사이버 보안, 은행의 새로운 경쟁력이 되다

하나금융경영연구소, ‘은행의 새로운 경쟁력, 사이버 보안’ 보고서 발표
망분리 제도 시행...하드웨어-소프트웨어 구분없이 촘촘한 사이버보안 체계 구축 필요

[보안뉴스 김영명 기자] 코로나19 팬데믹의 확산으로 ‘비대면’이 일상 속 깊이 스며들면서 ‘디지털 트랜스포메이션’이 빠른 속도로 성장하고 있다. 이러한 가운데 사이버 보안 위협이 모든 산업에 걸쳐 전방위적으로 확산되고 있다.

[이미지=utoimage]

이와 같은 변화는 은행업계에도 마찬가지다. 은행은 전자화폐, 전자지급 결제, 인터넷뱅킹 등 디지털 금융의 변화와 함께 다양한 모습으로 우리 삶을 더욱 윤택하게 해준다. 스마트폰만 있으면, 굳이 은행에 가지 않아도 거의 모든 금융거래가 가능한 시대가 도래했다.

하지만, 디지털 금융 환경의 변화는 사이버 리스크의 확대도 함께 불러왔다. 그 무엇보다 더 보안을 중시해야 할 금융프로세스 내 사이버 리스크 대응과 관리 전략이 중요해지고 있으며, 글로벌 은행들은 기술 투자를 지속하며 보안 경쟁력을 강화하는 등 관련 인프라 구축에 적극 임하고 있다.

하나은행 하나금융경영연구소는 최근 ‘은행의 새로운 경쟁력, 사이버 보안’이라는 전략 보고서를 발표했다. 보고서는 서두에서 “사이버 공격이 빠르게 진화하는 가운데 은행의 사이버 리스크 대응 전략은 신뢰성과 연결되어 중요하다”며 “국내 은행들도 보안 경쟁력 강화를 위한 장기적인 전략을 마련할 필요가 있다”고 언급했다.

첫 번째 이슈는 ‘디지털 기술발전 가속화로 금융회사의 편의성은 향상됐지만 사이버 리스크는 증대됐다’는 점이다. 코로나19 이후 원격근무 확산, 핀테크 기업과의 디지털 경쟁 심화, 오픈뱅킹 도입 등 영업환경의 변화로 은행은 보안에 취약한 환경에 노출돼 왔다. 디지털 발전과 사이버 보안 사이의 기술 격차로 은행은 민감한 데이터를 적절하게 관리하지 못하는 상황이 일어나고 있다.

특히, 사이버 리스크는 온라인 사기에서부터 데이터 유출, 멀웨어와 랜섬웨어, DDoS 등 사이버 공격까지 다양하게 발생하며, 관련 범죄도 꾸준히 증가할 것으로 분석되고 있다.

미국의 사이버 보안 연구기업 사이버시큐리티 벤처스(Cybersecurity Ventures)에 따르면 전 세계 사이버 범죄 규모는 2025년까지 연간 10조5,000억 달러(한화 1경4,432조2,500억원)에 이를 것으로 추정하고 있다.

▲전 세계 금융산업 사이버 사고 건수 추이[이미지=하나은행 하나금융경영연구소]

금융회사, 보안 시스템 구축 및 보안기술 투자 활성화
두 번째 이슈는 ‘금융프로세스 전반에 걸친 사이버 리스크의 대응과 관리가 중요해지면서 은행은 다양한 방식으로 사이버 보안 인프라를 구축하기 위해 노력하고 있다’는 점이다. 은행의 사이버 보안 관리영역은 하드웨어, 소프트웨어와 서비스에 이르기까지 광범위하며, 시스템과 애플리케이션을 보호하기 위해서는 영역별 관리가 중요하다.

은행은 보안 프로그램 구매, 자체 보안 기술 개발, 관련 인력 충원 등 방식으로 보안 시스템 구축에 임하고 있으며, 관련 이슈에도 적극적으로 대응 중에 있다.

은행부문의 사이버보안 관련 특허는 2014년 4,892건에서 2021년에는 1만6,228건으로 7년 만에 330%가 넘게 증가했으며, 은행부문 사이버보안 관련 일자리 수도 2020년 1월 2,578개에서 올해 3월에는 1만7,146개로 660%가 넘게 급격히 증가했다.

세계 시장에서도 JP Morgan(미국), BOA(Bank of America, 미국), Wells Fargo(미국) 등 시가총액 상위 10개 은행 중 9개 은행은 별도의 CISO(Chief information security officer)를 고용하고 있다.

세 번째 이슈는 ‘주요 글로벌 은행들은 자체 보안 시스템 구축과 더불어 보안 기술 투자에도 적극적’이라는 점이다. 글로벌 은행들은 과거 사이버 공격에 노출됐던 경험을 바탕으로 보안 인프라를 구축할 뿐만 아니라 보안 관련 회사와 기술에도 적극 투자하고 있다.

영국의 금융그룹인 HSBC은행은 2012년 멕시코 마약 카르텔의 돈세탁 혐의에 연루된 이후 고객과 회사 간 비정상 금융거래 탐지 솔루션 개발에 막대한 비용을 투자했으며, 2017년 HSBC Ventures를 통해 사이버 보안 회사 Menlo Security에도 4,000만 달러를 투자했다.

JP Morgan은 2014년 7,600만 가구와 700만 중소기업의 계정 해킹 공격에 노출된 이후 사이버 보안 인식 및 사기 방지팀을 통해 다양한 교육 및 전문가 지원을 제공하고 있다. 올해는 사이버보안을 포함한 기술영역에 120억 달러를 투자하겠다고 밝혔다.

미국의 금융기업 골드만삭스는 실제 보안 설계 솔루션 구현을 담당하는 전문가와 엔지니어를 포함한 모니터링팀을 구성해 보안 위협을 분석하며, 2019년 Immersive Labs의 사이버 보안 기술 플랫폼에 800만 달러 투자도 주선했다.

네 번째 이슈는 ‘사이버 공격이 지속해서 진화하는 가운데 은행의 사이버 리스크 대응은 신뢰성과 연결될 수 있어 중요하며, 국내 은행들도 사이버 보안 경쟁력을 강화하는 전략이 필요’하다는 점이다.

국내 은행도 오픈 API, 오픈뱅킹 등 금융산업 개방으로 보안위협에 지속해서 노출되고 있으며, 보안 관련 국내외 금융규제도 강화되는 추세에 있다.

금융보안원 따르면 국내 소매금융 취급 은행 17곳이 2017~2021년 받은 사이버 공격은 109만1,606건으로 매일 598건의 사이버 공격이 발생한 것으로 드러났다. 또한, 국내 금융당국은 전자금융거래법과 전자금융감독규정을 기반으로 사이버 보안에 대한 검사를 실시하고 있으며, 지금결제 기관에 대해서는 망분리 제도도 함께 시행하고 있다.

이번 보고서는 “디지털 금융의 기반에는 보안성이 전제되는 만큼, 국내 은행도 단기적 대응뿐만 아니라 장기적 관점의 사이버 보안 전략 수립이 필요하다”고 강조했다.
[김영명 기자(boan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)