오류나 책임 불명확성으로 인한 노출 위험을 초래한다. 마지막으로 AI는 금융 서비스의 지능화를 이끌지만, 동시에 모델 조작이나 합성 사기 등 새로운 형태의 위협을 만들어내고 있다. 이처럼 금융의 디지털 혁신은 편의와 속도라는 이점을 제공하는 한편, 그에 상응하는 정교한 보안 전략이 필수적으로 요구된다.

카스퍼스키가 발표한 금융 산업 디지털 전환 트렌드의 주요 내용은 다음과 같다.

1. 오픈 뱅킹 API: 고객 중심 혁신의 핵심으로 주목받는 오픈 뱅킹 API는 새로운 금융 서비스 창출의 촉매제다. 하지만 각 API 엔드포인트는 해커에게 또 하나의 침입 경로가 될 수 있다. 안전한 데이터 교환을 위해서는 설계 단계부터 보안과 규정 준수를 통합하는 ‘보안 내재화’ 접근이 필수적이다.

2. 서비스형 뱅킹: 사전 구축된 인프라를 기반으로 은행 서비스를 빠르게 배포할 수 있는 BaaS 모델은 금융 혁신의 속도를 가속화한다. 그러나 ‘공유된 위험’ 구조 속에서, 단 하나의 파트너 시스템 침해가 전체 생태계의 안정성과 신뢰를 위협할 수 있다. BaaS 확산은 결국 협력사 보안 관리와 거버넌스의 수준에 의해 성패가 결정된다.

3. 임베디드 파이낸스: 결제와 대출 기능이 리테일 앱, 배달 플랫폼 등 다양한 서비스에 자연스럽게 통합되며, 사용자는 매끄러운 금융 경험을 누린다. 하지만 이러한 연결은 기존 보안 경계 밖으로 확장되어 새로운 공격 표면을 형성한다. 이를 보호하기 위해서는 지속적 모니터링과 종단간 보안 체계가 필수적이다.

4. 클라우드 마이그레이션: 금융기관의 클라우드 이전은 확장성과 유연성을 제공하지만, 동시에 설정 오류, 책임 불명확성, 데이터 노출 등의 위험을 수반한다. 실제로 은행·금융·보험업계 리더의 25% 이상이 클라우드 보안을 가장 큰 사이버 우려 사항으로 지목하고 있다. 강력한 클라우드 보안 거버넌스와 접근 제어 정책이 요구된다.

5. AI: 현재 약 75%의 금융기관이 AI를 이미 도입했으며, 추가로 10%가 도입을 준비 중이다. AI는 운영 효율성, 리스크 평가, 맞춤형 서비스 개선을 가능케 하지만 동시에 모델 조작, 합성 사기, AI 기반 피싱 공격 등 새로운 위협을 초래한다. 이는 진짜와 위조된 행위의 구분을 어렵게 만들어, 기존 보안 체계를 넘어선 지능형 방어 전략이 필요하다.

현실은 냉혹하다 새로운 서비스가 생길 때마다 새로운 취약점이 생기며, 공격은 ‘가능성’이 아니라 ‘언제 일어날지의 문제’가 되었다. 사고가 발생하면 신속한 대응, 효과적인 탐지, 빠른 복구가 유일한 우선순위가 된다.

수치로 보면, 상황은 더욱 심각하다.

2024년 금융 부문에서 발생한 보안 사고의 42%는 랜섬웨어에 의해 발생했으며, 전체 공격 중 약 4분의 1인 24%는 은행 고객을 직접 노린 피싱 공격이었다. 또한 전체 침해 사고의 25% 이상은 인적 오류로 인한 것으로, 그중 상당수가 내부 정책 위반에서 비롯되었다. 여기에 더해 정보 탈취형 악성코드의 확산으로, 감염된 사례 중 약 14건 중 1건꼴로 카드 정보가 탈취되는 심각한 피해가 발생하고 있다.

하지만 이러한 일상적인 침해 이면에는 APT, 조직적이고 자금력이 풍부하며 끈질긴 공격자들이 존재한다. 예를 들어 Carbanak과 같은 전문 공격자 그룹은 제로데이 취약점과 공급망 약점을 악용하여 수십억 달러 규모의 글로벌 공격 캠페인을 수행한다.

카스퍼스키 이효은 한국지사장은 “가장 신뢰받는 도구가 취약점이 될 수 있다”라며, “2024년에는 세계에서 가장 널리 사용되는 브라우저의 제로데이 취약점이 정교한 표적 공격의 통로로 이용되었고, 공급망 침해는 소프트웨어 업데이트를 통해 업계 전반에 조용히 확산되었다”고 말했다. 이어 “지난해 은행·금융·보험 기관은 전체 보고된 보안 사고의 18%를 차지하며, 모든 산업 중 가장 높은 비중을 기록했다”라며, “피해는 고객 서비스 중단부터 수주간 탐지되지 않은 침해까지 다양하며, 신뢰와 평판에 심각한 타격을 준다”라고 밝혔다. 이에 “생존을 위해서는 적응형·통합형·탄력적인 보안 시스템을 구축해, 혁신의 속도와 동일한 속도로 방어해야 한다”라고 말했다.

카스퍼스키가 제시하는 금융 기관의 보안 강화를 위한 3단계 대응 방안은 다음과 같다.

Step 1: 종합적인 준비 및 점검: 전체 인프라를 철저히 평가하고, 기존 프로세스를 검토하며, 취약점을 공격자보다 먼저 해결해야 한다. 내부 팀이 주도할 수 있지만, 외부 전문가의 참여는 새로운 관점을 제공하여 숨은 리스크를 발견할 수 있다.

Step 2: 첨단 기술 도입: 보안팀이 모든 공격 벡터를 통합적으로 모니터링하고 제어할 수 있는 플랫폼을 구축해야 한다. 신속한 탐지와 빠른 대응이 핵심이며, 조직 전체의 보호를 보장한다.

Step 3: 지속적 학습과 인텔리전스: 위협이 계속 진화하는 만큼, 최신 위협 환경에 대한 이해 유지가 중요하다. 고급 위협 인텔리전스와 분석을 활용하여 보안 전략을 선제적으로 조정해야 한다. 또한 정기적인 인식 교육을 통해 직원들이 피싱을 식별하고, 정책을 준수하며, 1차 방어선 역할을 할 수 있도록 강화해야 한다.

카스퍼스키 이효은 한국지사장은 “최첨단 기술, 지속적인 교육, 그리고 신뢰할 수 있는 파트너십이 결합될 때, 금융기관은 회복 탄력적인 인프라를 구축할 수 있다”라며, “이러한 접근을 통해 재정적 리스크를 최소화하고, 규제 준수를 보장하며, 비즈니스 연속성을 유지할 수 있다”고 말했다. 또한 “카스퍼스키는 28년 이상 전 세계 수천 개 금융기관을 보호해오며 은행·금융·보험 분야에서 깊은 전문성을 가진 사이버 보안 제공기업으로서, 보안 도전 과제를 깊이 이해하고 있으며, 가장 엄격한 기준에 부합하는 맞춤형 솔루션을 제공한다”라고 밝혔다.