카스퍼스카 금융 산업 보안 트렌드 발표
[보안뉴스 강현주 기자] 금융권 연평균 보안투자는 120만 달러이며, 피해액은 그 2.7배인 320만달러인 것으로 나타났다.
글로벌 사이버 보안 기업 카스퍼스키(한국지사장 이효은)는 10일 금융 산업 분야의 디지털 전환 트렌드와 보안 위협 증가 대응방안을 발표했다. 이 회사는 전세계 27개국을 대상으로 조사했다.
▲‘IT 시큐리티 이코노믹스 2024’ 보고서 [자료: 카스퍼스키]
카스퍼스키의 ’IT 시큐리티 이코노믹스 2024’ 보고서에 따르면, 은행·금융·보험기관은 연간 평균 120만 달러를 사이버 보안에 지출하고 있다. 적지 않은 금액처럼 보이지만, 대규모 보안 사고의 평균 피해액인 약 320만 달러와 비교하면 2.7배나 적은 수준이다. 디지털 전환을 피할 수 없는 상황에서, 불충분한 보안 조치가 고위험 침해의 직접적인 원인이 될 수 있음을 명확히 보여준다.
카스퍼스키 아드리안 히아 아시아 태평양 총괄 사장은 “은행, 보험사, 그리고 금융 플랫폼에게 디지털 전환은 필수지만 진화하는 사이버 위협으로 인해 복잡한 전장으로 바뀌고 있다“며 “단 한 번의 실수도 심각한 결과를 초래할 수 있으며 장기적인 성장을 지속하기 위해서는 보안을 전략적이고 통합적인 관점에서 재정립해야 한다”라고 말했다.
금융 산업이 급격한 디지털 전환을 거치며 API, 클라우드, AI 기반 인텔리전스를 중심으로 초연결 생태계로 진화하고 있다. 이는 고객 중심의 혁신, 신속한 운영 프로세스, 무한한 확장성을 약속하지만, 동시에 해커들에게는 새로운 공격 표면을 제공하는 ‘디지털 취약점의 뷔페’가 되고 있다.
금융 산업은 디지털 전환으로 오픈 뱅킹 API, 서비스형 뱅킹(BaaS), 임베디드 파이낸스, 클라우드 마이그레이션, AI 등의 도입이 빠르게 진화하고 있다. 이러한 변화는 고객 중심의 혁신과 효율성을 높이는 동시에, 새로운 보안 취약점을 동반한다.
오픈 API는 데이터 접근성을 높이지만 침입 경로를 확장 시키고, BaaS는 협력사 간 공유된 위험으로 생태계 전체의 신뢰를 위협한다. 또한 임베디드 파이낸스는 기존 보안 경계를 넘어선 공격 표면을 넓히며, 클라우드 전환은 설정 오류나 책임 불명확성으로 인한 노출 위험을 초래한다.
마지막으로 AI는 금융 서비스의 지능화를 이끌지만, 동시에 모델 조작이나 합성 사기 등 새로운 형태의 위협을 만들어내고 있다. 이처럼 금융의 디지털 혁신은 편의와 속도라는 이점을 제공하는 한편, 그에 상응하는 정교한 보안 전략이 필수적으로 요구된다.
카스퍼스키가 발표한 금융 산업 디지털 전환 트렌드는 오픈 뱅킹 API, 서비스형 뱅킹, 임베디드 파이낸스, 클라우드 마이그레이션, AI이다.
새로운 서비스가 생길 때마다 새로운 취약점이 생기며, 공격은 ‘가능성’이 아니라 ‘언제 일어날지의 문제’가 되었다. 사고가 발생하면 신속한 대응, 효과적인 탐지, 빠른 복구가 유일한 우선순위가 된다.
수치로 보면, 상황은 더욱 심각하다. 2024년 금융 부문에서 발생한 보안 사고의 42%는 랜섬웨어에 의해 발생했으며, 전체 공격 중 약 4분의 1인 24%는 은행 고객을 직접 노린 피싱 공격이었다. 또한 전체 침해 사고의 25% 이상은 인적 오류로 인한 것으로, 그중 상당수가 내부 정책 위반에서 비롯되었다. 여기에 더해 정보 탈취형 악성코드의 확산으로, 감염된 사례 중 약 14건 중 1건 꼴로 카드 정보가 탈취되는 심각한 피해가 발생하고 있다.
하지만 이러한 일상적인 침해 이면에는 APT, 조직적이고 자금력이 풍부하며 끈질긴 공격자들이 존재한다. 예를 들어 Carbanak과 같은 전문 공격자 그룹은 제로데이 취약점과 공급망 약점을 악용하여 수십억 달러 규모의 글로벌 공격 캠페인을 수행한다.
