금융 클라우드 환경에서의 보안 위협을 줄이기 위한 핵심 요소 4가지
[보안뉴스= 이병희 기술사/트래블월렛] 금융 산업은 경제와 사회의 중요한 기반으로 자리 잡고 있어 변화가 필요한 상황에서도 보수적으로 접근하는 경향이 강하다. 이는 금융 서비스의 특수한 성격과 규제 환경, 그리고 고객 신뢰에 대한 높은 책임감이 따르기 때문이다. 이러한 특징 때문에 디지털 트랜스포메이션(Digital Transformation)의 흐름에 늦게 반응할 수밖에 없고 인프라 측면에서도 클라우드의 적용이 다른 산업에 비해 늦은 편이다.
[자료: gettyimagesbank]
하지만 인터넷은행을 시작으로 많은 테크핀 회사들이 클라우드 기반으로 구축을 시작하고 기존의 IDC 기반 환경을 탈피, 유연한 인프라를 구축해 성공을 거두고 있다. 여기서는 금융 클라우드 전환 경험을 기반으로 금융 서비스의 클라우드 활용에서의 장점과 보안의 중요성에 대해 논하고자 한다.
금융 서비스의 클라우드 활용에 있어 장점을 기존 IDC 기반의 온프레미스 환경과 비교해 효율성 측면과 도입성 측면으로 구분해 보면 아래와 같다.
▲금융 서비스의 클라우드 활용에 대한 장점 [자료: 이병희 기술사]
이제 금융 환경에서도 클라우드로의 전환은 선택이 아니라 필수가 되어가고 있다. 우물 안 개구리가 되지 않고 글로벌로 나아가기 위해서는 클라우드 활용으로의 변화를 빨리 수용할 필요가 있다. 그에 못지않게 보안도 미리미리 준비해야 한다.
이러한 변화에 대응하기 위해 먼저 금융 클라우드 환경에서의 보안의 중요성에 대해서 알아보자.
금융 보안은 고객의 개인정보뿐만 아니라 고객의 금융정보까지 보호해야 하기 때문에 다른 어떤 서비스보다도 보안이 중요하다. ‘금융권 망분리 개선안’을 통해 기업은 망분리 규제 완화로 새로운 기회를 맞게 됐으며 동시에 사이버 보안의 책임은 더욱 커졌다.
이제 기업들은 자율적으로 보안을 관리하고 강화하는 체계를 구축해야 한다. 이는 기술적 방어 변화는 물론이고 보안에 대한 철학과 접근 방식의 근본적인 변화를 의미한다. 금융 업계에서는 코로나 19로 인해 비대면 문화가 확산됐고, 이에 기반해 클라우드 도입 움직임이 더욱 빨라졌다고 말하고 있다. 금융권이 클라우드로 전환하기 시작한 초기에는 보안에 관련된 과도한 규제가 금융사의 클라우드 전환에 걸림돌이 되기도 했지만 현재는 규제가 완화되고 있는 추세다. 이는 보안이 더욱 중요한 요소가 되고 있음을 의미한다.
금융 클라우드 환경에서의 보안이 왜 중요한가?
가장 중요하게 생각할 포인트는 데이터 자체가 매우 민감한 정보라는 것이다. 여러분의 금융거래정보, 예를 들어 카드 정보, 계좌 정보, 인증 정보 등이 유출됐다고 가정해보자. 그럼 누군가 해당 정보를 가지고 여러분의 디지털 재산을 쉽게 갈취할 수 있을 것이다. 우스갯소리로 월급이 통장에 입금되면 통장 찍고 바로 나간다는 말이 있다. 이처럼 디지털 정보로 저장되어 있는 금융정보가 유출되지 않도록 해주는 보안이 중요할 수밖에 없다.
