[디지털데일리 박기록 기자] 어떤 형태의 보안사고도 용납되서는 안된다는 의미의 ‘제로 트러스트’ 전략은 국내 금융권의 디지털금융서비스 전략을 결정하는 핵심 IT이슈다.

국내 주요 은행들의 2023년 보안투자의 흐름은 보다 비대면 금융플랫폼 서비스를 기존 보다 간편하게 이용하면서도 동시에 강력한 보안 기능을 보장하기위한 사용자 중심의 투자가 활발하게 전개되고 있다는 평가다.

특히 과거에 비해 금융권에서 생체인증 기반의 보안 프로세스가 고객 채널과 내부 업무 프로세스 전반에 도입 비중이 높아짐으로써 양적, 질적인 성장세가 눈에 띤다. 단순히 보안의 문제에 국한되는 것이 아닌 업무 프로세스 자동화 혁신 차원에서도 생체인증이 훨씬 더 강력한 효과를 내기때문이다.

KB국민은행의 경우 올해 보안 투자의 목표를 ▲디지털 전환 가속화 등 IT 트랜드 대응을 위한 탄력적 보안 환경 구축 ▲사이버 보안 위협 고도화에 따른 정보보호 대응역량 강화 ▲고객 신뢰 제고를 위한 ‘개인정보보호’ 및 ‘금융 소비자 보호’를 위한 전자금융 인프라 강화로 설정했다.

아울러 국민은행은 고객의 금융사고 피해 예방을 위해 AI기반 사용자 신분확인, 지능형 이미지 탐지 등 신기술 활용 방안을 확대하겠다는 방침이다. 특히 ‘사용자 신원 검증 중심’의 제로트러스트 보안 아키텍처로 전환할 계획임을 강조했다. 이를 통해 사용자에 불편을 가하지 않고 ‘단절없는’(Seamless)형태로 인증이 수행됨으로써 사용자의 업무 유연성을 높이는 보안을 크게 강화하겠다는 전략이다.

NH농협은행은 ‘차세대 계정통합관리시스템’ 구축을 올해 주요 보안사업으로 선정하고 관련 사업을 진행중이다. 내부통제 업무 개선을 위한 시스템 접속 프로세스 개선을 위해 추진되는 이 사업은 올해 3월 착수됐으며 올 연말 구축이 완료될 예정이다.

‘클라우드 보안형상관리시스템’ 구축 사업은 복잡한 클라우드 컴플라이언스(Compliance, 규제대응) 점검을 위해 추진되는 보안사업으로, 약 7개월간의 사업 끝에 올해 5월 구축이 완료됐다.

신한은행은 올해 ‘바이오(얼굴)인증 서비스 확대’사업을 중점 보안 사업으로 진행한다. 신분증없이 고객의 얼굴(안면)인증만으로 금융거래를 할 수 있는 바이오인증 서비스 확대를 중점적으로 추진해 나갈 계획이다.

얼굴 인증을 통해 고객은 보다 편리하고 안전하게 금융 거래서비스를 이용할 수 있으며, 은행 영업점 직원은 ‘본인확인 업무’ 리스크를 낮추는 것 뿐만 아니라 본인확인 소요시간 절감 등 업무 효율성을 크게 강화할 수 있을 것으로 기대하고 있다.

앞서 신한은행은 지난 2021년 얼굴 인증 인프라를 구축한 후, 올해 적용채널 및 가능업무를 지속 확대하고 있다. 기존 스마트 키오스크나 디지털 데스크와 같은 일부 채널에서만 가능하던 인증서비스를 올해 2월 쏠(SOL) 로그인서비스, 5월에는 전 영업점 창구에서의 출금 서비스에 확대 이행했다. 관련하여 올해 7월에는 영업점 창구에서의 환전 업무, 9월 중 ATM 채널에 적용할 수 있도록 추진중이다.

이와함께 신한은행은 사이버 공격에 대응하기 위한 ‘신 침해위협 통합관리시스템’구축에도 나서고 있다. AI 기반으로 이상 징후를 탐지하는 시스템 체계를 고도화함으로써 정보유출 및 오남용, 악성코드 이상행위 등의 보안위협을 탐지 및 차단하겠다는 전략이다.

우리은행은 이상거래탐지시스템(FDS) 및 클라우드 보안에 역점을 두고 있다. 이는 국내 은행권의 IT보안 전략과 대체로 흐름이 유사하다. 우리은행은 올해 핵심 IT보안 추진 사업으로 ▲FDS 고도화 ▲퍼블릭 클라우드 보안 표준 수립 등을 꼽았다.

