최근 급증하는 보험업계 대상 사이버 범죄
기술적 변화에 뒤처진 데다 데이터 보유량 커
미 보험회사 CISO, 자사 보안 정책의 성공 비결 소개

[보안뉴스 오다인 기자] 전통적으로 보험업계는 기술 변화를 잘 따라잡지 못했지만 사이버 범죄가 급속하게 증가함에 따라 보안 강화를 위한 노력에 속도를 붙이고 있다.

공격자들은 돈을 벌기 위한 직접적인 자원으로 금융 서비스에 점점 더 큰 관심을 보이는 중이다. 보험 종사자는 공격자들의 우선 공격 대상으로 고려되지 않았으나 여러 금융 회사들이 강화한 보안 정책을 적용시켜 나감에 따라 보험회사를 타깃으로 한 공격이 예전보다 빈번해지고 있다.


미국 보험회사 아플락(Aflac)의 CISO 팀 캘러한(Tim Callahan)은 “지난 몇 년 간 범죄자들이 보험회사에 더 관심을 갖게 됐다”고 말한다. “은행들이 자사 보안을 강화해 (공격할) 기회가 적어져 공격자들은 보험회사들, 특히 헬스케어 쪽 보험회사들에 주목하게 됐습니다. 이런 회사들에 데이터가 많다는 사실을 파악했기 때문이죠.”

많은 보험업체가 사이버 범죄에 맞닥뜨리고 있고, 특히 소규모 업체들이 계속 당하면서 보험 종사자들은 현재 대항할 힘을 기르는 중이다. 해커들은 보험사기를 성공시키기 위해 다양한 전술을 구사하고 있는 것이 사실이다.

피싱은 보험 종사자의 환경에 발 들이는 데 필요한 관리 크리덴셜을 얻기 좋은 방법이다. 이런 공격은 경영 간부들을 대상으로 자주 행해지는데, 범죄자들이 대화를 통해 정보를 빼내기 좋은 대상이기 때문이다. 범죄자들이 일단 크리덴셜을 확보하고 나면, 경영 간부인 척하면서 이메일 공격을 감행하거나 회사 이메일 계정 사기를 통해 회사 외부로 송금하도록 유도한다.

“특권층 사용자의 계정이 더 취약합니다.” 캘러한은 “바로 그것이야말로 범죄자가 원하는 것이기 때문”이라고 설명했다.

캘러한은 이 같은 위협에 대항하기 위해 보험 종사자들이 새로운 기술과 전략들을 적용할 수밖에 없었다고 말했다. 아플락에서 캘러한은 공격으로부터 직원 및 사용자 데이터를 보호하기 위해 몇 가지 이니셔티브를 선도적으로 지휘한 바 있다.

아플락은 연례 보안 훈련을 뛰어넘는, 보다 엄격한 직원 자각 프로그램을 실행해오고 있다. 해당 프로그램은 지속적인 교육 모델로, 피싱에 대비한 실전 연습을 항시 진행한다. 예컨대, 직원들은 가짜 피싱 이메일을 받게 되고, 이런 사기에 넘어가면 어떻게 될지 등을 생각하며 보다 큰 경각심을 갖게 되는 식이다.

캘러한은 무엇보다 인증절차 향상에 주력한다. 구체적으로, 어떤 종류의 원거리 접근이라도 다중 요소로 인증 받게 하는 것을 말한다. 그는 직원 및 고객 양측 모두와 관련해 신원 접근 관리를 크게 강조하며, 공격 받기 쉬운 경영자 계정을 보호하기 위해 고위층의 접근 훈련 프로그램을 시작해서 운영해오고 있다.

캘러한은 측정 지표를 통해 해당 팀이 얼마나 노력했고 진보했는지 파악할 수 있다고 말한다. “저희가 달라졌다는 걸 스스로 목격할 수 있었고, 또 예전보다 훨씬 더 효과적이 됐다는 걸 알 수 있었습니다.” 그는 이것만으로도 조직이 옳은 방향으로 전진하고 있다고 할 수 있지만 할 일은 더 남아있다고 말했다.

이 같은 이니셔티브와 더불어 아플락에는 보안을 강화하는 몇 가지 주요한 장기 프로젝트가 있다. 캘러한은 아플락이 새로운 고객 인증 플랫폼의 초기 단계에 있다고 설명했다. 이 프로젝트는 2018년 중간쯤 완성될 것으로 예상한다고 그는 덧붙였다.

그는 취약점 관리, 정보 거버넌스, 데이터 보호에 중점을 둔 프로젝트들도 감독하고 있다. 정보 거버넌스와 데이터 보호라는 두 가지 이니셔티브는 아플락의 정보를 완전히 보호되는 환경 내에 구축하기 위해 겹쳐지는 것들이며, 2019년 완성될 것으로 기대된다고 캘러한은 말했다.

“저희는 어디에 정보가 있는지 밝혀내고, 이를 자동화한 절차를 통해 실행하고, 공유되지 말아야 할 정보 조각들이 어디에 놓여있는지 찾아내고, 나아가 이 모든 걸 보다 안전한 환경에서 수행하는 과정 중에 있습니다.” 캘러한은 말을 이었다.

가장 큰 숙제 중에 하나는 강력한 위협 첩보 프로그램을 확보하고 다른 사업체와 정보를 공유하는 부분이다. 점점 더 많은 보험 종사자들이 금융서비스 정보공유 및 분석센터(FS-ISAC: Financial Services Information Sharing and Analysis Center) 내에서 협력하고 있는 중이다. 보험업체 간 멤버십이 증대하는 상황을 두고 캘러한은 “역사적으로 보험회사들이 이렇게 협력한 경우는 없었다”고 언급했다.

최고급 경영진을 완전히 참여시키기
자사의 보안을 향상시키려는 회사에게 캘러한은 고위급 경영진을 해당 프로세스의 조기 단계에 관여시키라고 충고한다.

“아플락 최고급 경영자 전원이 이 모든 절차의 뒷배가 돼주고 있습니다. 이 프로젝트들을 전 직원에 전수하는 데 큰 지원군이 돼주는 셈입니다.” 캘러한은 말했다. “저희 경영진 중에 우리가 무엇을 하고 있고 왜 하는지 모르는 사람은 단 한 사람도 없습니다. 제 생각엔 이것이야말로 우리 성공의 가장 큰 비결입니다.”

이 같은 지원을 확보하는 건 투명성을 담보로 하는 일이다. 캘러한은 해당 프로젝트들을 수행하는 데 비용이 많이 들 것이고 완료까지는 수년이 걸릴 거란 사실을 이사회에 설명해야만 했다고 말했다. 열린 소통은 다소 간의 반발이나 거부감을 일으킬 수 있다고 인정하면서도 캘러한은 이 같은 방식이 궁극적으로 큰 도움이 될 것이라고 강조한다.

하지만 새로운 기술을 적용하기 전에 기본으로 돌아가보는 것이 반드시 필요하다고 캘러한은 지적했다. 자사의 보안 전략을 정의하고 사업내용과 묶어서 생각해보는 것, 그리고 해당 프레임워크를 평가하고 지향점과 현실 사이 어떤 간격들이 존재하는지 직시하는 것이 먼저라는 얘기다.

“어떤 회사들은 기술로 무작정 내달려서 화려한 기술을 시행하기 시작하지만, 그러는 동안 기본을 돌아보고 확인하지 않았다면 여전히 구멍들이 남게 됩니다.” 캘러한은 “어려운 문제에 맞닥뜨리게 되면, 지원조차 잃게 될 것”이라고 경고했다.
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>