뱅킹 관련 사이버 보안의 중요성 증대

사이버 공격의 위협이 증가함에 따라 뱅킹 부문의 사이버 보안은 금융 기관의 과제로 대두되고 있으며, 이로 인한 비용 부담이 더욱 가중되고 있습니다. 이는 공격자에게 더 많은 취약 지점을 노출하는 복잡한 시스템, 공격이 성공했을 경우에 드는 많은 비용, 전반적인 공격 횟수의 급증 등 다양한 요인에 기인합니다.

이러한 요인들이 복합적으로 작용하여 사이버 공격에 대비하기 위한 금융 기관의 보험료가 인상되고, 위협이 발전하는 속도에 발맞춰 보호 조치를 강화하지 않는 금융 기관의 취약점이 커지고 있습니다.

본 문서에서는 뱅킹 산업의 사이버 보안 위협을 3가지 범주로 나눠서 살펴보고 위협의 시급성을 높이는 변화, 그리고 각 위협 유형을 방지하는 데 필요한 기능에 대해 알아봅니다.

소프트웨어 공급망 공격은 소프트웨어 개발자의 시스템 또는 제품을 손상시켜 신뢰할 수 있는 소프트웨어 파이프라인, 업데이트 또는 종속성에 악성 코드를 삽입합니다. 이러한 방식은 기존의 보안을 우회함으로써 공식 업데이트에 대한 사용자의 신뢰를 악용하여 맬웨어를 배포하거나 무단 액세스 권한을 확보하는 것으로, 애플리케이션 개발에 위협이 됩니다.

현재 금융 기관에 대한 소프트웨어 공급망 위협이 시급한 문제인 이유는 무엇일까요?

재정적 손실 및 평판 손상을 유발할 수 있는 소프트웨어 공급망 공격 발생 빈도가 더욱 잦아지고 있습니다.

• 지난 3년 동안 연간 평균 소프트웨어 공급망 공격 횟수는 742% 늘었습니다.
• 조직의 45%가 2025년까지 공급망 공격을 경험할 것으로 예상됩니다.
• 소프트웨어 공급망 보안 침해는 다른 유형의 보안 침해에 비해 8.3% 더 많은 비용이 들고, 식별 및 방지하는 데 8.9% 더 많은 시간이 소요됩니다.
• 랜섬웨어 공격으로 인해 지불한 비용은 전년 대비 71% 증가했습니다.

소프트웨어 공급망 위협을 방지하려면 무엇이 필요할까요?

어떠한 시스템도 각종 보안 위협으로부터 100% 안전하지는 않지만, 다음 보안 사례는 조직이 소프트웨어 공급망 공격을 사전 예방적으로 방지하는 데 도움이 됩니다. 조직은 다음 기능을 제공하는 툴이 필요합니다.

• 애플리케이션과 코드 베이스를 분석하여 취약점과 리스크를 완화하기 위한 수정 사항을 제공하기 전에 중요 문제를 사전에 식별
• 빌드 파이프라인을 사용자 정의하고 자동화하면서 이미지를 스캔하여 취약점을 찾고, 의심스러운 빌드가 파이프라인 실행에 악영향을 미치는 것을 차단하는 상태로 배포
• 고도로 정밀한 위협 분석을 제공하여 보안 문제를 정확히 찾아내고 우선순위를 지정하여 인시던트 대응 속도를 높이고 소프트웨어 제공 시 보안 상태 강화

전 세계 소프트웨어 공급망 보안 트렌드 알아보기

클라우드 서비스는 많은 금융 기관에서 시스템 현대화를 위한 핵심적인 툴로 사용되고 있습니다. 하지만 이러한 클라우드 서비스 도입은 수많은 새로운 과제와 위협을 동반합니다. '클라우드'란 소프트웨어를 통해 사용자에게 제공되는 호스팅된 리소스를 말합니다. 이러한 리소스는 처리 중인 모든 데이터와 함께 역동성, 확장성, 이식성을 제공합니다.

