[데이터넷] 공인인증제도 폐지와 함께 사설인증서 시장이 활짝 열리면서 시장 주도권 확보를 위한 전쟁이 시작됐다. 금융보안원의 ‘2021년 디지털 금융 및 사이버 보안 이슈 전망’ 보고서에 따르면 공인인증서의 우월적 지위를 폐지하는 전자서명법 개정안이 12월 10일 정식 시행되면서 공공·금융 인증 시장 선점을 위한 경쟁이 본격화 되고 있다.

특히 금융권은 사설인증서, 바이오인증 등 다양한 인증수단을 활용하고 있으며, 최근에는 자체 인증서를 개발하여 이용 범위를 확대하려는 움직임도 보이고 있다. 예를 들어 KB국민은행은 행정안전부 공공분야 전자서명 확대 도입 시범사업의 후보사업자로 선정됐다. 네이버, 카카오 등 플랫폼 사업자, 이동통신사 등도 넓은 고객 접점을 기반으로 금융권 인증시장 진출을 추진하고 있다.

이처럼 금융사는 자사 인증수단 활성화를 통해 고객을 자사 서비스에 강력하게 머물게 하려고 노력하고 있으며, 비금융회사는 금융산업 진출을 위한 초석으로 인증수단을 사용하고자 한다. 이를 통해 민간 중심의 다양한 인증수단이 도입되어 금융소비자의 선택폭이 확대되고 편리성이 제고될 것으로 기대된다.

금융은 높은 수준의 신뢰성과 안전성이 요구되기 때문에 높은 수준의 보안성 요구나 거래 리스크별 인증수단 차등화 등 보안성 확보 등의 조치가 요구된다. 한편 금융위원회는 보안성·편의성을 갖춘 다양한 인증수단이 금융권에 활용될 수 있도록 정책 마련을 추진하고 있으며, 금융거래 위험 수준별 인증수단 차등화 등을 검토하고 있다.

금융보안원이 전망한 2021년의 주요 이슈를 요약하면 다음과 같다.

언택트 시대…가속화되는 비대면 금융

코로나19로 비대면 금융 서비스 확산이 가속화되면서 신분증 진위 확인 과정의 취약점을 이용한 전자금융사기가 발생한 바 있다. 앞으로 오픈뱅킹·마이데이터 산업 활성화로 특정 금융사 보안사고가 다른 금융사로 쉽게 전파될 수 있으며, 비대면 금융 서비스가 다양해지면서 이를 악용한 공격이 늘어날 것으로 보여 대책 마련이 필요하다. 보고서에서는 디지털 취약계층까지 비대면 금융에서 소외되지 않도록 노력하면서 편리성의 보안의 균형을 지켜야 한다고 지적했다.

원격근무 시대의 도래…필수적인 사이버보안

금융권에서도 원격근무가 확대되면서 공격 범위가 넓어지고 있다. 원격·재택근무, 화상회의 등을 진행할 때 보안 통제를 강화해야 하며, 외부 단말기에 대한 강력한 보안관리와 내부망 접근 통제, 사용자·단말 인증을 진행햐야 하며, 전용선과 동등한 보안 수준을 갖춘 VPN을 이용하고, 데이터 보안과 화상회의 전·후 보안도 철저히 지켜야 한다.

사이버공간 협박범…랜섬웨어·랜섬디도스 증가

랜섬웨어가 한층 진화하고 있다. 데이터를 암호화 한 후 돈을 주지 않으면 데이터를 외부에 공개하다고 협박하는가하면, 돈을 주지 않으면 디도스 공격을 하겠다고 하는 수법으로 수익을 높이고 있다. 공격자들은 랜섬웨어 서비스(RaaS)를 활용해 쉽게 공격하며, 다크웹 내 해킹 정보 판매 등 수익을 높이는 방법을 찾아내고 있다.

금융권은 대량의 개인·신용정보를 보관하고 있고, 서비스 가용성이 중요하기 때문에 랜섬웨어·랜섬 디도스 공격의 주요 타깃이 될 수 있다. 국내외 공격 동향을 면밀히 모니터링하며, 금융 환경에 맞는 대응 방안을 마련하고 지속적으로 개선해야 한다.

그 누구도 안심할 수 없다, 고도화되는 보이스피싱

보이스피싱이 한층 더 진화했다. 영상통화, 서류위조, 악성 앱 설치 유도 등 기묘한 방법으로 피해자를 유인한다. 또한 딥페이크 등 AI를 활용한 기술과 결합해 신뢰할 수 있는 사람으로 위장해 공격을 진행할 수도 있기 때문에 각별한 주의가 필요하다. 실효성 있는 보이스피싱 대응을 위해 정부부처, 수사기관, 금융사, 통신사 뿐 아니라 국민 모두가 경각심을 갖고 대응해야 한다.

