• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

사이버 보안, 금융 산업과 정부 조직의 가장 큰 관심사 2016.11.10

사이버 보안 자체의 영역 커지는 중...IT에서 경영으로
북미 관계자들은 사이버 공격에 큰 위기 느껴...유럽은 브렉시트

[보안뉴스 문가용 기자] 전 세계 금융 시스템에 가장 큰 위협이 되는 건 사이버 공격이라는 연구 결과가 발표되었다. 거래정보 저장소 사업자인 DTCC가 최근 3사분기 보고서 작성을 위해 설문을 실시했는데 22%의 응답자가 금융 시스템의 가장 큰 위협으로 사이버 공격을 꼽은 것. 또한 56%가 Top 5 위협 중 하나로 사이버 공격을 포함시키기도 했다. 그밖에 다른 Top 5 위협에는 미국 대선이나 브렉시트 사태와 같은 지정학적인 변수들이 많이 꼽혔다.


사이버 보안이 전 세계 금융 시스템을 크게 위협하고 있다는 현상은 새로운 발견이 아니다. DTCC의 CRO인 마이클 레이브록(Michael Leibrock)은 “DTCC의 1사분기 보고서 결과와 동일하다”며 “2013년부터 사이버 공격과 위협은 꾸준히 상위권에 랭크되어 왔다”고 설명했다. “다만 그때와 지금의 차이점은 사이버 공격이란 것이 돌발적으로 운 없는 사람들을 덮치는 위협이었다면, 지금은 꾸준하게, 항시 발생하는 위협이 되었다는 겁니다.”

금융 기관으로의 사이버 공격은 두 가지 손실을 가져다 준다. 하나는 금전적인 손실, 다른 하나는 고객 신뢰의 손실이다. 그렇기 때문에 공격자로서는 매우 효과적이고, 방어자로서는 매일이 살 떨리는 긴장감의 연속이다. “하지만 사이버 위협이란 것이 조만간 사라질 것이라고 보이지는 않습니다. 아마도 상당 기간 저희의 그림자처럼 붙어 있는 존재가 될 가능성이 더 크죠.”

정보보안과 사업 운영과 관련된 리스크 관리가 업무 환경에서 점점 맞물리는 분위기가 되면서 정보보안이 IT의 하위 분야에서 벗어나고 있다. 그러면서 사이버 보안에 대한 관심 역시 증가하고 있다. “지금은 사이버 보안이 IT 영역에서 벗어나 경영의 일부가 되어가는 것이 목도되는 때입니다. 저희와 같은 사람들이 정보보안을 처음 접하고 공부했을 때와는 완전히 다른 스케일이 되었어요.” DTCC의 CSO인 스티븐 샤프(Stephen Scharf)의 설명이다.

또, 같은 금융 시스템이라고 하더라도 지역마다 정보보안에 대한 인식이 조금씩 다르다는 사실도 이번 조사를 통해 나타났다. 북미 지역의 응답자 중 57%가 사이버 공격이 가장 상위의 위협이라고 답한 반면 그 외 지역의 응답자들 중 46%만이 같은 답을 했다. 약 11% 포인트의 차이를 보인 것. 하지만 왜 유독 북미 지역의 금융 관계자들만이 사이버 공격에 민감한 것인지는 정확히 파악하지 못했다.

“왜 북미 지역만 사이버 공격에 대한 걱정이 심할까요? 정확히 파악할 수는 없었습니다. 설문 응답자들을 전부 인터뷰하지 않는 이상 가설을 세우는 데에서 그치겠죠.” 레이브록의 설명이다. “저의 가설은, 미국에서 일어난 대규모 사이버 보안 사고 때문인 것 같습니다. 유럽의 응답자들은 가장 큰 금융 위협으로 브렉시트를 꼽았거든요. 왜냐하면 그들과 더 ‘가까운’ 문제이기 때문이죠. 대형 보안 사고가 더 ‘가까운’ 데서 일어나는 미국인들이 보안 사고를 1위로 꼽은 것도 비슷한 이유라고 봅니다.”

한편 사이버 보안을 가장 큰 위협으로 보고 있는 건 금융 기관만이 아니다. 레이브록은 “사실은 입법 기관 및 사법 기관만큼 사이버 보안에 관심이 많은 곳은 없다”고 귀띔한다. “3주 전, 연방준비이사회(FRB), OCC, FDIC가 사이버 보안의 기능에 관한 제도 만들기라는 주제로 힘을 합한다는 발표를 했죠. 특히나 CISO의 역할이나 거버넌스의 개념을 다룬다고 했는데, 더 자세한 내용은 알려진 바가 없고요. 그러나 사이버 보안이란 것은 조직마다, 산업마다 유연하고 다르게 도입되어야 하는 겁니다. 누군가 꼭대기에서 천편일률적으로 정하면 실패할 수밖에 없어요. 그래서 이런 정부기관의 움직임이 반갑지만은 않습니다.”

샤프는 “물론 정부조직들이 사이버 보안에 집중하고 있다는 사실 자체는 좋은 소식”이라고는 한다. “하지만 실질적이고 효율적인 뭔가가 아직까지 등장한 적이 없죠. 조직의 기능과 역할에 따라 사이버 보안을 다르게 보고 해석할 수밖에 없으니까요.” 이런 좌충우돌의 과정이 있기에 사이버 보안의 덩치가 커질 수 있는 것도 같다고 그는 덧붙인다. “사이버 보안에 대한 본질적인 이해를 위해 더 탐구하고 고민하고, 또 알려야 할 때입니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>