클라우드 보안 위협이 뱅킹 산업의 더욱 시급한 과제로 떠오른 이유는 무엇일까요?

클라우드 보안 위협은 과거에 비해 더욱 시급한 문제가 되고 있으며, 그 이유는 금융 부문의 전체적인 기술 자산이 클라우드에 보관되어 있기 때문입니다. 비용 절감과 민첩성 향상을 추구하는 조직이 늘어나면서 이러한 사례가 증가하고 있습니다. 이러한 새로운 공격 벡터는 조직이 리스크 관리에 실패할 경우 평판 훼손과 더불어 규제 당국으로부터 제재를 받을 잠재적 위험을 초래합니다.

클라우드 보안 위협을 방지하려면 무엇이 필요할까요?

클라우드 보안에 대한 책임은 금융 기관과 클라우드 서비스 제공업체 모두에 있지만, 양측 모두 다음과 같은 기능을 인지하고 있어야 합니다.

• 위협 감지, 인텔리전스 및 대응
• 구성 및 정책 관리
• 키 관리 및 암호화
• 감시 및 관측성
• 소프트웨어 공급망 보안

데이터 보안 위협은 권한 있는 데이터가 무단으로 유출될 위험을 야기하는 공격입니다. 여기에는 유휴 데이터 액세스(예: 권한 없는 사용자가 액세스해서는 안 되는 위치에 로그인하는 경우)와 전송 중인 데이터 캡처(예: 권한 없는 사용자가 두 개의 승인된 소스 간에 전송 중인 데이터를 캡처하는 경우)에 대한 위협이 모두 포함됩니다.

데이터 보안 위협이 뱅킹 산업의 더욱 시급한 대응 과제로 떠오른 이유는 무엇일까요?

데이터 보안 위협은 여전히 사용자와 사용자의 실수를 주요 대상으로 하지만, 공격 벡터는 더욱 정교하고 다양해진 동시에 더 많은 비용을 초래하도록 진화했습니다. 모바일 플랫폼과 원격 근무로 인해 어디서나 빠른 데이터 액세스의 필요성이 커지면서 온디맨드 데이터에 대한 필요성이 증가하는 상황도 여기에 일조하고 있습니다. 더 구체적으로 살펴보면 데이터에 대한 위협의 시급성이 높아진 이유는 다음과 같습니다.

• 2020년에 전 세계에서 평균적인 사람들이 1인당 매초 1.7MB의 데이터를 생성했으며, 공격자들이 이를 악용할 수 있는 기회가 더 많아졌습니다.
• 인공지능(Artificial Intelligence, AI) 및 머신 러닝(Machine learning, ML)의 발전으로 인해 더욱 정교한 공격이 가능해졌습니다.
• 최근 공격 중 다수가 확장된 데이터 액세스를 악용한 것입니다. SUNBURST 공격을 통해 Marriott 고객 520만 명의 금융 데이터가 유출된 것이 그 예입니다.

데이터 보안 위협을 방지하려면 무엇이 필요할까요?

데이터 보안 위협을 방지하는 데 필요한 주요 기능 중 하나는 보안에 대해 제로 트러스트 방식으로 접근하는 것입니다. 제로 트러스트란 모든 상호작용이 신뢰할 수 없는 상태에서 시작된다는 전제로 보안 아키텍처를 설계하는 방식입니다. 이러한 맥락에서는 신뢰의 경계를 가능한 한 최소한으로 설정해야 하며, 트랜잭션을 완료하는 데 필요한 범위를 뛰어넘는 액세스 권한을 승인해서는 안 됩니다.

미국에서는 Biden 대통령의 국가 사이버 보안 개선에 관한 행정 명령(EO 14028)을 통해 연방 민간 기관에 제로 트러스트 아키텍처 채택을 촉진하기 위한 계획을 수립할 것을 요구하고 있습니다.

제로 트러스트의 기반을 이루는 두 가지 주요 개념은 다음과 같습니다.

