Breaking
사이버 보안(Cybersecurity)
연이은 사이버 공격, 여전히 취약한 '금융 기관' 
2019-05-28 17:44:48
김지연
▲금융 기관들은 특성상 사이버 범죄자들의 표적이 되고 있다(사진=ⓒ위키미디어 커먼스)

[라이헨바흐=김지연 기자] 금융 기관들이 연이은 사이버 공격에도 여전히 취약한 모습을 보여 국제 사회의 우려가 쏟아지고 있다.

은행과 여러 금융 기관은 사이버 범죄자들의 주요 표적이다. 지난해, 영국 금융 행위감독기관(FCA)은 "작년에만 145건의 사이버 공격 통지를 받았으며 이는 전년도에 25건을 기록한 것에 비해 상당수가 증가했다"고 밝혔다.

투자은행의 경우, 사이버 침입 횟수가 3건에서 34건으로 늘었으며 소액거래은행 또한 1건에서 25건으로 증가했다. 그리고 이 같은 보안 위협은 다른 부문의 기관에서도 발생하고 있는 것으로 알려졌다.

지난 2017년 4월, 바클레이와 스코틀랜드 국립은행, 산탄데르 은행을 포함해 총 7곳의 영국 은행이 일련의 사이버 공격을 받은 후 온라인 운영을 중단했다. 

테스코 은행 또한 사이버 공격을 받았고 해결 조치도 수포가 돼버려 작년 10월에만 245억 원의 손해를 입었다.

금융 기관의 부질없는 노력

금융 산업에서의 사이버 공격이 증가하고 있다는 사실을 고려했을 때 '금융 기관은 적절한 사이버 보안 조치를 취하고 있지 않은가?'라는 질문을 하기 쉽다.

사이버 보안을 우선 사항으로 두지 않는 일부 업계에서도 업계 전반에서 사이버 보안 기술이 발전을 거듭하고 있지만, 운영상 적절한 사이버 보안 조치를 도입하지 않은 기관들이 있다. 그러나 사이버 범죄자들은 진화하고 있으며 확장돼가는 기술에 적응하고 있다.

사이버 공격을 받는 금융 기관도 동일한 논리를 적용할 수 있다. 은행과 여러 금융 기업들은 사이버 보안의 중요성을 알고 있으며 현대식 보안 툴과 현금이 원활히 돌 수 있는 방법에 투자하고 있다. 

그러나 사이버 범죄자들도 마찬가지다. 사실, 사이버 범죄자들은 금융 기관이 보안을 강화하는 것보다 빠른 속도로 획기적인 공격 방법을 개발하고 있다.

▲사이버 공격의 빈도를 고려했을 때 금융 기관들이 사이버 보안을 강화하지 않고 있다는 사실에 문제가 제기되고 있다(사진=ⓒ픽사베이)

사이버보안 전문가들은 입을 모아 "기관들은 꼼꼼하고 엄격한 절차에 따라 취약점을 찾고 최신식 범죄 트렌드를 막을 방안을 고안해야 한다"고 말하고 있다.

사이버 범죄자들은 실수 없이 더 효과적이고 치명적인 일련의 공격을 자행하고 있다. 물론 그들도 시스템이나 네트워크 침투에 실패할 수 있지만, 전보다 더욱 강해진 방법을 들고 돌아오고 있다. 

범죄자들이 보안 침입 시도에 실패했을 때 발생하는 비용은 그들의 시간과 자원뿐이지만, 범죄자들의 공격이 성공했을 때는 은행 고객과 직원들의 엄청난 혼란을 야기할 수 있다.

체포의 어려움

금융 산업뿐만 아니라 다른 업계도 마찬가지지만, 사이버 범죄자를 체포하는 것만이 가장 확실한 해결책이다. 그러나 관계 당국조차도 이러한 범죄자들을 진압하는 데 어려움을 겪고 있다.

사이버보험 및 위반대책 전문가 리처드 브링턴은 "컴퓨터 남용법 하에서 기소된 사이버 범죄자의 수는 연간 100명 이하다"고 말했다. 

그는 또한 "모든 업계에서 보고되고 있는 사이버범죄의 수와 이를 비교했을 때 매우 수익성이 좋은 범죄 기업이라고 생각할 수도 있을 것이다"고 덧붙였다.

수사관들은 IP 주소와 컴퓨터 명을 포함한 공격자의 소재지를 찾을 수 있는 고급 범죄과학 수사를 시행하고 있지만, 범죄자들은 봇넷을 사용해 수사관의 포위망을 피하기 때문에 범죄자 신원 확인조차 어려운 형국이다.

수사관들이 직면한 또 다른 문제로는 범죄자들이 각기 다른 나라에서 범죄를 저지르고 있다는 것이다. 따라서 해당 국가 간에 사이버범죄 관련 정책이 마련돼 있어야 문제를 해결할 수 있다.

금융 기관의 자기 보호 수단

보안 침입 사건에 노출돼 있다는 것을 인식하고 있는 은행의 경우는 최악의 상황을 가정하고 비교적 제대로 공격에 대비하고 있지만, 그 외의 금융 기관의 상황은 그리 좋지 않다.

금융 기관들은 가장 먼저 민감한 정보와 자원이 무엇인지 평가를 해야 그게 맞는 솔루션을 준비할 수 있다. 

단 한 가지의 공격 상황을 가정하더라도 준비해야 할 일이 상당히 많아서 금융 기관 경영진들은 서둘러 대비해야 한다.

▲은행 및 여러 기관은 최악의 상황을 가정하고 준비해야 한다(사진=ⓒ위키미디어 커먼스)

보안 전문가들은 "침입 시도를 무산시킨 것으로 발생하는 보상은 없지만, 금전적인 피해를 발생시키는 최악의 상황을 피할 수 있다"고 설명하고 있다.

최악의 상황을 대비하는 것으로 보안에 대한 청사진을 제시할 수 있다. 조직 시스템 보안을 분석한 후 사이버 보안 방어책을 강화할 방법을 고려해야 한다. 

이를 위해, 기업들은 잠재적인 공격자들의 입장에서 생각을 해야 한다. 범죄자들이 회사의 어떤 데이터에 흥미를 보이는지 알아야 한다. 

하지만 대부분의 사이버 범죄자들은 고객이나 회사 자체의 금융 정보를 가장 매력적인 것으로 생각하는 경향이 있다. 따라서, 금융 기관들은 온라인 지불 방법 등에 대한 보안 강화책을 고려해야 한다.

[라이헨바흐=김지연 기자]