1만 1천여 개 은행 반드시 도입해야 하는 새 프레임워크
투명성 때문에 도입할 수밖에 없는 구조...프레임워크가 보안의 전부 아냐
[보안뉴스 문가용 기자] 2016년의 방글라데시중앙은행 해킹 사건을 비롯해 적지 않은 사이버 공격에 시달려왔던 국제은행간 통신협정인 SWIFT가 새로운 보안 프레임워크를 1월 1일부터 적용시켰다. 이제 200개국에 걸쳐 운영되고 있는 1만 1천여 개 SWIFT 회원 은행들은 이 프레임워크를 반드시 따르거나 응분의 대가를 치러야 한다.
[이미지 = iclickart]
보통 조직들이 산업 내 규정이나 프레임워크를 적용시킬 때는 시간을 질질 끄는 게 보통이다. 해커들이 피해갈 거라고 믿고 있기 때문인데, 그러다가 사고를 당해 피해는 피해대로 보고, 규제 기관에 벌금은 벌금대로 낸다. 그러나 SWIFT는 “이번 프레임워크가 멤버들 사이에서 투명하게 적용되기 때문에 도입하지 않을 수 없다”고 밝혔다.
첩보 및 보안 업체 베이 다이내믹스(Bay Dynamics)의 부회장 스티븐 그로스만(Steven Grossman)은 “SWIFT의 새 프레임워크를 도입하지 않으면 네트워크 내 다른 멤버들의 눈에 띌 수밖에 없다”고 함으로써 위 SWIFT의 발언에 힘을 싣기도 했다.
한편 사설 클라우드 솔루션 업체인 액셀리온(Accellion)의 CEO 요르겐 에드홀름(Yorgen Edholm)은 SC미디어라는 보안 매체와의 인터뷰를 통해 “지난 몇 년 동안 발생한 SWIFT 공격으로 은행들이 아직도 보안 트렌드를 쫓아가지 못하고 있다는 걸 알게 되었다”며 “금고와 철창 등 물리보안을 위한 노력을 사이버 쪽으로 전환시켜야 할 것”이라고 말했다. SWIFT의 새로운 프레임워크가 이러한 전환의 계기를 만들기 바란다는 의미였다.
또한 요르겐은 SWIFT의 이번 프레임워크가 가지고 있는 의미가 크다고 주장한다. 종래의 국제적 은행 시스템에 대한 신뢰를 찾아오느냐 혹은 더 뭉개느냐를 판가름 낼 것이기 때문이다. “이제 사이버 공격자들은 은행 강도들보다 더한 부류가 되고 있습니다. 게다가 훨씬 빈번하게 공격을 시도하죠. 여기에 이미 국제적인 은행들이 여럿 당했다는 걸 대중들은 알고 있습니다. 앞으로 이런 일이 더 반복되면 기존 은행 시스템은 신뢰를 잃을 것입니다. 때마침 암호화폐 등이 등장하니 일반 대중들은 ‘대체재가 있으니 아쉬울 것 없다’고 생각지요. SWIFT의 프레임워크 성공 여부가 장기적으로 적지 않은 영향을 미칠 것입니다.”
이제 SWIFT의 회원 은행들은 16가지 보안 제어 장치를 도입해야만 한다. 다중인증, 지속적인 모니터링 등 보안에서는 잘 알려져 있는 보안 장치들이 여기에 포함된다. 그로스만은 이런 필수 보안 장치들에 대해 “도입이 크게 부담스럽지도 않지만, 그렇다고 크게 안전하다고만 볼 수도 없다”는 입장이다. 은행들로서는 몰라서 못했다, 힘들어서 못했다고 말할 수 없지만, 이번 프레임워크에 ‘금융업계의 미래 신뢰’를 걸기에는 부족해 보인다는 뜻으로 해석된다.
그 외에 11가지 권고 사항도 이번 프레임워크에 포함됐다. 필수로 도입해야 하는 건 아니지만, 하면 좋은 것들이다. 여기에는 취약점 스캐닝 등이 있는데, 이러한 사항들 역시 필수로 넣어야 하지 않느냐는 의견도 있다. 그로스만도 그 중 하나다. 그는 “프레임워크라는 것도 개정 과정을 거치기 마련인데, 이 11가지 권고 사항을 필수 사항으로 바꾸는 게 다음 버전의 급선무일 것”이라고 말한다.
한편 SWIFT는 “이 프레임워크 도입만으로 모든 보안 방비책을 갖췄다고 볼 수 없다”는 것을 강조했다. “1월 1일부터 시작된 프레임워크는 가장 기초적인 사항일뿐이지, 보안의 전부라고 말할 수 없습니다. SWIFT 보안 프레임워크만 지켰다고 해서 안전을 보장할 수 없으며, 은행들마다 별도의 보안 장치를 추가로 마련해야 할 것입니다.”