카스퍼스키는 금융 기관의 보안 강화를 위한 3단계 대응 방안을 제시했다. 첫째, 종합적인 준비 및 점검으로 전체 인프라를 철저히 평가하고, 기존 프로세스를 검토하며, 취약점을 공격자보다 먼저 해결해야 한다. 내부 팀이 주도할 수 있지만, 외부 전문가의 참여는 새로운 관점을 제공하여 숨은 리스크를 발견할 수 있다.
둘째, 첨단 기술 도입을 통해 보안팀이 모든 공격 벡터를 통합적으로 모니터링하고 제어할 수 있는 플랫폼을 구축해야 한다. 신속한 탐지와 빠른 대응이 핵심이며, 조직 전체의 보호를 보장한다.
셋째, 지속적 학습과 인텔리전스: 위협이 계속 진화하는 만큼, 최신 위협 환경에 대한 이해 유지가 중요하다. 고급 위협 인텔리전스와 분석을 활용하여 보안 전략을 선제적으로 조정해야 한다. 또한 정기적인 인식 교육을 통해 직원들이 피싱을 식별하고, 정책을 준수하며, 1차 방어선 역할을 할 수 있도록 강화해야 한다.
카스퍼스키 이효은 한국지사장은 “가장 신뢰받는 도구가 취약점이 될 수 있다. 2024년에는 세계에서 가장 널리 사용되는 브라우저의 제로데이 취약점이 정교한 표적 공격의 통로로 이용됐다”며 “지난해 은행·금융·보험 기관은 전체 보고된 보안 사고의 18%를 차지하며, 모든 산업 중 가장 높은 비중을 기록했다”고 말했다.
이어 “생존을 위해서는 적응형·통합형·탄력적인 보안 시스템을 구축해, 혁신의 속도와 동일한 속도로 방어해야 한다”라며 “카스퍼스키는 28년 이상 전 세계 수천 개 금융기관을 보호해오며 은행·금융·보험 분야에서 깊은 전문성을 가진 사이버 보안 제공기업으로서, 보안 도전 과제를 깊이 이해하고 있으며, 가장 엄격한 기준에 부합하는 맞춤형 솔루션을 제공한다”라고 말했다.
[강현주 기자(jjoo@boannews.com)]
[보안뉴스 강현주 기자] 금융권 연평균 보안투자는 120만 달러이며, 피해액은 그 2.7배인 320만달러인 것으로 나타났다.
글로벌 사이버 보안 기업 카스퍼스키(한국지사장 이효은)는 10일 금융 산업 분야의 디지털 전환 트렌드와 보안 위협 증가 대응방안을 발표했다. 이 회사는 전세계 27개국을 대상으로 조사했다.
▲‘IT 시큐리티 이코노믹스 2024’ 보고서 [자료: 카스퍼스키]
카스퍼스키의 ’IT 시큐리티 이코노믹스 2024’ 보고서에 따르면, 은행·금융·보험기관은 연간 평균 120만 달러를 사이버 보안에 지출하고 있다. 적지 않은 금액처럼 보이지만, 대규모 보안 사고의 평균 피해액인 약 320만 달러와 비교하면 2.7배나 적은 수준이다. 디지털 전환을 피할 수 없는 상황에서, 불충분한 보안 조치가 고위험 침해의 직접적인 원인이 될 수 있음을 명확히 보여준다.
카스퍼스키 아드리안 히아 아시아 태평양 총괄 사장은 “은행, 보험사, 그리고 금융 플랫폼에게 디지털 전환은 필수지만 진화하는 사이버 위협으로 인해 복잡한 전장으로 바뀌고 있다“며 “단 한 번의 실수도 심각한 결과를 초래할 수 있으며 장기적인 성장을 지속하기 위해서는 보안을 전략적이고 통합적인 관점에서 재정립해야 한다”라고 말했다.
금융 산업이 급격한 디지털 전환을 거치며 API, 클라우드, AI 기반 인텔리전스를 중심으로 초연결 생태계로 진화하고 있다. 이는 고객 중심의 혁신, 신속한 운영 프로세스, 무한한 확장성을 약속하지만, 동시에 해커들에게는 새로운 공격 표면을 제공하는 ‘디지털 취약점의 뷔페’가 되고 있다.
금융 산업은 디지털 전환으로 오픈 뱅킹 API, 서비스형 뱅킹(BaaS), 임베디드 파이낸스, 클라우드 마이그레이션, AI 등의 도입이 빠르게 진화하고 있다. 이러한 변화는 고객 중심의 혁신과 효율성을 높이는 동시에, 새로운 보안 취약점을 동반한다.