금융과 클라우드가 만났다. 전통적인 규제 사업인 금융 서비스와 비교적 신기술로 여겨지는 클라우드가 만났기 때문에 컴플라이언스에 대한 고려가 필요하다. 다양한 컴플라이언스 요구사항이 있지만 특히나 보안 컴플라이언스를 준수하지 않고 서는 서비스를 유지할 수 없게 됐다. 대표적인 보안 컴플라이언스로는 전자금융감독규정, 클라우드컴퓨팅법, 금융클라우드이용보고, PCI-DSS(결제 카드 데이터 보안 표준) 등이 있다.
이와 같은 금융 보안의 중요성을 만족시키고 금융 클라우드 환경에서의 보안 위협을 줄이기 위해서는 어떠한 노력을 해야 할까? 개인적으로 중요하게 생각하는 보안 담당자 또는 보안 책임자로서 고려해야 할 핵심 요소는 아래와 같다.
△잘못된 설정(Misconfiguration)
클라우드 보안 사고의 약 50% 정도가 잘못된 설정(Misconfiguration)에 의해서 발생한다는 조사가 있다. 특히 IAM(Identity and Access Management)의 잘못된 설정이나 데이터저장소의 Public 설정 오류를 통한 정보 유출은 금융 서비스에 치명적인 사고를 초래한다. 따라서 사용자 접근 권한을 최소화하는 제로트러스트(Zero Trust) 정책을 도입해 내외부로부터 승인되지 않은 접근을 방지햐야 하며 강력한 인증 방식(ex. MFA: Multi-Factor Authentication)을 사용해 신원 도용에 의한 침입을 방지해야 한다.
△데이터 암호화
데이터 암호화는 금융 클라우드 보안의 가장 기본적인 요소이다. 법적 요구사항인 고유식별정보(예: 주민등록번호) 뿐만 아니라 금융식별정보인 계좌번호, 카드번호 등의 암호화도 중요한 요소이다. 또한 중요 데이터는 클라우드 내부에서 저장되거나 전송 중일 때에도 암호화되어야 하며, 암호 키는 독립적이고 안전하게 관리돼야 한다(예: KMS 사용). 또한, 데이터저장소(예: S3 등)에 대해 주기적인 민감데이터 검사 등을 통해 데이터 보안 위험을 점검해야 한다.
△실시간 모니터링 및 로그 관리
금융 환경에서는 실시간 위협 탐지와 사고 대응이 필수적이다. 클라우드 구성요소에 대한 다양한 모니터링 모듈(예: AWS CloudWatch)을 활용, 위협 상황을 실시간으로 탐지해 경고를 하고, 적절한 조치를 취할 수 있는 보안 운영 환경 구축이 필요하다. 너무 많은 경고는 운영 비용의 증가를 초래할 수 있으니 운영 노하우를 통해 최적의 환경 구축이 필요하다.
△현실적인 보안 사고 대응 계획 마련
보안 사고 탐지, 보고, 복구에 대한 명확한 계획을 수립하고 정기적으로 테스트해야 한다. 사고 발생 시 피해를 최소화하고 빠르게 복구할 수 있도록 준비해야 한다는 의미로 최소한 연 1회 이상 침해사고 대응훈련을 수행하고 금융 분야 조직구성원이 숙지할 수 있도록 교육해야 한다.
금융 클라우드 환경에서의 보안은 기업과 고객의 신뢰를 유지하기 위한 필수 조건이다. 금융기관은 기술의 발전과 사이버 위협의 증가 속에서 클라우드 보안에 막대한 자원을 투자하고, 정책과 기술을 지속적으로 업데이트함으로써 안전한 금융 서비스를 제공할 수 있다. 보안의 우선순위를 높게 유지하고 미래의 위협 환경에 대비하여 탄탄한 보안 전략을 구축하도록 노력해야 한다.
