최근 국내 금융권이 다수 사용하는 보안 소프트웨어 통합 솔루션 베라포트(Veraport) 공급망에서 악성코드를 배포하려는 시도가 발견됐습니다. 그 배후가 북한이 연계됐다는 주장까지 제기됐습니다. 국제 해킹 그룹인 라자루스 소행이라고 주장합니다. 이 사건은 지난해 하반기와 올해 잇달아 발생한 공급망 공격으로 다행히 금융사 피해는 아직 없는 것으로 조사됐습니다.
코로나19 확산으로 비대면 채널이 부상하자 해킹 수법도 날로 진화하고 있습니다. 소프트웨어 취약점을 이용해 악성코드를 삽입하거나 소프트웨어 정책 서버를 공격하는 일도 발생하고 있습니다. 코드 서명 인증서를 악용한 악성코드 유포 사례도 여러 차례 발생합니다. 민간 금융사만이 아닙니다. 정부 기관이나 인터넷뱅킹 웹사이트를 방문할 때, 보안 소프트웨어를 추가로 설치하는 경우가 많아 사이버 공격이 코로나19 시국에 더욱 치밀하고 악랄해지고 있습니다.
이 같은 상황에 대비해 금융권도 LG CNS 등 IT 전문 기업과 좀 더 고도화한 보안 시스템을 구축하고 이른바 ‘K-방역 보안 체계’를 도입하고 있습니다.
국내뿐만 아니라 해외에 지점을 다수 두고 있는 은행의 경우, 한번 사이버 공격을 받을 경우 그 피해는 상상할 수 없습니다. 특히 모바일 등 비대면 채널 사용이 급증하고 있는 가운데 은행권과 SI 업계, 보안 업계가 글로벌 정보보호 체계를 수립하고 대면 위주 정보보호 정책에서 탈피, 언택트 기반 정보보호 체계 전환에 나서고 있어 주목됩니다.
코로나19, 치밀해지는 사이버 공격
올해 금융권 대상으로 보안 위협 기술 전망 조사를 했습니다. 전자신문과 금융권이 공동으로 정부 부처를 포함한 10개 기관에서 발표한 보안 위협 기술 46개를 표본으로 발생 가능성이 짙은 것으로 예상되는 보안 위협 항목을 모두 조사했습니다.
그 결과 지능형 지속 위협(APT, 랜섬웨어 포함)과 클라우드, AI(인공지능), IoT(사물인터넷), 모바일, 랜섬웨어, 다크 웹, 오픈소스 취약점, 암호화폐, 원격 프로그램 대상으로 보안 위협이 증가한 것으로 나타났습니다.
이 가운데에서도 APT와 AI에 약 66%의 보안 위협이 집중됐습니다. APT 분야는 공공기관과 기업을 사칭해 APT와 같은 사회공학 공격 기법 증가가 눈에 띕니다. 이력서나 급여명세서 등 제목과 함께 악성코드를 실행하는 표적 공격이 확대될 공산이 큽니다. 공격 방식도 더욱 은밀하고 정교하게 진화하고 있습니다.
클라우드 분야도 사이버 공격 주 타깃으로 선정됐습니다. 금융권을 포함한 클라우드 사용 기업 확대에 따라 2020년을 기점으로 보안 위협이 어느 때보다 늘고 있습니다. 클라우드 의존도 증가로 인한 서비스 중단 위험이 최고조에 이를 것으로 보안 업계는 내다봤습니다. 클라우드 환경과 서비스를 둘러싼 보안 위협 급증으로 선제 대응 필요성이 제기됩니다.
국내 SI 기업과 공동 대응 체계를 갖추고 보다 진화한 보안 기술과 시스템 고도화를 꾀해야 한다는 주장입니다.
