[디지털데일리 이종현기자] “금융 환경 전반을 노리는 사이버위협은 끝없이 진화하고 있다. 이와 같은 위협에 대응하기 위해서는 제로 트러스트(Zero Trust) 관점으로 대응 전략과 체계를 재점검하고 강화해야 한다.”(금융보안원 이문규 상무)

8일 금융보안원 이문규 상무는 <디지털데일리>가 개최한 제18회 금융IT 이노베이션 콘퍼런스에서 금융권을 위협하는 10대 사이버보안 이슈와 이에 대응하기 위한 제언을 소개하며 이같이 밝혔다.

금융보안원은 2015년 금융보안연구원, 금융결제원의 금융정보공유·분석센터(ISAC), 코스콤 증권 ISAC 부문이 통합돼 출범했다. 2013년 주요 금융기관 및 언론을 대상으로 한 대규모 사이버공격과 2014년 카드3사 개인정보 유출 등 큼직한 사고 이후 통합 대응의 필요성이 커진 것이 출범 배경이다.

금융권을 대상으로 하는 침해사고에 대응하는 기구로서 금융보안원은 금융사의 보안에 직접 지원하는 한편 당국의 금융보안 정책 설립·추진에도 역할을 한다. 국내·외 주요 정책 연구 및 논문, 시장조사기관의 발표와 자체 분석한 사이버위협 동향 등을 바탕으로 내년도 주의해야 할 10개 이슈를 선정한 것도 이런 활동의 일환이다.

이문규 상무는 10개 이슈를 크게 ▲보안 위협 및 대응 ▲디지털 신기술 및 리스크 ▲컴플라이언스 및 전략 등 3개 분야로 구분해 소개했다.

보안 위협 및 대응 분야 4개 이슈는 지난 연말 전 세계 정보기술(IT) 산업계를 긴장케 했던 log4j 취약점과 같은 제로데이 취약점과 고도화되는 랜섬웨어·피싱 애플리케이션(앱), 오픈소스 소프트웨어(SW) 활용 증대에 따른 공급망 보안, 주요 공격 타깃이 될 디지털 자산에 대한 규제 등이다.

이 상무는 “제로데이 취약점은 그 하나가 전체 시스템의 약한 고리가 돼 심각한 위협으로 확산될 수 있다. 오픈소스 SW 공급망을 노린 공격도 마찬가지다. 또 올해 금융기업 및 소비자를 괴롭혔던 랜섬웨어나 피싱 앱은 점점 정교화되고 있는 상황”이라며 내년도 금융보안 상황이 녹록치 않음을 시사했다.

변화하는 금융 규제도 금융보안에서 빼놓을 수 없는 주요 이슈다. 금융당국은 내년 1월 1일부터 망분리 규제 완화를 골자로 하는 전자금융감독규정 개정안을 의결했다. 금융권에서도 디지털 혁신의 핵심 인프라로 자리한 클라우드의 이용이 크게 확산될 것으로 점쳐지는 가운데, 클라우드 보안의 중요성도 커졌다.

이밖에 인공지능(AI) 활용과 공정성·보안성 확보를 통한 이용자 보호, 디지털 신원증명 활용에 따른 기대와 우려, 마이플랫폼 시대의 데이터 확보와 보호, 다변화되는 금융권 채널에 대한 리스크 관리, 금융보안 규제 합리화 등을 내년도 주목해야 할 주요 이슈로 꼽았다.

이 상무는 “점차 지능화하는 위협과 달라지는 환경에 대응하기 위해서는 그 무엇도 신뢰하지 않는다는 제로 트러스트 관점의 보안이 필요하다. 사용자나 기기를 철저히 검증하고, 검증한 이후에도 최소한의 권한만 주는 등, 보안 패러다임의 전환이 필요하다”고 강조했다.

이어서 “최고경영진 중심의 사이버보안 거버넌스 구축과 사이버 복원력 확보도 필요하다. 현실적으로 사이버 위협을 100% 막는 것은 불가능하다. 그만큼 예방에 각고의 노력을 기울여야 한다”며 “금융 혁신이라는 바퀴와 보안이라는 바퀴가 같은 크기로, 균형을 맞췄을 때 목표점에 더 빨리 도달할 수 있을 것”이라고 피력했다.