내년 금융권 보안 이슈는?…"LEAD CHANGE"
내년 디지털 금융보안 전망 키워드로 'LEAD CHANGE'가 꼽혔다. 디지털 자산을 둘러싼 미비된 법제도, 인공지능(AI)의 금융시장 진입, 고도화하는 공격자들 등 내년 금융권을 둘러싼 보안 이슈 10가지를 금융보안원이 선정한 것이다. 조주영 금융보안원 책임은 20일 개최된 금융 정보보안 컨퍼런스 'FISCON 2025'에서 '2026년 디지털 금융보안 이슈 전망'을 주제로 발표했다. 조 책임은 내년 디지털 금융보안 전망 키워드로 FISCON 2025의 슬로건인 'LEAD CHANGE'를 지목했다. 금융회사 임원과 실무진을 대상으로 설문조사를 실시해 종합한 결과다. "보안 사고가 금융사 존폐 좌우한다" 조 책임은 첫 번째 금융권 보안 이슈로 "보안 위험이 금융 회사가 문을 닫을 수도 있는 핵심 리스크로 부상했다"며 "금융회사 자체의 보안 역량 강화 요구도 높아지고 있다"고 진단했다. 조 책임은 2023년 말 미국의 금융 회사인 내셔널 퍼블릭의 데이터가 해킹을 당해 2억7천만명의 개인정보가 유출됐고, 결국 회사가 파산을 신청하게 된 사례를 강조했다. 그만큼 한 번의 보안 사고가 기업의 존폐를 좌우할 수 있다는 경고인 셈이다. 조 책임은 "국내외로 보안 사고가 늘면서 정책적으로도 금융 회사의 보안 책임이 한층 강조되고 있다"며 "IMF(국제통화기금)의 금융안정 보고서를 보면 보안 사고 발생 시 금융 안정성을 직접적으로 위협한다고 분석하고 있다"고 강조했다. 이에 조 책임은 금융보안 주체 간 역할을 재정립하고, 금융회사 자체의 보안 역량 강화에 힘써야 한다고 주문했다. "보안은 특정 조직 역할 아냐…전사적 책임 부여 필요" 다음으로 '전사적 보안문화 구축'이 내년 보안 이슈로 꼽혔다. 조 책임은 이사회 등 경영진의 보안에 대한 인식이 너무 낮으며, 전사적으로도 보안을 특정 조직의 역할로만 여기는 문화가 여전하다고 지적했다. 이에 그는 "모든 임직원에게 보안에 대한 역할 및 책임을 부여해야 한다"며 "경영진 역시 전략적 사고와 보안 내재화가 필요하다"고 강조했다. 이어 조 책임은 "영국이나 호주와 같은 해외 주요국들은 보안조직뿐 아니라 비즈니스 부서나 외부 감사 조직까지 역할을 부여하는 편성 보안 방어 체계를 도입하고 있다"며 "보안을 특정 부서의 문제로만 인식하면 아무리 기술을 강화한다고 해도 사고는 반복될 수밖에 없다"고 짚었다. "AI發 금융 보안 위기…대책 마련해야" AI의 금융시장 진입도 주목할 대목이다. 조 책임은 "AI 에이전트에 대한 금융권 관심이 늘어나고 있다. 이에 따른 새로운 보안 위험도 커지는 추세"라고 진단했다. 조 책임 발표에 따르면 AI 에이전트 시장 규모는 연평균 45.4%의 성장세를 보일 것으로 관측된다. 시장 성장세가 가파른 만큼 AI 에이전트 도입을 서두르고 있는 금융권 역시 AI 활용에 있어 거버넌스 체계를 확립해야 한다는 것이 조 책임의 주장이다. 아울러 조 책임은 "아전한 AI 에이전트 활용을 위해 엄격한 인증 및 권한 관리, 공급망 및 전이 공격 대비 등 AI 에이전트 보안 대책을 마련해야 할 것"이라고 역설했다. "디지털 자산 관련 제도 구체화 필수" 스테이블코인이 촉발한 디지털자산 시대가 다가오고 있는 가운데 미비된 법제도로 인한 위험도 금융권 최대 보안 이슈 중 하나다. 