‘FDS 고도화’와 관련, 우리은행은 ▲오픈뱅킹 이용고객 보호 및 사고 예방 정책 수립 ▲오픈뱅킹 이용 및 개설은행간 휴대폰정보 공유 및 이상거래탐지 정교화 ▲핀테크 기업 오픈뱅킹 이용고객에 대해 이상거래징후 발생 시 SMS 통지 ▲타 시스템 연동 및 수집 데이터 확대로 고위험고객 보호 강화 ▲전기통신모니터링시스템(소비자지원부), FAS(금융결제원) 등 연계 ▲고객별 위험등급 분류 및 고위험 고객에 대한 추가보호조치 실시 등을 세부 실행과제로 진행중이다.

‘퍼블릭 클라우드 보안 표준 수립’은 외부 IT전문기업의 클라우드 인프라를 활용 비중이 높아지면서 강화하고 있는 보안 전략이다. 우리은행은 ‘클라우드 보안 가이드 정립’을 통해, 금융분야 클라우드 규제 개선을 위한 감독규정 주요 개정 내용 반영하고, CSP(클라우드서비스사업)의 안전성 평가 제도, 중요도 평가, 금감원 보고 등을 반영한다는 방침이다.

이와함께 우리은행은 ‘클라우드 컴퓨팅 서비스 이용 정보보안 아키텍처 수립’을 통해 전산센터와 클라우드 간의 통합 보안환경을 구현한다. 계정관리시스템 및 접근통제, 24/365 보안 관제 등 보안 존을 구성하는 것이 주요 내용이다.

한편 인터넷전문은행인 토스뱅크는 새로운 유형의 지능화된 침해위협에 대해서도 신속히 탐지하고 대응할 수 있는 체계를 강화하고 있다. 사이버 공격에 대해 분석한 증거 기반의 공격 방어 체계를 구축 중에 있다.

위협 시나리오 기반의 방어 체계 및 모니터링을 강화하고 네트워크 분석의 가시성을 확보하기 위해 오픈소스 네트워크 보안 모니터링플랫폼인 ‘Zeek’ 구축 및 CTI(사이버보안위협)정보를 활용한 ‘위협 모델링’(Threat Modeling) 체계를 구축하고 있다. 또한 자체 보안성 검토를 강화하기 위해 자동화된 모의해킹 및 취약점 진단 도구를 개발하고 있으며, 증가되는 서비스에 대한 진단 대응력 강화를 위해 노력하고 있다는 설명이다.

그림 2023.6.12. 우리금융그룹 서울 상암동 통합IT센터 소방훈련. 금융감독원과 소방청의 ‘금융권 전산센터 화재 예방 및 대비를 위한 업무협약’ 후 처음으로 진행됐다. 작년 10월, 분당 SK C&C 데이터센터 화재이후 국내 금융권의 데이터센터 안정성 확보가 다시 강조되고 있다. (왼쪽부터) 고정현 우리에프아이에스 대표이사, 김병칠 금융감독원 부원장보, 임종룡 우리금융그룹 회장, 이복현 금융감독원장, 남화영 소방청장 <사진>우리은행

◆APT, 대응이슈 재부각

한펴 지난 6월2일, 우리 정부는 북한 정부를 배후로 둔 해커조직 ‘김수키(Kimsuky)’에 대한 독자 제재를 결정했다. 김수키를 제재 대상으로 지정한 것은 전 세계에서 최초다. 제재 결정으로 인한 실효성보다는 사이버위협에 방관치 않겠다는 정부 의지의 표명으로 풀이된다.

특히 이날 한미 양국은 북한 해커조직 김수키에 대한 한미 정부 합동 보안 권고문을 발표했다. 한국을 비롯해 전 세계를 대상으로 정보·기술 탈취를 이어온 데 대한 조치다. 한국 정부는 권고문 발표와 함께 세계 최초로 김수키를 대북 독자 제재 대상으로 지정했다.

김수키는 2014년 한국수력원자력을 공격한 배후로 알려진 해킹그룹이다. 국가정보원(이하 국정원)이나 한국인터넷진흥원(KISA)과 같은 기관에 더해 SK쉴더스, 안랩, 이글루코퍼레이션을 비롯해 마이크로소프트(MS), 맨디언트, 카스퍼스키 등 국내외 사이버보안 기업들 다수가 주목하고 있는 조직이다.

해커조직은 자신의 정체를 숨기기 위해 여러 이름을 혼용해 사용하곤 한다. 국정원은 김수키가 ‘탈륨’, ‘벨벳’, ‘천리마’ 등의 이름으로도 활동 중인 북한 해커조직이라고 알린 바 있다. 이밖에 베이비샤크, 애플시드, 플라워파워, 골드드래곤 등도 김수키의 하부 조직으로 추정된다.