오픈 API는 데이터 접근성을 높이지만 침입 경로를 확장 시키고, BaaS는 협력사 간 공유된 위험으로 생태계 전체의 신뢰를 위협한다. 또한 임베디드 파이낸스는 기존 보안 경계를 넘어선 공격 표면을 넓히며, 클라우드 전환은 설정 오류나 책임 불명확성으로 인한 노출 위험을 초래한다.
마지막으로 AI는 금융 서비스의 지능화를 이끌지만, 동시에 모델 조작이나 합성 사기 등 새로운 형태의 위협을 만들어내고 있다. 이처럼 금융의 디지털 혁신은 편의와 속도라는 이점을 제공하는 한편, 그에 상응하는 정교한 보안 전략이 필수적으로 요구된다.
카스퍼스키가 발표한 금융 산업 디지털 전환 트렌드는 오픈 뱅킹 API, 서비스형 뱅킹, 임베디드 파이낸스, 클라우드 마이그레이션, AI이다.
새로운 서비스가 생길 때마다 새로운 취약점이 생기며, 공격은 ‘가능성’이 아니라 ‘언제 일어날지의 문제’가 되었다. 사고가 발생하면 신속한 대응, 효과적인 탐지, 빠른 복구가 유일한 우선순위가 된다.
수치로 보면, 상황은 더욱 심각하다. 2024년 금융 부문에서 발생한 보안 사고의 42%는 랜섬웨어에 의해 발생했으며, 전체 공격 중 약 4분의 1인 24%는 은행 고객을 직접 노린 피싱 공격이었다. 또한 전체 침해 사고의 25% 이상은 인적 오류로 인한 것으로, 그중 상당수가 내부 정책 위반에서 비롯되었다. 여기에 더해 정보 탈취형 악성코드의 확산으로, 감염된 사례 중 약 14건 중 1건 꼴로 카드 정보가 탈취되는 심각한 피해가 발생하고 있다.
하지만 이러한 일상적인 침해 이면에는 APT, 조직적이고 자금력이 풍부하며 끈질긴 공격자들이 존재한다. 예를 들어 Carbanak과 같은 전문 공격자 그룹은 제로데이 취약점과 공급망 약점을 악용하여 수십억 달러 규모의 글로벌 공격 캠페인을 수행한다.
카스퍼스키는 금융 기관의 보안 강화를 위한 3단계 대응 방안을 제시했다. 첫째, 종합적인 준비 및 점검으로 전체 인프라를 철저히 평가하고, 기존 프로세스를 검토하며, 취약점을 공격자보다 먼저 해결해야 한다. 내부 팀이 주도할 수 있지만, 외부 전문가의 참여는 새로운 관점을 제공하여 숨은 리스크를 발견할 수 있다.
둘째, 첨단 기술 도입을 통해 보안팀이 모든 공격 벡터를 통합적으로 모니터링하고 제어할 수 있는 플랫폼을 구축해야 한다. 신속한 탐지와 빠른 대응이 핵심이며, 조직 전체의 보호를 보장한다.
셋째, 지속적 학습과 인텔리전스: 위협이 계속 진화하는 만큼, 최신 위협 환경에 대한 이해 유지가 중요하다. 고급 위협 인텔리전스와 분석을 활용하여 보안 전략을 선제적으로 조정해야 한다. 또한 정기적인 인식 교육을 통해 직원들이 피싱을 식별하고, 정책을 준수하며, 1차 방어선 역할을 할 수 있도록 강화해야 한다.
카스퍼스키 이효은 한국지사장은 “가장 신뢰받는 도구가 취약점이 될 수 있다. 2024년에는 세계에서 가장 널리 사용되는 브라우저의 제로데이 취약점이 정교한 표적 공격의 통로로 이용됐다”며 “지난해 은행·금융·보험 기관은 전체 보고된 보안 사고의 18%를 차지하며, 모든 산업 중 가장 높은 비중을 기록했다”고 말했다.
이어 “생존을 위해서는 적응형·통합형·탄력적인 보안 시스템을 구축해, 혁신의 속도와 동일한 속도로 방어해야 한다”라며 “카스퍼스키는 28년 이상 전 세계 수천 개 금융기관을 보호해오며 은행·금융·보험 분야에서 깊은 전문성을 가진 사이버 보안 제공기업으로서, 보안 도전 과제를 깊이 이해하고 있으며, 가장 엄격한 기준에 부합하는 맞춤형 솔루션을 제공한다”라고 말했다.
[강현주 기자(jjoo@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