[글_이병희 기술사/트래블월렛]
필자 소개_
- (주)트래블월렛 CISO/CPO
- 한국정보공학기술사회 AI전략위원회 위원
- 국가직무능력표준(NCS) 학습모듈 정보보호 분야 집필 및 검토
- 정보관리기술사, 정보시스템 수석감리원, ISMS-P 인증심사원, 인공지능산업컨설턴트, PMP 등
[보안뉴스= 이병희 기술사/트래블월렛] 금융 산업은 경제와 사회의 중요한 기반으로 자리 잡고 있어 변화가 필요한 상황에서도 보수적으로 접근하는 경향이 강하다. 이는 금융 서비스의 특수한 성격과 규제 환경, 그리고 고객 신뢰에 대한 높은 책임감이 따르기 때문이다. 이러한 특징 때문에 디지털 트랜스포메이션(Digital Transformation)의 흐름에 늦게 반응할 수밖에 없고 인프라 측면에서도 클라우드의 적용이 다른 산업에 비해 늦은 편이다.
[자료: gettyimagesbank]
하지만 인터넷은행을 시작으로 많은 테크핀 회사들이 클라우드 기반으로 구축을 시작하고 기존의 IDC 기반 환경을 탈피, 유연한 인프라를 구축해 성공을 거두고 있다. 여기서는 금융 클라우드 전환 경험을 기반으로 금융 서비스의 클라우드 활용에서의 장점과 보안의 중요성에 대해 논하고자 한다.
금융 서비스의 클라우드 활용에 있어 장점을 기존 IDC 기반의 온프레미스 환경과 비교해 효율성 측면과 도입성 측면으로 구분해 보면 아래와 같다.
▲금융 서비스의 클라우드 활용에 대한 장점 [자료: 이병희 기술사]
이제 금융 환경에서도 클라우드로의 전환은 선택이 아니라 필수가 되어가고 있다. 우물 안 개구리가 되지 않고 글로벌로 나아가기 위해서는 클라우드 활용으로의 변화를 빨리 수용할 필요가 있다. 그에 못지않게 보안도 미리미리 준비해야 한다.
이러한 변화에 대응하기 위해 먼저 금융 클라우드 환경에서의 보안의 중요성에 대해서 알아보자.
금융 보안은 고객의 개인정보뿐만 아니라 고객의 금융정보까지 보호해야 하기 때문에 다른 어떤 서비스보다도 보안이 중요하다. ‘금융권 망분리 개선안’을 통해 기업은 망분리 규제 완화로 새로운 기회를 맞게 됐으며 동시에 사이버 보안의 책임은 더욱 커졌다.
이제 기업들은 자율적으로 보안을 관리하고 강화하는 체계를 구축해야 한다. 이는 기술적 방어 변화는 물론이고 보안에 대한 철학과 접근 방식의 근본적인 변화를 의미한다. 금융 업계에서는 코로나 19로 인해 비대면 문화가 확산됐고, 이에 기반해 클라우드 도입 움직임이 더욱 빨라졌다고 말하고 있다. 금융권이 클라우드로 전환하기 시작한 초기에는 보안에 관련된 과도한 규제가 금융사의 클라우드 전환에 걸림돌이 되기도 했지만 현재는 규제가 완화되고 있는 추세다. 이는 보안이 더욱 중요한 요소가 되고 있음을 의미한다.
금융 클라우드 환경에서의 보안이 왜 중요한가?
가장 중요하게 생각할 포인트는 데이터 자체가 매우 민감한 정보라는 것이다. 여러분의 금융거래정보, 예를 들어 카드 정보, 계좌 정보, 인증 정보 등이 유출됐다고 가정해보자. 그럼 누군가 해당 정보를 가지고 여러분의 디지털 재산을 쉽게 갈취할 수 있을 것이다. 우스갯소리로 월급이 통장에 입금되면 통장 찍고 바로 나간다는 말이 있다. 이처럼 디지털 정보로 저장되어 있는 금융정보가 유출되지 않도록 해주는 보안이 중요할 수밖에 없다.
금융과 클라우드가 만났다. 전통적인 규제 사업인 금융 서비스와 비교적 신기술로 여겨지는 클라우드가 만났기 때문에 컴플라이언스에 대한 고려가 필요하다. 다양한 컴플라이언스 요구사항이 있지만 특히나 보안 컴플라이언스를 준수하지 않고 서는 서비스를 유지할 수 없게 됐다. 대표적인 보안 컴플라이언스로는 전자금융감독규정, 클라우드컴퓨팅법, 금융클라우드이용보고, PCI-DSS(결제 카드 데이터 보안 표준) 등이 있다.
