"금융 디지털 전환, 해커들에겐 '디지털 뷔페'"… 韓 금융보안 '경고등'

"단 한 번의 실수도 심각한 결과를 초래할 수 있습니다. 이제 금융기관이 성공하고 장기적인 성장을 지속하기 위해서는, 단순한 기술 채택을 넘어 보안을 전략적이고 통합적인 관점에서 재정립해야 합니다."

글로벌 사이버 보안 기업 카스퍼스키(Kaspersky, 지사장 이효은)가 금융 산업의 급격한 디지털 전환이 '디지털 취약점의 뷔페'가 되고 있다며 강력한 경고 메시지를 던졌다. 오픈 뱅킹 API, 클라우드 마이그레이션, AI 도입 등이 혁신을 가속하는 만큼, 정교한 보안 전략이 뒷받침되지 않으면 심각한 침해 사고로 이어질 수 있다는 지적이다.

카스퍼스키는 10일 금융 산업 분야의 디지털 전환 트렌드와 보안 위협 증가 대응 방안을 발표했다. 카스퍼스키의 'IT Security Economics 2024' 보고서에 따르면, 은행·금융·보험기관은 연간 평균 120만 달러를 사이버 보안에 지출하지만, 이는 대규모 보안 사고 평균 피해액(약 320만 달러)과 비교하면 3분의 1 수준에 불과하다. 불충분한 보안 조치가 고위험 침해의 직접적인 원인이 될 수 있음을 보여준다.

아드리안 히아 카스퍼스키 아시아 태평양 총괄 사장은 “은행, 보험사, 금융 플랫폼에게 디지털 전환은 성장을 위한 필수 요소”라며 “그러나 이러한 진화는 기술 발전 속도에 맞춰 진화하는 사이버 위협으로 복잡한 전장으로 바뀌고 있다”고 말했다.

API·BaaS·클라우드·AI… 혁신이 곧 공격 경로
카스퍼스키는 금융 산업의 디지털 전환을 이끄는 5대 트렌드와, 이로 인해 동반되는 새로운 보안 취약점을 지목했다.

가장 먼저 '오픈 뱅킹 API'는 고객 중심 혁신의 촉매제지만, 모든 엔드포인트가 해커의 침입 경로가 될 수 있다. '서비스형 뱅킹(BaaS)'은 빠른 서비스 배포를 가능하게 하지만, 단 하나의 파트너 시스템 침해가 전체 생태계를 위협하는 '공유된 위험' 구조를 갖는다.

'임베디드 파이낸스'(리테일 앱 내 결제/대출 기능 등)는 기존 보안 경계를 넘어선 새로운 공격 표면을 형성하며, '클라우드 마이그레이션'은 설정 오류나 책임 불명확성으로 인한 데이터 노출 위험을 수반한다. 실제로 은행·금융·보험업계 리더 25% 이상이 클라우드 보안을 가장 큰 우려 사항으로 지목했다.

마지막으로 'AI'는 금융기관 75%가 이미 도입했거나 10%가 준비 중일 정도로 확산됐지만, 모델 조작, 합성 사기, AI 기반 피싱 등 새로운 위협을 초래하고 있다.

금융권 사고 42%는 '랜섬웨어'… "방어 아닌 회복탄력성"
카스퍼스키에 따르면, 2024년 금융 부문 보안 사고의 42%는 랜섬웨어, 24%는 은행 고객을 직접 노린 피싱 공격이었다. 전체 침해 사고의 25% 이상은 내부 정책 위반 등 인적 오류에서 비롯됐다.

이효은 카스퍼스키 한국지사장은 "지난해 은행·금융·보험 기관은 전체 보고된 보안 사고의 18%를 차지하며 모든 산업 중 가장 높은 비중을 기록했다"며 "피해는 고객 서비스 중단부터 수주간 탐지되지 않은 침해까지 다양하며 신뢰와 평판에 심각한 타격을 준다"고 지적했다.

그는 "가장 신뢰받는 도구가 취약점이 될 수 있다. 2024년 세계에서 가장 널리 사용되는 브라우저의 제로데이 취약점이 표적 공격 통로로 이용됐다"며 "생존을 위해서는 적응형·통합형·탄력적인 보안 시스템을 구축해, 혁신의 속도와 동일한 속도로 방어해야 한다"고 말했다.

카스퍼스키는 진정한 '회복탄력성'을 위한 3단계 대응 방안으로 ▲종합적인 준비 및 점검(취약점 선제 해결) ▲첨단 기술 도입(통합 모니터링 플랫폼) ▲지속적 학습과 인텔리전스(위협 인텔리전스 활용 및 직원 교육)를 제시했다.

이 지사장은 “카스퍼스키는 28년간 전 세계 수천 개 금융기관을 보호해 온 전문성을 바탕으로, 가장 엄격한 기준에 부합하는 맞춤형 솔루션을 제공한다”고 덧붙였다.