정태준 펜타시큐리티 기획실장 “금융권, 제로트러스트 기반 보안 강화 필요”
정태준 펜타시큐리티 기획실장 인터뷰
“올해 금융권은 기술 외적 취약점과 고도화된 랜섬웨어 등 복합적 위협에 직면해있다. 이에 대응하기 위해 제로트러스트 원칙을 기반으로 보안 인프라 전반에 대한 관리 수준 강화가 필요하다” 금융권 제로트러스트 보안
정태준 펜타시큐리티 기획실장이 올해 사이버 위협의 고도화 환경 속 금융권의 기술 외적 취약점을 겨냥한 공격 시도가 이어질 것을 전망하며 제로트러스트를 기반으로 보안 인프라 전반에 대한 관리 수준을 강화해야 한다고 강조했다.
현재 금융권 보안 환경은 개별 시스템 침투를 넘어 공급망과 디지털 인프라 전반의 취약점을 노리는 복합적 위협에 직면해 있다. 특히 고도화된 랜섬웨어 공격은 표적을 확대하며 더욱 큰 위협으로 다가오고 있다. 공급망을 적극 활용해 대규모 민감 데이터를 탈취하고 유출 협박하는 등의 행위가 확산되고 있으며, 디지털 금융의 핵심 요소인 API와 클라우드 환경을 노린 공격도 부상하고 있다.
이에 그는 “기존의 패턴 기반 탐지 체계만으로는 위협을 효과적으로 식별하기 어려워지고 있다”며 “국내 금융권이 API 오남용, 클라우드 취약점, 계정 탈튀 시도 등 복합적 위협에 지속 노출되어 있는 만큼 경계 기반 보안만으로는 충분하지 않을 것”이라고 전했다.
올해 금융권을 둘러싼 위협은 단기 완화되기보다 더욱 정교하고 구조적인 형태로 지속될 가능성이 높다. 최근 금융권을 겨냥한 공격 변화 추이를 살펴보면 금융사의 기술적 방어 체계를 정면으로 돌파하는 것보다 법적 규제 환경과 협력사 관계, 운영상의 관리 사각지대, 업무 프로세스의 허점 등 ‘기술 외적 취약점’을 주요 공격 표면으로 삼고 있다는 설명이다.
그는 “보안 기술은 지속적으로 고도화되고 있지만 오래된 시스템의 패치 누락, 제한적으로 운영되는 서버에 대한 통제 부재, 분산된 클라우드 환경에서의 설정 오류 등 관리 측면의 허점이 침해의 출발점이 되고 있다”며 “공격자들은 이러한 사각지대를 활용해 비교적 낮은 비용으로 내부에 침투한 뒤, 데이터 탈취와 유출 협박을 통해 재무적 손실뿐 아니라 평판 리스크까지 동시에 확대하는 전략을 구사하고 있다. 규제 리스크와 신뢰도, 업무 연속성까지 동시에 압박하는 구조적 위협으로 진화하고 있는 것”이라고 말했다.
이어 “이러한 위협에 대응하기 위해 금융권 보안 전략은 기존 경계 기반·기술 중심의 대응을 넘어 데이터 보호와 접근 통제, 공급망 관리까지 포괄하는 보다 입체적이고 통합적인 관점에서 재정립될 필요가 있다”고 강조했다.
특히 그는 AI기술의 발전과 RaaS(Ransomware as a Service) 확산에 따른 비전문 공격자의 랜섬웨어 생성 및 유포 환경 조성, 클라우드 이용 확대에 따른 복잡성 증가와 접근 권한 관리 및 보안 통제의 어려움 등을 염려했다.
아울러 망분리 규제의 합리화와 AI 등 신기술 활용 수요 확대로 기존 보안 모델로는 내부 확산형 공격이나 권한 탈취 이후의 피해를 효과적으로 차단하기 어려울 것으로 예상했다. 이에 금융권 내 보안 인프라 전반에서의 관리 수준을 강화해야 한다고 피력했다.
그는 “제로트러스트 원칙을 기반으로 사용자·단말·애플리케이션·API 전반에 대한 지속적인 검증과 최소 권한 통제를 강화하고, 데이터 유출 및 악용을 근본적으로 차단할 수 있도록 모든 시스템 계층에 암호화 솔루션을 적용해야 한다”며 “물리적·논리적으로 키를 분리해 안전하게 관리할 수 있는 중앙 집중형 키 관리 솔루션과 기업 인프라 환경에 맞춰 암호화 제품부터 서버 운영 현황까지 통합적으로 관리할 수 있는 관리 솔루션을 도입해야 한다”고 전했다.
이어 “펜타시큐리티 디아모(D.AMO)는 금융권 보안 환경 변화에 대응하기 위해 설계된 국내 암호 플랫폼으로 DB·파일·로그·이미지 등 정·비정형 데이터를 포괄적으로 보호하고, 디아모 컨트롤 센터를 통해 대규모 서버 환경에서도 효율적인 운영과 통합 관리를 지원한다. 국내 금융 규제에서 요구하는 암호화·접근통제 요건도 충족하며, 다양한 환경에서도 일관된 데이터 보호 정책을 유지할 수 있다”고 덧붙였다.
금융권 제로트러스트 보안
[기사 원문 보기: 테크월드]