AI 분야에서는 공격자가 AI를 활용해 공격을 탐지하기 어렵게 만드는 사이버 공격 기술이 등장했습니다. 정상 트래픽과 위협 소지가 있는 데이터 혼합을 통한 탐지 모델 우회 공격 방식이다. AI 이중성과 취약성에 기반을 둔 보안 위협이 골칫거리로 대두됐습니다.
융합 서비스를 노리는 IoT 분야의 새로운 보안 위협도 등장합니다. 지능형 폐쇄 회로 CCTV와 AI 스피커 등 IoT 기기 결합 서비스 대상 사이버 위협이 어느 때보다 증가하고 있습니다. IoT를 노리는 대규모 봇넷, 디도스 공격 등 IoT 관련 서비스 보안 위협 확산이 예상됩니다.
그 외에도 모바일까지 확대되는 소프트웨어(S/W) 공급망 공격과 문자 메시지, 이메일 링크를 이용해 악성 앱을 배포하는 방식도 날로 진화하고 있습니다. 특히 모바일 피싱 공격 고도화와 공격 방식 진화로 ‘웹 링크 클릭 유도’ 형태로 발전할 가능성이 엿보입니다.
랜섬웨어 분야는 개인에서 공공기관, 기업으로 피해가 확대될 전망입니다. 다크 웹 내 해킹 정보 생산, 배포, 구매 활성화를 통한 개인정보 노출 확대 피해도 사이버 위협 트렌드로 꼽힙니다.
사회적 문제로 부상한 암호화폐와 원격 프로그램 분야도 새로운 사이버 보안 위협 집중 분야로 떠올랐습니다. 암호화폐 거래소 사칭과 지갑 프로그램으로 위장한 악성코드 유포, 고수익을 얻기 위해 익명성을 악용한 다양한 공격 시도가 급증하고 있습니다.
금융권 보안 관계자는 ‘보안 시스템을 아무리 고도화해도 사이버 보안 위협 또한 날로 지능화하는 만큼 미래 기술 상용화에 맞춰 보안 전략도 정부와 기업 합동으로 대안을 조속히 마련해야 한다.’라고 지적합니다.
비대면 정보보호 체계 전환 나선 한국
대형 은행 중심으로 해외 시장 진출이 가속화하고 있습니다. 과거에는 해외 지점의 경우 보안 인력과 시스템을 따로 두거나 정보보호팀이 한두 달에 걸쳐 해외로 나가 점검하는 대면 위주 정보활동이 주를 이뤘습니다. 그 때문에 유기적인 정보보호 대응 체계 수립이 힘들고, 고도화하는 사이버 공격 적시 대응이 불가능했습니다. 하지만 최근 금융사가 비대면이나 원격으로 IT 보안 영역까지 일괄 점검하고 관리하는 K-방역 보안 체계를 도입하고 있습니다.
우리은행은 최근 글로벌 정보보호팀을 신설하고 글로벌 정보보호 관리체계를 수립했습니다. 해외 26개국에 453개 지점을 보유하고 있는 우리은행은 제각각으로 운영되던 해외 영업점별 정보보호 수준을 상향 평준화했습니다.
국내은행 중 최초로 해외 영업점을 대상으로 ‘빅데이터를 이용한 악성코드 유입 분석 체계’를 적용했습니다. 악성코드 탐지 이벤트를 빅데이터 기술로 자동 수집해 악성 행위의 연관 관계 분석 후, 유입 경로를 식별하고 무력화하는 새로운 보안 기법입니다.
해외 영업점에서 우선 운영 후 우리은행 본점 및 국내 영업점에 전체 확대할 예정입니다. 또 현지 맞춤형 취약점 점검 프로그램을 자체 개발해 운영 중입니다. 해외 현지 직원이 없어도 보안 점검을 원격으로 할 수 있습니다.
코로나 팬데믹 여파로 현장 점검이 어려워지자, 형식적인 비대면 문서 위주 점검에서 벗어난 실제 원격 접속 방식 비대면 점검 체계로 보안 시스템은 전면 전환한 것입니다.