이와 같은 금융 보안의 중요성을 만족시키고 금융 클라우드 환경에서의 보안 위협을 줄이기 위해서는 어떠한 노력을 해야 할까? 개인적으로 중요하게 생각하는 보안 담당자 또는 보안 책임자로서 고려해야 할 핵심 요소는 아래와 같다.
△잘못된 설정(Misconfiguration)
클라우드 보안 사고의 약 50% 정도가 잘못된 설정(Misconfiguration)에 의해서 발생한다는 조사가 있다. 특히 IAM(Identity and Access Management)의 잘못된 설정이나 데이터저장소의 Public 설정 오류를 통한 정보 유출은 금융 서비스에 치명적인 사고를 초래한다. 따라서 사용자 접근 권한을 최소화하는 제로트러스트(Zero Trust) 정책을 도입해 내외부로부터 승인되지 않은 접근을 방지햐야 하며 강력한 인증 방식(ex. MFA: Multi-Factor Authentication)을 사용해 신원 도용에 의한 침입을 방지해야 한다.
△데이터 암호화
데이터 암호화는 금융 클라우드 보안의 가장 기본적인 요소이다. 법적 요구사항인 고유식별정보(예: 주민등록번호) 뿐만 아니라 금융식별정보인 계좌번호, 카드번호 등의 암호화도 중요한 요소이다. 또한 중요 데이터는 클라우드 내부에서 저장되거나 전송 중일 때에도 암호화되어야 하며, 암호 키는 독립적이고 안전하게 관리돼야 한다(예: KMS 사용). 또한, 데이터저장소(예: S3 등)에 대해 주기적인 민감데이터 검사 등을 통해 데이터 보안 위험을 점검해야 한다.
△실시간 모니터링 및 로그 관리
금융 환경에서는 실시간 위협 탐지와 사고 대응이 필수적이다. 클라우드 구성요소에 대한 다양한 모니터링 모듈(예: AWS CloudWatch)을 활용, 위협 상황을 실시간으로 탐지해 경고를 하고, 적절한 조치를 취할 수 있는 보안 운영 환경 구축이 필요하다. 너무 많은 경고는 운영 비용의 증가를 초래할 수 있으니 운영 노하우를 통해 최적의 환경 구축이 필요하다.
△현실적인 보안 사고 대응 계획 마련
보안 사고 탐지, 보고, 복구에 대한 명확한 계획을 수립하고 정기적으로 테스트해야 한다. 사고 발생 시 피해를 최소화하고 빠르게 복구할 수 있도록 준비해야 한다는 의미로 최소한 연 1회 이상 침해사고 대응훈련을 수행하고 금융 분야 조직구성원이 숙지할 수 있도록 교육해야 한다.
금융 클라우드 환경에서의 보안은 기업과 고객의 신뢰를 유지하기 위한 필수 조건이다. 금융기관은 기술의 발전과 사이버 위협의 증가 속에서 클라우드 보안에 막대한 자원을 투자하고, 정책과 기술을 지속적으로 업데이트함으로써 안전한 금융 서비스를 제공할 수 있다. 보안의 우선순위를 높게 유지하고 미래의 위협 환경에 대비하여 탄탄한 보안 전략을 구축하도록 노력해야 한다.
[글_이병희 기술사/트래블월렛]
필자 소개_
- (주)트래블월렛 CISO/CPO
- 한국정보공학기술사회 AI전략위원회 위원
- 국가직무능력표준(NCS) 학습모듈 정보보호 분야 집필 및 검토
- 정보관리기술사, 정보시스템 수석감리원, ISMS-P 인증심사원, 인공지능산업컨설턴트, PMP 등
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
(1).jpg){kind=spacer}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
