오픈뱅킹·BaaS·AI 확산으로 공격 표면 확대…복합형 위협 급증 경고
APT·피싱 등 다층 공격 지속…‘적응형·통합형 보안’이 핵심 해법으로
사이버 보안 기업 카스퍼스키가 금융 산업 전반에 걸친 디지털 전환 가속화와 함께 복합적인 보안 위협이 급증하고 있다며 금융기관이 ‘통합적이고 회복탄력적인 보안 전략’을 구축해야 한다고 강조했다.
카스퍼스키는 자사 보고서 IT Security Economics 2024를 통해 “은행·금융·보험기관이 연간 평균 120만 달러를 사이버 보안에 지출하고 있지만 실제 대규모 보안 사고의 평균 피해액인 320만 달러와 비교하면 여전히 불충분한 수준”이라고 분석했다. 이는 디지털 전환의 속도에 비해 보안 투자가 따라가지 못하고 있어 고위험 침해로 직결될 수 있다는 의미다.
아드리안 히아(Adrian Hia) 카스퍼스키 아시아태평양 총괄 사장은 “금융권의 디지털 전환은 성장과 고객 경험 개선을 위한 필수 요소지만 기술 혁신은 동시에 공격 표면을 넓히고 위협을 정교하게 만든다”며 “금융기관은 보안을 전략적 핵심으로 재정립해야 한다”고 말했다.
금융 산업은 오픈뱅킹 API, 서비스형 뱅킹(BaaS), 임베디드 파이낸스, 클라우드 마이그레이션, AI 등으로 빠르게 디지털 전환을 진행 중이다. 이러한 변화는 고객 중심 혁신과 운영 효율성을 높이며 새로운 취약점을 동반한다. 오픈 API는 해커에게 새로운 침입 경로를 제공하고 BaaS는 파트너 생태계 전반으로 위험을 확산시킨다. 임베디드 파이낸스는 비금융 플랫폼까지 공격 표면을 확대하며 클라우드 이전 과정에서는 설정 오류나 접근권한 관리 미비로 인한 데이터 노출 위험이 높다. AI 역시 효율성을 높이는 동시에 모델 조작, 합성 사기, AI 기반 피싱 등 새로운 형태의 위협을 창출하고 있다.
실제 통계는 상황의 심각성을 보여준다. 2024년 금융 부문 보안 사고의 42%가 랜섬웨어로 발생했으며 전체 공격 중 24%는 은행 고객을 노린 피싱 공격이었다. 또 전체 침해 사고의 25% 이상이 내부 인적 오류에서 비롯된 것으로 분석됐다. 정보 탈취형 악성코드 확산으로 카드 정보 유출 피해 역시 14건 중 1건꼴로 발생하고 있다.
여기에 Carbanak 등 전문 APT 그룹은 제로데이 취약점과 공급망 약점을 악용해 대규모 공격을 수행하며 단일 보안 체계로는 대응이 어렵다. 이효은 카스퍼스키 한국지사장은 “가장 신뢰받는 시스템조차 취약점이 될 수 있다”며 “금융기관은 기술 발전 속도와 동일한 속도로 방어 전략을 발전시켜야 한다”고 강조했다.
카스퍼스키는 금융기관이 회복탄력적인 보안 체계를 구축하기 위해 ▲인프라 전반의 종합 점검 및 사전 대비 ▲위협을 통합적으로 탐지·대응할 수 있는 최신 보안 기술 도입 ▲지속적인 위협 인텔리전스 확보 및 임직원 보안 교육 강화 등 3단계 전략을 제안했다.
이효은 지사장은 “최첨단 기술과 지속적인 교육, 신뢰할 수 있는 파트너십이 결합될 때 금융기관은 재정적 리스크를 최소화하고 비즈니스 연속성을 확보할 수 있다”며 “카스퍼스키는 28년간 전 세계 금융기관을 보호해온 경험을 바탕으로 은행·금융·보험 산업에 특화된 보안 설루션을 제공하고 있다”고 말했다.