이 게시글은 2017년 사이버 보안 분야에서 “확실한 예측”(맞아떨어질 것이 가능성이 높은 예측)과 “대담한 예측”(실현될 가능성이 덜한 예측)을 살펴보는 블로그 연재물의 일부입니다.
올해에는 금융 서비스 업계에서 다수의 SWIFT(세계은행간금융데이터통신협회) 회원 은행과 멀웨어에 감염된 아시아 지역 ATM의 현금 절취 사건을 비롯해 주목할 만한 사이버 보안 사건이 발생했습니다. 2017년을 앞둔 이 시점에 저는 내년 금융 서비스 업계의 사이버 보안 동향과 관련해 다음과 같이 예측합니다.
확실한 예측
- 공용 클라우드 채택 증가 – 금융 서비스 산업은 공용 클라우드 컴퓨팅의 마지막 개척지입니다. 수년 동안 정보 보안 문제 때문에 이러한 변화는 절대 일어나지 않으리라는 말들이 많았지만 금융 서비스 업계는 서서히 공용 클라우드 사용을 준비해왔습니다. Amazon Web Services(AWS) 및 Microsoft Azure는 이미 수많은 금융 기관들이 고객이 되었다고 홍보하고 있습니다. 2016년에는 많은 금융 기관들이 적절한 사이버 보안 사례에 대한 비판적인 안목을 가지고, 테스트와 평가를 비롯해 개념 입증 작업을 수행해왔습니다. 이 기관들 중 상당수는 2017년이 되면 결국 컴퓨팅 워크로드에 공용 클라우드를 채택할 것입니다. 처음에는 덜 민감한 데이터를 처리하는 애플리케이션이 포함될 것입니다. 금융 서비스 업계 내부에 아직 소수의 저항이 있긴 하지만, 그 숫자는 분명 줄어들고 있습니다. 공용 클라우드 컴퓨팅이 제공하는 민첩성, 확장성 및 비용 이점은, 특히 보안을 단순히 볼트온으로 추가하지 않고 솔루션 자체에 설계해 넣을 수 있다는 점에서 뿌리치기 힘든 매력입니다.
- 다중 인증(MFA)의 범용화 – 몇몇 SWIFT 회원 은행에서 최근에 발생한 사기 거래를 통해 보듯이 합법적인 로그인 및 암호 자격 증명은 어떻게든 도용되어 송금을 시도하는 데 사용되었습니다. 이 기본 인증 기법은 침해당하기 쉽기 때문에 계정 탈취(ATO) 공격을 받을 수 있습니다. 금융 기관들은 결국 강력한 MFA 기법에 주목하게 될 것이고, 루트, 관리자와 같은 특권 계정을 포함해 최소한 내부의 중요한 애플리케이션과 민감한 데이터용으로 이 기법을 채택하게 될 것입니다. 모든 MFA 기법이 동일한 방식으로 생성되는 것은 아니지만, 어떤 형식의 MFA일지라도 사이버 공격자가 쉽게 해제할 수 없는 장애물을 만들어냅니다. MFA 기법은 최소한 다음 두 가지 증거를 제시하는 방식에 기반을 두고 있습니다.
- 사용자가 아는 것(예: 로그인/암호, PIN)
- 사용자가 소유한 것(예: 1회용 암호 토큰, 휴대 전화)
- 사용자 자신(예: 지문, 망막 스캔)
대담한 예측
- 제로 트러스트(Zero Trust) 네트워크의 폭넓은 구현 – 2009년 Forrester 리서치가 처음 도입한 제로 트러스트(ZT) 모델은 2016년말 현재에도 여전히 널리 보급되지 않은 실정입니다. 개념상으로는, 네트워크의 여러 부분 간에 발생하는 알려진 합법적 플로우로 트래픽만으로 제한하는 방식이 지닌 정보 보안 가치를 반박하기란 어렵습니다. 어떤 악성 활동도 가장 가까운 세그멘트 게이트웨이에 의해 저지될 것이기 때문입니다. 그러나 ZT 모델이 지닌 난점은 다음과 같습니다. 즉 합법적인 트래픽 패턴을 완전히 식별하기 어렵고(초기뿐 아니라 지속적으로), 여러 분야(IT, 보안, 비즈니스)의 협력이 필요하며, 특히 브라운필드 환경에서 비즈니스 중단 가능성이 있다는 것입니다. 그럼에도 금융 기관들은 ZT 도입에 활기를 띠고 있으며, 2017년에는 큰 진전이 있을 것입니다. 이에 따라, 각 환경의 더 민감한 부분을 오가는 트래픽을 제한하는 부분적인 네트워크 세그멘트화가 시작될 것입니다. 이러한 노력으로 인해 침해 발생 후 노출이 제한되고 내부 확산이 통제될 것입니다. 결국 이것은 금융 기관이 자체 네트워크 내에서 ZT 경로를 얼마나 더 추진할 수 있는가 하는 문제로 귀결됩니다.
