지난 3월 20일 APT 공격으로 대규모 은행들은 시스템 마비와 웹사이트 접속 장애, ATM 중단 등 큰 피해를 입었다. 전산망 마비 대란을 기점으로 금융 업계에서는 보안을 강화하려는 움직임이 적극적으로 일어나고 있다.

금융 업계에 보안 사고가 끊이지 않는 이유는 바로 ‘데이터’다. 은행이나 보험사, 증권사는 업무 특성상 개인 정보를 다량으로 수집·보유하고 있는데, 이러한 데이터를 확보해 금전적인 이득을 취하려는 해커가 급증하고 있기 때문이다.

오늘날 데이터는 새로운 화폐 단위로 작용하고 있지만 이를 안전하게 보호하는 일은 결코 쉽지 않다.

특히 기존의 경계선 보안이나 단순한 암호화만으로는 공격으로부터 데이터를 보호할 수 없다.

사실 경계선 보안 솔루션은 데이터를 보호하는 일과 거의 무관하다. 공격자들은 이미 기업 경계 안으로 침투했기 때문이다.

디스크 암호화 등 단순한 암호화 기술은 정책 제어 부분을 갖추고 있지 않아 권한을 가진 사용자를 악용하는 새로운 공격 트렌드에 대응하는데 역부족이다.

또한 많은 사람들이 규제 준수가 곧 안전을 의미한다고 오해하고 있다. 이와 같은 이른바 ‘체크 박스’ 보안은 담당자에게는 심리적 안정을 줄 수 있지만 이는 플라시보 효과에 지나지 않는다. 오늘날 정교한 사이버 공격에 대응하는 진정한 보호 방편이 될 수 없는 것이다.

한 예로 개인정보보호법 시행 이후 암호화 기술을 도입한 대부분의 금융 기업들은 규제가 요구하는 대로 데이터베이스에 저장된 고객의 이름과 주민등록번호 등 텍스트로 이뤄진 정형 데이터에 한정적으로 암호화 기술을 적용했다.

하지만 금융권이 보유한 민감 정보의 종류와 저장 위치, 형태는 매우 다양하다.

고객 상담 통화 내용을 기록한 음성 파일, 온라인 화상 상담 서비스 내용을 저장한 영상 데이터, 서면 작성된 보험 상품 계약서 스캔 이미지 파일 등 현행 법에서 다루지 않지만 유출 시 고객과 기업에 큰 타격을 입힐 수 있는 데이터가 무수히 존재한다.

지금 이 순간에도 진화를 거듭하며 세력을 확장하고 있는 APT를 포함해 날로 정교해지는 공격의 위험에 항상 노출돼 있는 데이터를 더 이상 취약한 상태로 방치해서는 안 된다.

사이버 공격 위험을 줄이고 수준 높은 보안 인텔리전스를 확보하는 가장 좋은 방법은 고급 암호화 및 키 관리 기술과 강력한 데이터 중심 정책, 정밀한 제어 세트를 적소에 배치하는 것이다.

정책을 기반으로 한 데이터 중심 보안 접근 방식을 통해 민감 데이터를 보호하는 다중 레이어를 갖춘다면 엔터프라이즈와 클라우드 서비스 제공 업체, 정부 기관은 탁월한 효과를 얻을 수 있다.

먼저 시스템 관리자 권한 등을 이용한 접근을 제어하면 권한이 이미 부여된 사용자 계정을 악용하는 것을 막을 수 있다.

해커들은 기업 웹사이트나 컨퍼런스 참여 등을 통해 데이터 접근 권한을 가진 임직원의 계정을 탈취하고 정상적인 경로로 데이터에 접근한다.

이 때 루트 레벨에서 데이터에 대한 접근을 제어하면 이러한 위험을 줄일 수 있다.

또한 공격자가 민감 데이터를 탈취하더라도 사용할 수 없는 형태로 만들어 버리는 고급 암호화 기술을 적용하면 데이터가 이미 유출됐더라도 피해를 막을 수 있다.

이와 함께 키 관리 체계를 구축, 암호화 데이터와 암호 키를 분리해 보관 및 운영함으로써 암호 키의 외부 유출을 원천적으로 방지할 수 있다.

빅데이터 분석 툴 수준의 로그 분석 기능과 중앙 집중적인 관리자 화면을 제공하는 보안 인텔리전스를 덧붙여 구현하면 비정상 활동 패턴과 고위험 활동을 지속적으로 파악해 모든 내부 및 외부의 공격을 차단할 수 있다.

금융 보안의 핵심은 ‘유출 시 문제가 될 수 있는 데이터’를 얼마나 잘 지켜내느냐에 달렸다.

지난 3월 겪었던 참사와 최근 6월 25일 정부 기관에서 겪은 공격은 가까운 미래에 또 다시 더 큰 규모와 복잡한 형태로 발생할 것으로 예상되며 그 누구도 이러한 위협으로부터 안전하리라는 보장이 없다.

기업의 자산과 고객의 신뢰, 높은 브랜드 이미지를 유지하고자 하는 모든 금융 기업들은 하루 빨리 데이터 중심 보안 계획을 세우고 실천에 옮겨야 한다.