김수키의 주된 공격 방법은 특정인이나 조직을 대상으로 정체를 숨겨 접근하는 스피어피싱 수법을 주로 사용하는 것으로 알려졌다. 이메일을 통해 악성코드 감염이나 피싱사이트 접속을 유도하는 방식이다. 북한 및 외교·안보 전문가들이 주요 대상인데, 한국수력원자력이나 원자력연구원과 같은 곳을 공격해 기술을 훔쳐내기도 한다.

◆금융권 내부, 거액 직원 횡령 사고도 빈발… ‘내부통제시스템’ 강화

금융회사 내부의 업무 프로세스상에 발생하는 횡령 및 배임 등의 문제는 보안의 문제일 수 있고, 전통적인 경영관리시스템 체계상의 허점일 수 있다. 금융회사의 업무가 확장되면서 이러한 문제는 더욱 중요하게 인식되고 있고, 이에 대응하기위한 내부통제시스템 강화 목소리도 커지고 있다.

앞서 지난해 7월, 금융감독원은 우리은행에서 발생한 700억원 규모의 횡령사고에 대해 2개월여에 걸쳐 진행한 현장검사 결과를 최종 발표했다. 금감원 발표에 따르면, 우리은행 본점 기업개선부 직원이 2012년6월~2020년6월까지 8회에 걸쳐 총 697억3000만원을 횡령했다. 우리은행이 채권단을 대표해 관리중이던 ㈜대우일렉트로닉스 매각 계약금 614.5억원을 수년간 3회에 걸쳐 횡령했다는 내용이다.

금감원은 내부 직원의 횡령 사실외에 우리은행의 ‘내부통제’ 부실도 지적했다. 금감원은 “사고자 개인의 일탈이 주된 원인이지만, 대형 시중 은행의 본부부서에서 8년이라는 오랜 기간에 걸쳐 700억원에 가까운 거액의 횡령이 발생한 데에는 사고예방을 위한 내부통제 기능이 제대로 작동하지 않은 측면이 있다”고 적시했다.

◆AI기반 FDS 가동… 피싱범죄 효과적 대응

앞서 지난해 12월, BNK부산은행은 AI기반의 ‘이상거래 탐지시스템(FDS)’을 가동해 19억원 상당의 고객 피해를 예방한 사례를 공개한 바 있다. 부산은행에 따르면 사기범이 부산은행 60대 고객에게 자녀 사칭 문자를 보낸 후 스마트폰을 원격 조정해 불법 이체를 시도했다.

부산은행은 FDS시스템으로 이를 탐지한 후 ‘보이스피싱 피해 예방팀’을 통해 긴급히 고객에게 통화를 시도했다. 사기범의 통화 차단으로 연결에 실패했으나, 예방팀은 보이스피싱 사기를 확신하고 계좌지급정지, 인터넷뱅킹 차단 등 긴급 조치를 취해 19억원 상당의 고객 피해를 예방했다.

부산은행은 지난 2014년 ‘FDS’를 도입하고 2019년 6월에는 ‘보이스피싱 피해 방지 시스템’을 구축했으며, 새로운 사기기법 예방을 위해 매년 시스템 고도화 작업을 진행 중이다. 보이스피싱 사기 위험 신호가 감지되면 ‘예방팀’을 중심으로 즉시 대응하고 있다. 2020~2022년, 3년 간 1330여건 약 165억원의 피해금액을 예방하고 있다는 설명이다.

지난해 말, NH농협은행은 금융소비자의 권익 보호를 위해 ‘금융소비자보호 내부통제시스템’을 오픈했다. ‘금융소비자보호 내부통제시스템’은 금융소비자보호법(이하‘금소법’) 준수여부를 점검하는 전산 모니터링 프로세스로, 금융 소비자와 접점인 영업점에서 발생하는 거래데이터를 분석하여 이상 징후 발생 추이를 점검한다.

특히 여기에는 은행권 최초로 ‘위험지표를 적용한 수시 모니터링 프로세스’가 적용됐다. 위험지표에는 ▲꺾기 의심거래 ▲고령투자자의 고위험등급 투자상품 가입비율 ▲해피콜 결과‘미흡’으로 영업점 이첩된 건 등 금융소비자들의 피해가 우려되는 항목들이 선정됐다.

* 본 기사는 디지털데일리가 7월 발간한 <2023년 디지털금융 혁신과 도전>에 게재된 내용을 요약한 것으로, 실제 책의 편집 내용과 다를 수 있습니다. 해당 도서는 디지털데일리 홈페이지를 통해서만 온라인 한정 판매되며 일반 서점에서는 판매하지 않습니다.