- 블록체인이 또 다른 공격 매개체를 개방 – 금융 부문 내에서 블록체인 기술과 관련해 끊임없이 잡음이 일고 있습니다. 블록체인은 확실히 비트코인보다는 규모가 크며, 지불 처리, 무역 결제, 가상 지갑 등에 고려되고 있는 분산 원장 기술(Distributed Ledger Technology)입니다. 스타트업뿐 아니라 기존 금융 기관들은 이 기술이 조직에 미칠 잠재적 영향에 대한 연구 작업을 활발히 진행하고 있습니다. 이 기술의 이점으로는 더 큰 편의성뿐 아니라 중간 단계 삭제로 인해 국가 간 지불, 증권 거래, 결제와 관련된 비용이 줄어든다는 점을 들 수 있습니다. 그 밖의 이점으로는 특별 감사 책임자, 감사 및 규제 담당자에 대한 더 큰 투명성 및 감사 추적이 있습니다. 금융 분야에서 이 기술을 조기 채택한 금융 기관들은 최선의 의도를 품고 있다 하더라도 내재적인 암호 기술 및 불역성 메커니즘을 거스르는 또 다른 공격 매개체를 생성하게 될 것입니다. 2017년에는 금융 거래의 보안 및 기밀성을 침해하려고 애쓰는 악성 공격자들이 블록체인 기술의 초기 구현이 지닌 취약성을 찾아내 이를 악용할 것입니다. 이 점은 자연스럽게 그 다음 예측을 가능케 합니다.
- 경쟁 회사 간 협력이 가져올 더 바람직한 결과– FinTech 스타트업은 계속해서 금융 기관들에게 고객의 지갑을 공유할 것을 요청하고 있습니다. FinTech는 금융 부문 및 투자 인구 부문에 비용 절감을 가져다 주며 혁신적 접근 방식을 도입하도록 하고 있습니다. 그러나 브랜드 인지도, 대규모 고객 기반에 대한 접근, 규제 관련 문제에 대한 경험 등이 부족할 때가 종종 있습니다. 반면, 기존 금융 기관들은 이러한 특성은 확실히 갖추고 있지만 민첩성과 혁신 능력이 떨어질 때가 있습니다. 기존 금융 기관들은 클라우드 컴퓨팅을 포용하여 일부 장애물을 제거하려 애쓰고 있고, 일부는 자체(자율) FinTech 유닛을 이미 시작하기도 했습니다. 또 어떤 기관들은 FinTech 회사들과 양측 하위 부문의 핵심 역량을 결합하는 수단으로 상호 협력 작업을 시작했습니다. 이러한 접근 방식은 2017년에 확장성, 엔터프라이즈 아키텍처, 사이버 보안 등의 관점에서 업계 표준이 될 만한 혁신적 솔루션을 구축할 수 있는 최선의 방법이 될 가능성이 매우 높습니다. 결국 이 방식은 완전히 융합된 안전성, 건전성 및 규제 준수와 함께 저가의 금융 상품/서비스와 향상된 고객 경험을 제공하게 될 것입니다.
금융 서비스 산업 관련 사이버 보안의 미래를 어떻게 예측하십니까? 댓글을 통해 여러분의 생각을 공유하고 EMEA에 대한 예측을 공유할 다음 게시글도 기대해 주시기 바랍니다.
