[아이뉴스24 최은정 기자] "새로운 서비스의 보안 취약성을 판단할때 공격 위험 가능성이 있는 영역인 '해저드(Hazards)'도 고려해야 경영 리스크를 최소화할 수 있습니다."
미치히로 타니아이 일본 금융ISAC 이사장은 11일 온라인으로 열린 금융정보보호 콘퍼런스에서 기조강연을 통해 "과거에는 해커가 접근하기 어려웠던 취약점이 이제 다각도로 접근 가능해졌다"며 "일종의 해저드(위험요소)로 바뀌고 있는 것"이라고 강조했다.
금융ISAC은 2014년 설립된 일본 일반 사단법인으로 은행, 증권, 보험사 등 정회원 418개사를 보유하고 있다. 기업들과 금융 부문 사이버 보안 관련 정보 공유 역할을 하고 있다.
![미치히로 타니아이 일본 금융ISAC 이사장 [이미지=캡처]](https://img-lb.inews24.com/image_joy/202011/1605077324796_1_154907.jpg)
미치히로 이사장은 일례로 최근 일본에서 발생한 스마트결제 부문 금융 사고를 소개했다. 지난 9월 NTT도코모의 간편결제 서비스 '도코모 계좌'에서 총 2억원 이상의 부정인출 피해가 발생했다.
이 서비스는 스마트폰 등 기기와 예금계좌를 연계, 물건을 구매할 수 있도록 해주는 것으로 본인확인 절차가 없는 게 특징. 이름, 계좌번호, 현금자동입출금기(ATM) 비밀번호 4자리만 있으면 타 은행 계좌와 연결 가능한 게 이번에 문제가 됐다. 제3자가 해당 정보를 입수, 도코모 계좌를 개설해 예금주 몰래 돈을 사용한 것이다.
미치히로 이사장은 "도코모 계좌뿐 아니라 다양한 결제 시스템에서도 같은 문제가 발생하는 등 그 위험성이 지속되고 있다"고 설명했다.
이는 최근 비대면 업무 환경으로 확대로 인터넷 서비스 등 사용이 늘고 있는 것도 영향을 미쳤다는 게 그의 진단이다.
그는 도코모 사고와 관련 "기존에도 계좌번호와 비밀번호 취약성은 존재해왔으나 인터넷 서비스로 인해 해저드로 부상하고 있다"며 "해당 정보에 접근할 수 있는 공격면이 추가로 생겼다는 의미"라고 강조했다.
이어 "경영자 입장에서는 앞으로 (서비스 등 측면에서) 공격면이 될 곳은 어디인지, 해저드를 계측해야 할 필요가 있다"고 덧붙였다.
이 같은 늘고 있는 해저드에 대응하기 위해 4가지 고려사항도 소개했다. 각 금융기관에서 해저드 맵 내실화 및 정기적 재검토, 금융기관 간 해저드 맵 공유, 사업 파트너와 해저드 맵 공유, 금융기관 별 해저드 관리 책임자 지정 등이 필요하다는 설명이다.
그는 비대면 시대 원격근무 환경 마련에 대해서도 "IT 측면에서 충분한 인프라를 확보하고 가상사설망(VPN)/단말 등 보안환경을 제대로 관리해야 한다"며 "일본의 경우 제로 트러스트 모델이 주목받고 있다"고 말했다.
제로 트러스트는 모든 요소를 위험하다고 보고 그 누구도 믿을 수 없다는 데에서 시작한다. 기업 시스템에 접근하는 모든 것을 보안 위협으로 여긴다는 뜻이다. 기존에는 시스템 외부에만 보안 위협이 존재한다고 여겼다면 제로 트러스트는 내부와 외부가 모두 위험하다는 것을 전제로 한다.
이날 박찬암 스틸리언 대표 역시 특별강연을 통해 원격근무 환경의 보안 위협을 지적하기도 했다.
특히 VPN 환경 관련 그는 "VPN 클라이언트와 서버 보안이 제대로 이뤄져 있다고 가정할 경우 사용자 개개인의 기기 보안이 가장 중요하다"고 강조했다.
또 "기기 단에서 해커가 개입해 있다면 VPN 상에서 이동 데이터를 암호화하는 것은 소용 없게 된다"고 덧붙였다. 업무에 활용하는 기기의 보안이 그만큼 중요하다는 얘기다.
최은정 기자 ejc@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기