조 책임은 "법제화 추진으로 디지털 자산이 금융 제도권에 편입됐으나, 디지털 자산 보안 규제에 대한 구체적인 내용은 부재한 상황"이라며 "이런 제도의 공백 속에서 디지털 자산을 노린 해킹이나 보안 사고가 발생하면 시장 신뢰나 활성화에 큰 타격을 줄 수밖에 없다"고 강조했다. 이에 그는 "안정성 확보를 위해 디지털 자산 발행 및 유통 등에 대한 보안 강화가 필요한 시점"이라고 주문했다. "디지털 신원 확인 복잡해져 위험 늘었다" 모바일 신분증 도입이 빨라지고 있는 만큼 디지털 신원 확인 방식도 다양해지고 있다. 조 책임은 내년부터 디지털 신원의 복잡화로 위험도 증가할 것으로 예상했다. 조 책임은 "디지털 신원의 복잡화와 더불어 비인간신원 보안에 따른 위험도 상존하고 있다"며 "통합 신원 관리 프레임 워크를 구축해야 한다"고 강조했다. 그는 "분산되고 다층화된 신원 확인 환경은 관리 허점이 생기기 쉽고 권한 남용이나 계정 탈취가 발생하면 조직 전체의 피해로 이어질 수 있기 때문에 관리가 필요하다"고 주문했다. "보이스피싱은 이제 기업 내부 리스크로 발전" 단순히 전화 사기에 그쳤던 보이스피싱 범죄도 최근 급격하게 정교해지면서 피해를 확산하고 있다. 이에 조 책임은 보이스피싱에 대한 기술적 대응 역량을 갖춰야 한다고 제언했다. 그는 "보이스피싱은 최근 AI 기반 맞춤형 조직화된 범죄로 진화하고 있다"며 "피해 대상도 개인을 넘어서 기업 내부 직원까지 확산되고 있어 소비자 보호뿐 아니라 기업 내부 리스크 관리 측면에서도 중요한 이슈"라고 진단했다. 이어 조 책임은 "AI 기술이 더해져 구분하기 어려운 합성 음성을 통한 사기 사례도 늘어나고 있다"며 "보이스피싱 근절을 위한 범국가적 협력체계를 확립해야 한다"고 밝혔다. "3중·4중 협박 랜섬웨어…내년도 이어질 것" 기업이나 기관의 정보를 탈취해 암호화하고 금전을 요구하는 '랜섬웨어' 공격도 내년 주요 보안 이슈로 꼽힌다. 조 책임은 "랜섬웨어 공격은 피해가 빠르게 확산되고 복구 비용과 서비스 중단 피해가 매우 크기 때문에 내년에도 발생할 위험이 크다"며 "더욱이 랜섬웨어 공격자들이 백업 데이터까지도 암호화해 복구 자체를 불가능하게 만드는 사례가 늘고 있다"고 말했다. 그는 "랜섬웨어 집단들이 3중, 4중으로 협박을 가하고 있는 만큼 랜섬웨어 피해를 줄이기 위해 공격표면 관리 및 회복력 확보에 주력해야 한다"며 "변조가 불가능한 백업과, 오프사이트(오프라인 장치) 백업도 필수"라고 진단했다. 클라우드 '구성관리' 핵심…제로트러스트도 점진적 확대 필요 이 외에도 소프트웨어 공급망 사고가 금융 회사로 전이되는 해외 사례도 공급망 공격 사례도 포착된 만큼 SBOM을 통해 보안을 강화해야 한다는 제언도 잇따랐다. 또 금융권에서 클라우드 이용이 확산하고 있는 만큼 자동화 도구와 전문 인력을 통한 클라우드 구성 관리 강화에 주력해야 한다고 조 책임은 강조했다. 끝으로 금융 분야에서도 제로트러스트(Zero Trust) 구현을 통해 위협에 대응해야 한다는 제언이 나왔다. 조 책임은 우선 재택근무 등 보안이 취약한 환경에 제로트러스트를 도입하고, 전사에 일괄 적용하는 식으로 점차 제로트러스트 보안 전략을 확대해야 한다고 역설했다.