금융의 신성장 동력…데이터 산업 경쟁 본격화

데이터 3법 시행과 함께 데이터 경제의 막이 올랐다. 가명처리된 정보는 동의 없이 사용할 수 있으며, 금융 빅데이터 개방 시스템·금융데이터 거래소, 마이데이터 등을 통해 데이터를 쉽게 활용할 수 있는 길이 열렸다. 금융권은 유통·통신 등 이종 산업과의 데이터 협업, 데이터 전담조직을 신설하는 등 데이터 산업 경쟁에서 살아남기 위해 역량을 집중하고 있다.

2021년은 금융권 데이터 산업 무한 경쟁의 원년이 될 것으로 기대되면서 보안 위협도 지속 확대될 것으로 보여 철저한 대응 마련이 필요하다. 특히 마이데이터 사업자는 개인의 금융데이터가 집중되므로 주요 공격 대상이 될 우려가 높다. 안전하지 않은 인증이나 취약점 등으로 금융데이터 유출 사고가 발생할 경우 금융소비자 피해는 물론 금융데이터 산업 전반의 신뢰성 저하가 우려되므로 철저한 보안 관리 및 프라이버시 강화 조치가 선행돼야 한다.

금융 산업의 개방…다양한 플레이어의 등장

오픈뱅킹 등 지급결제망이 개방되고, 간편결제를 중심으로 한 빅테크의 금융 산업 진출이 가속화되면서 금융 산업 플레이어가 확대되고 있으며, 경쟁과 협력으로 시장을 활성화 시키고 있다. 타 기업과의 경쟁을 위한 금융회사 등의 전략적 협력이 확대되면서 협력기업의 보안 취약점이 금융회사의 취약점으로 전이될 수 있다. 협력기업에 보안사고 발생 시 연계된 금융회사도 책임으로부터 완전히 자유로울 수 없고 평판 리스크 등도 야기될 수 있으므로 협력기업의 보안 리스크를 면밀히 고려할 필요가 있다.

지갑이 휴대폰 속에…지갑 없는 사회의 시작

세계 각국에서 디지털 화폐(CBDC) 발행 논의를 시작하면서 지갑없는 사회가 열렸다. 우리나라에서도 기술·법률 검토와 파일럿 테스트를 진행하고 있으며, 행정안전부의 모바일 신분증·경찰청 및 이통사의 모바일 운전면허 확인 서비스가 본격적으로 진행되고 있다. 이처럼 신분증, 자격증, 각종 증명서 등을 전자적으로 발급·저장하는 서비스를 시작으로, 비대면 실명확인이나 각종 증빙서류 제출 작업 등이 간소화될 것으로 보인다.

디지털 화폐와 관련된 프라이버시 이슈나 분산원장기술 활용에 따른 운영리스크도 발생할 수 있으므로 사전에 철저한 검증 및 대비가 요구된다. 분산원장 처리 속도 한계 등에 의한 가용성 저하, 이중 지불과 같은 비정상 거래가 발생할 수 있다. 또한 실물 지갑을 대체하는 모바일 기기의 물리적 도난이나 악성 모바일 앱 유포 등 사이버 공격에도 주의해야 한다.

책임 있는 AI를 위한 금융권 노력…AI 거버넌스 구축

금융권은 신용평가, 지급결제, 정보보안 등 다양한 분야에 AI를 적용하고 있는데, AI 부작용에 대한 대책 마련에도 나서야 하다. AI가 편향된 데이터를 학습해 특정 집단에 불리한 의사결정을 내리거나, AI 분석 과정을 알 수 없어 AI 공정성에 문제가 제기되며, 적대적 AI를 이용한 공격도 발생할 수 있다. 이에 설명 가능한 AI(XAI) 기술 연구가 필요하며, 책임있는 AI 구축을 위해 전담조직 구성, 내규·사내 감사 절차 마련 등 AI 거버넌스를 확립해야 한다.

세계로 뻗어나가는 금융…글로벌 컴플라이언스 강조

코로나19로 국가·지역 간 이동이 어려운 상황과 맞물려 해외 금융권의 비대면·디지털 전환이 가속화되고 있다. 일부 신흥국은 전통적인 금융산업 발전 단계를 건너뛰고 디지털 금융을 적극 도입하고 있으며, 국내 금융회사는 디지털금융에 대한 다양한 노하우와 기술을 보유하고 있어 신흥국 등 해외 디지털 금융 시장 공략에 보다 적극적으로 나서고 있다. 이에 따라 글로벌 금융보안 규제에 대응할 수 있도록 글로벌 정보보호 관리체계 수립, 전담조직 신설, 전문 인력 양성 등이 중요하다. 금융보안원은 국내 금융회사 등이 준수해야 할 해외 금융보안 규제를 조사·분석해 시의성 있게 제공하는 등 금융권의 글로벌 컴플라이언스 업무를 적극 지원할 계획이다.