[국제부 문가용 기자(globoan@boannews.com)]
투명성 때문에 도입할 수밖에 없는 구조...프레임워크가 보안의 전부 아냐
[보안뉴스 문가용 기자] 2016년의 방글라데시중앙은행 해킹 사건을 비롯해 적지 않은 사이버 공격에 시달려왔던 국제은행간 통신협정인 SWIFT가 새로운 보안 프레임워크를 1월 1일부터 적용시켰다. 이제 200개국에 걸쳐 운영되고 있는 1만 1천여 개 SWIFT 회원 은행들은 이 프레임워크를 반드시 따르거나 응분의 대가를 치러야 한다.
[이미지 = iclickart]
보통 조직들이 산업 내 규정이나 프레임워크를 적용시킬 때는 시간을 질질 끄는 게 보통이다. 해커들이 피해갈 거라고 믿고 있기 때문인데, 그러다가 사고를 당해 피해는 피해대로 보고, 규제 기관에 벌금은 벌금대로 낸다. 그러나 SWIFT는 “이번 프레임워크가 멤버들 사이에서 투명하게 적용되기 때문에 도입하지 않을 수 없다”고 밝혔다.
첩보 및 보안 업체 베이 다이내믹스(Bay Dynamics)의 부회장 스티븐 그로스만(Steven Grossman)은 “SWIFT의 새 프레임워크를 도입하지 않으면 네트워크 내 다른 멤버들의 눈에 띌 수밖에 없다”고 함으로써 위 SWIFT의 발언에 힘을 싣기도 했다.
한편 사설 클라우드 솔루션 업체인 액셀리온(Accellion)의 CEO 요르겐 에드홀름(Yorgen Edholm)은 SC미디어라는 보안 매체와의 인터뷰를 통해 “지난 몇 년 동안 발생한 SWIFT 공격으로 은행들이 아직도 보안 트렌드를 쫓아가지 못하고 있다는 걸 알게 되었다”며 “금고와 철창 등 물리보안을 위한 노력을 사이버 쪽으로 전환시켜야 할 것”이라고 말했다. SWIFT의 새로운 프레임워크가 이러한 전환의 계기를 만들기 바란다는 의미였다.
또한 요르겐은 SWIFT의 이번 프레임워크가 가지고 있는 의미가 크다고 주장한다. 종래의 국제적 은행 시스템에 대한 신뢰를 찾아오느냐 혹은 더 뭉개느냐를 판가름 낼 것이기 때문이다. “이제 사이버 공격자들은 은행 강도들보다 더한 부류가 되고 있습니다. 게다가 훨씬 빈번하게 공격을 시도하죠. 여기에 이미 국제적인 은행들이 여럿 당했다는 걸 대중들은 알고 있습니다. 앞으로 이런 일이 더 반복되면 기존 은행 시스템은 신뢰를 잃을 것입니다. 때마침 암호화폐 등이 등장하니 일반 대중들은 ‘대체재가 있으니 아쉬울 것 없다’고 생각지요. SWIFT의 프레임워크 성공 여부가 장기적으로 적지 않은 영향을 미칠 것입니다.”
이제 SWIFT의 회원 은행들은 16가지 보안 제어 장치를 도입해야만 한다. 다중인증, 지속적인 모니터링 등 보안에서는 잘 알려져 있는 보안 장치들이 여기에 포함된다. 그로스만은 이런 필수 보안 장치들에 대해 “도입이 크게 부담스럽지도 않지만, 그렇다고 크게 안전하다고만 볼 수도 없다”는 입장이다. 은행들로서는 몰라서 못했다, 힘들어서 못했다고 말할 수 없지만, 이번 프레임워크에 ‘금융업계의 미래 신뢰’를 걸기에는 부족해 보인다는 뜻으로 해석된다.
그 외에 11가지 권고 사항도 이번 프레임워크에 포함됐다. 필수로 도입해야 하는 건 아니지만, 하면 좋은 것들이다. 여기에는 취약점 스캐닝 등이 있는데, 이러한 사항들 역시 필수로 넣어야 하지 않느냐는 의견도 있다. 그로스만도 그 중 하나다. 그는 “프레임워크라는 것도 개정 과정을 거치기 마련인데, 이 11가지 권고 사항을 필수 사항으로 바꾸는 게 다음 버전의 급선무일 것”이라고 말한다.
한편 SWIFT는 “이 프레임워크 도입만으로 모든 보안 방비책을 갖췄다고 볼 수 없다”는 것을 강조했다. “1월 1일부터 시작된 프레임워크는 가장 기초적인 사항일뿐이지, 보안의 전부라고 말할 수 없습니다. SWIFT 보안 프레임워크만 지켰다고 해서 안전을 보장할 수 없으며, 은행들마다 별도의 보안 장치를 추가로 마련해야 할 것입니다.”
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