신한은행도 글로벌 정보보호팀을 신설하고 해외 네트워크에 대한 정보보호 표준 가이드라인인 글로벌 정보보호 관리체계(GISM)를 수립•적용했습니다. 최근에는 클라우드 서비스를 이용한 안티-디도스(Anti-DDos) 방어 시스템을 구축했습니다. 본사와 지점 간 실시간 모니터링이 가능한 쌍방향 현장 업무 지원 시스템 ‘글로벌 레그테크’를 도입했습니다.
또 글로벌 사이트를 타깃으로 한 보안 위협 행위 탐지 및 대응을 위해 AI 기술을 적용한 국가별 맞춤형 글로벌 통합 보안 관제 체계 구축을 진행 중입니다.
하나은행은 정보보호 부서 내 글로벌 전담 조직을 신설하고 글로벌 정보보호 강화를 위한 ‘표준화, 현지화, 통합화’ 3대 추진 전략을 수립했습니다.
글로벌 정보보호 규제에 대한 효과적 대응을 위해 하나은행이 진출한 24개국 50여 개 정보보호 규제를 분석하는 과정을 거쳐 글로벌 정보보호 규제 관리 프레임워크를 수립했습니다. 글로벌 규제 대응 체계, 점포별 규제 대응을 위한 정보보호 프레임워크가 반영됐습니다. 이 시스템에 대한 특허도 출원한 상태입니다.
특히 코로나 팬데믹 상황에서 은행권 최초로 24개국 모든 국외점포와 캐나다 현지법인 직원에 대해 상시 재택근무 시스템을 통해 코로나로 인한 글로벌 영업이 차질 없이 해외 현지 고객에 서비스될 수 있게 했습니다.
본국과의 원격 상태, 시차가 있는 해외 특성상 글로벌 정보보호는 현장 소통과 역할이 무엇보다 중요합니다. 하나은행은 국외점포별 현지 정보보호 담당자(ISO, Information Security Officer)를 선임해 정보보호 전반에 대해 1차 현지 대응하고 본국 정보보호 조직과의 상시 소통을 통해 정보보호 각종 이슈를 즉시 대응을 위한 정보보호, 글로벌 비즈니스, 현지 국외점포 간 긴밀한 협업 체계를 구축했습니다.
K-방역 금융 보안 시스템, 해외 수출 기회 창출해야
금융 보안 부문에도 K-방역이란 용어가 도입될 정도로 한국 금융 보안 부문 역량은 우수합니다. 그 바탕에는 시스템 운영에 전문성을 보유한 LG CNS 등 SI 기업과 S/W 보안 기업 등이 협력하고 있기 때문입니다.
해외 네트워크가 확대될수록 정보보호를 위협하는 요인도 다양해지고 국가별 글로벌 보안 규제 강화 추세와 글로벌 네트워크 확대에 따라 맞춤형 정보보호 관리체계를 구축하는 것이 무엇보다 시급합니다. 디지털 트랜스포메이션(Digital Transformation) 시대 속에 IT 시스템에 대한 사이버 위협 증가 추세에 발맞춰 금융사는 시스템 고도화 외에도 화이트 해커 인력 육성에 나서야 할 때입니다.
한국 선진 코로나 대응 체계인 K-방역이 글로벌 표준으로 부상한 것처럼, 금융 IT 부문 보안 표준화를 통해 언택트 시대에 걸맞은 표준을 만들어야 합니다.
최근 국내 대기업 해외지사들이 연쇄적으로 침해 위협에 노출되고 있고 디도스 공격 등 해외 공격 사례가 급증하고 있는 상황에서 현지 컴플라이언스 대응 체계 수립이 무엇보다 중요한 시대가 왔습니다. 금융권이 보안 부문 표준화를 통해 협력사와 하나의 비즈니스 모델을 만들어 수출하는 노력이 필요합니다.
글 l 길재식 l 전자신문 기자(osolgil@etnews.com)