• 탈경계화: 탈경계화는 위치와 신뢰의 분리를 다룹니다. 사용자가 어디서나 조직의 데이터에 액세스할 수 있어야 하고, 클라우드로의 전환으로 인해 데이터가 어디에나 있을 수 있기 때문에 기업은 더 이상 지리적 경계로 정의되지 않습니다. 
• 최소 권한: 이름 또는 위치를 기준으로 신뢰가 상속되지 않는다면 모든 상호작용은 의심스러운 것이 됩니다. 최소 권한은 절대적으로 필요한 리소스에만 액세스 가능하도록 액세스 권한을 제한하는 사례를 말합니다. 즉, 활동에 필요한 “최소한의” 권한만 허용하는 것입니다.

제로 트러스트 모델을 구현하려면 조직은 다음과 같은 중요 구성 요소를 도입해야 합니다.

• 사용자와 NPE(Non-Person Entity)를 위한 강력한 단일 Identity 소스
• 사용자와 머신 인증
• 정책 컴플라이언스 및 장치 상태와 같은 부가적인 컨텍스트
• 애플리케이션 또는 리소스에 대한 액세스를 규제하는 권한 부여 정책
• 애플리케이션 내의 액세스 제어 정책

이러한 구성 요소들은 주로 Identity 기반 액세스 정책을 기본적으로 "deny-all"과 "allow-by-exception"으로 설정할 수 있는 데 초점을 맞춥니다.

Red Hat의 핵심 솔루션은 엔터프라이즈 검증을 거쳤으며 보안에 초점을 맞춘 환경에 바로 사용할 수 있습니다.

다음은 Red Hat이 금융 서비스 산업의 사이버 보안을 돕기 위해 제공하는 주요 솔루션 중 일부입니다.

Red Hat Trusted Software Supply Chain

Red Hat® Trusted Software Supply Chain은 Red Hat® OpenShift®를 기반으로 한 일련의 클라우드 서비스로, 소프트웨어 공급망 취약점에 대한 복원력을 향상합니다. 이 솔루션의 일환으로 Quay와 Advanced Cluster Security(ACS)를 포함한 기존 Red Hat 소프트웨어 및 클라우드 서비스에 두 가지 새로운 클라우드 서비스인 Red Hat Trusted Application Pipeline과 Red Hat Trusted Content가 추가되었습니다.

Red Hat Advanced Cluster Security for Kubernetes

Red Hat Advanced Cluster Security(ACS) for Kubernetes는 선도적인 쿠버네티스 네이티브 보안 플랫폼입니다. 조직은 이 플랫폼을 통해 클라우드 네이티브 애플리케이션을 더욱 안전하게 빌드, 배포, 실행할 수 있습니다. 이 솔루션은 Red Hat OpenShift, Amazon Elastic Kubernetes Service(EKS), Microsoft Azure Kubernetes Service(AKS), Google Kubernetes Engine(GKE) 등 모든 주요 클라우드와 하이브리드 플랫폼에서 컨테이너화된 쿠버네티스 워크로드를 보호하는 데 도움이 됩니다.

Red Hat Ansible Automation Platform으로 보안 자동화

Red Hat® Ansible® Automation Platform은 플레이북, 로컬 디렉터리 서비스, 통합 로그, 외부 애플리케이션을 사용하여 IT 보안 팀을 통합하고 보안 솔루션을 자동화합니다. 팀은 이를 바탕으로 유기적으로 통합된 방식으로 위협을 조사하고 대응할 수 있습니다. 

Red Hat OpenShift Service Mesh

Red Hat OpenShift Service Mesh는 마이크로서비스 기반 애플리케이션을 일관된 방식으로 연결, 관리, 관측할 수 있도록 지원합니다. Red Hat OpenShift Service Mesh는 사용자의 서비스 메쉬에서 네트워크화된 마이크로서비스에 대한 행동 기반 인사이트와 제어 기능을 제공합니다. 제로 트러스트 네트워킹을 촉진하는 투명한 mTLS 암호화와 세분화된 정책을 통해 통합 애플리케이션 네트워킹 보안에 액세스할 수 있습니다.