디지털 전환이 가속화되면서 금융 산업은 오픈 뱅킹 API, 서비스형 뱅킹(BaaS), 임베디드 파이낸스, 클라우드 마이그레이션, 인공지능(AI) 등 새로운 기술을 빠르게 도입하고 있다. 이러한 변화는 고객 중심 혁신과 운영 효율성을 높이지만, 동시에 복잡하고 넓어진 공격 표면을 만들어 새로운 보안 위협을 초래하고 있다.
글로벌 보안 기업 카스퍼스키(Kaspersky, 지사장 이효은)가 금융 산업의 디지털 전환 트렌드와 사이버 보안 대응 전략을 제시하는 ‘2024년 IT 보안 경제 보고서(IT Security Economics 2024)’를 발표했다.
보고서에 따르면, 은행·보험·금융기관은 연간 평균 120만 달러를 사이버 보안에 지출하고 있다. 그러나 대규모 보안 사고의 평균 피해액은 약 320만 달러로, 보안 투자 대비 2.7배의 손실이 발생하고 있다.
카스퍼스키 아드리안 히아(Adrian Hia) 아시아태평양 총괄 사장은 “디지털 전환은 성장과 고객 경험 향상의 필수 요인이지만, 진화하는 위협 환경에서는 단 한 번의 실수도 심각한 결과를 초래한다”며 “보안을 전략적이고 통합적인 관점에서 재정립해야 한다.”고 강조했다.
금융 디지털 전환, 새로운 공격 표면의 확장
금융 산업은 오픈 뱅킹 API, BaaS, 임베디드 파이낸스, 클라우드, AI를 중심으로 초연결 생태계로 진화하고 있다. 오픈 API는 혁신의 기반이지만, 각 엔드포인트가 해커에게 침입 경로가 될 수 있다. 따라서 설계 단계부터 보안을 내재화하고, 데이터 교환의 무결성을 보장하는 규정 준수 체계가 필수적이다.
BaaS는 사전 구축된 인프라를 활용해 은행 서비스를 빠르게 배포할 수 있도록 하지만, 파트너 간 위험이 공유되는 구조로 인해 단일 침해가 전체 생태계의 신뢰를 위협할 수 있다. 임베디드 파이낸스는 리테일 앱, 배달 서비스 등 비금융 영역에 금융 기능을 통합하면서 기존 경계를 넘어선 새로운 공격 표면을 형성한다. 이를 보호하기 위해서는 실시간 모니터링과 종단간 보안 체계가 필요하다.
클라우드 마이그레이션은 확장성과 유연성을 높이지만, 설정 오류나 책임 불명확성으로 인한 데이터 노출 위험이 크다. 카스퍼스키 보고서에 따르면, 금융업계 리더의 25% 이상이 클라우드 보안을 가장 큰 사이버 우려로 꼽았다. AI의 도입률도 75%에 달하지만, 모델 조작·합성 사기·AI 기반 피싱 등 새로운 위협이 등장하고 있다. 이러한 환경 속에서 금융기관은 혁신의 속도만큼 보안 체계의 정교함을 확보해야 한다.
데이터 탈취와 APT 위협 급증...회복탄력적 보안으로 대응
2024년 금융 부문에서 발생한 보안 사고의 42%는 랜섬웨어가 원인이었으며, 24%는 은행 고객을 노린 피싱 공격이었다. 또 25% 이상은 인적 오류에서 비롯됐고, 카드 정보 탈취 사례는 감염된 14건 중 1건꼴로 보고됐다. 여기에 카바낙(Carbanak)과 같은 APT 조직이 제로데이 취약점과 공급망 약점을 악용해 수십억 달러 규모의 공격을 수행하는 등 위협은 한층 고도화되고 있다.
카스퍼스키 이효은 한국지사장은 “가장 신뢰받는 도구조차 취약점이 될 수 있다.”며 “지난해 금융기관은 전체 보고된 보안 사고의 18%를 차지하며 모든 산업 중 가장 높은 비중을 기록했다.”고 밝혔다. 이어 “기술 발전이 성장의 동력이지만, 생존을 위해서는 적응형·통합형·탄력적인 보안 시스템이 필요하다”고 덧붙였다.
카스퍼스키는 금융 기관의 보안 강화를 위한 3단계 전략을 제시했다. 첫째, 인프라 전반의 취약점을 사전 점검하고 공격자보다 먼저 대응해야 한다. 둘째, 공격 벡터를 통합 모니터링할 수 있는 플랫폼을 구축하고 신속 대응 체계를 마련해야 한다. 셋째, 위협 인텔리전스를 기반으로 지속적 학습을 수행해 피싱 탐지와 보안 인식을 강화해야 한다. 카스퍼스키는 “최첨단 기술과 교육, 파트너십이 결합될 때 회복탄력적인 금융 인프라를 구축할 수 있다”고 강조했다.
디지털 금융의 미래는 혁신과 방어의 균형 위에서 결정된다. 카스퍼스키는 28년 이상 글로벌 금융기관을 보호해온 경험을 바탕으로, 기술 진화의 속도에 맞춘 통합 보안 전략을 제시하고 있다. 금융 산업이 장기적 성장을 지속하기 위해서는 혁신의 속도만큼 방어 역량을 강화하는 것이 필수적이다.
관련기사
- AI 봇 트래픽 300% 급증...웹 기반 비즈니스 모델에 ‘경고등’
- AI 사기 공포 확산...소비자 85% “AI로 사기 탐지 더 어려워질 것”
- 진화하는 피싱 사기에 대처하는 12가지 소비자 안전수칙
- 내부 위협 보호, 기업 보안 최우선으로 급부상
- 보안 앱 가장한 스파이웨어 ‘루나스파이’, 안드로이드 기기 3천건 이상 공격 탐지
- 사기 피해 막는 사용자 행동 분석 기술...탐지율 50% 향상으로 금융권 주목
- 금융 서비스 공급망 보안, 제3자 위험이 새로운 취약점으로 부상
- 온라인 사기 막는 통합 보안 시스템
- 금융 사이버 위협, 암호화폐·모바일 중심으로 재편
- 랜섬웨어 복구의 핵심, ‘교육·암호화·백업’으로 완성
- 아태지역 기업 79%, AI 통합 위협 인텔리전스로 ‘지능형 방어’ 확대
- 섀도 AI, 조직 내 ‘보안 사각지대’로 확산...통제 불능 리스크 확대
- 사이버 침해 폭증 시대, 클라우드 액세스 관리가 필수 인프라로 급부상
- 사이버 위험 노출 전면 가시화...중소기업 복원력 높이는 통합 위험 인텔리전스 플랫폼
- 카스퍼스키, 자동차 기능 안전 글로벌 표준 ‘ISO 26262’ 인증 획득
- 실시간 이해도 기반 AI 학습엔진…투자 판단력 강화하는 실전형 교육 구조
- AI 고객경험, ‘마케터 86% vs 소비자 35%’ 충격 격차...‘실시간 데이터·운영 준비도 검증’ 시급
- 제로데이·웹GPU·상업용 스파이웨어 연결한 복합 공격... ‘오퍼레이션 포럼트롤’ 전모 드러나
- 클라우드 전환의 함정, ‘접근 거버넌스’ 실패가 보안 위협 증폭
- 카스퍼스키, 사이버 보안 인재 양성 플랫폼 ‘사이버 패스웨이’ 공개
- “주말은 공격 시간” 랜섬웨어 52% 집중...기업 보안체계 흔들린다
- 폭증하는 에지 AI 연산...초소형·저전력 COM-HPC가 답이다