핀테크 기업이 놓쳐서는 안 되는 것이 바로 보안과 개인정보 보호이다. 핀테크 기업은 사이버 보안, 데이터 보안 및 개인정보 보호를 다루는 효과적인 방법을 계획하고 시작해야 한다. 서비스가 고도화될수록 핀테크 회사와 서비스를 사용하는 고객에게 위험이 증가하기 때문에 갈수록 고도화된 서비스를 제공하기 위해서는 보안과 개인정보보호가 필수적이다. 빅데이터 자체에는 직접적인 개인정보가 제거되지만, 많은 회사에서 빅데이터에 의존한다는 것은 점점 더 많은 개인 및 독점 데이터가 악의적인 개체의 침입 및 액세스에 취약하다는 것을 의미한다.
안타깝게도 보호 수단이 충분하지 않아 악의적인 침입자가 데이터에 액세스하고 악의적인 사용에 노출이 되어, 핀테크 회사의 평판이 나빠지는 경우가 요즘 많이 보고되고 있다. 그렇다면 핀테크 회사는 자신과 고객을 최대한 보호하기 위해 어떻게 해야 할까? 잘못될 수 있는 일을 예상한 다음 사이버 보안, 데이터 보안 및 개인정보 보호 영역에서 심각한 문제가 발생하지 않도록 강력하고 효과적인 조치를 취하는 것은 물론, 해당 보호 조치가 제품 및 서비스 수명 주기 내내 지속되어야 한다.
기관 및 소비자 데이터를 적절하게 보호하려면 핀테크 커뮤니티 내 모든 측면의 보안이 최우선 순위가 되어야 한다. 또한, 모든 핀테크 회사는 규모에 관계없이 전체 금융 서비스 산업 인프라를 보호하는 데 필요한 일을 수행해야 할 책임이 있다. 특히 많은 금융 거래가 상호 연결된 글로벌 데이터 통신 엔터프라이즈에서 발생하기 때문에 전반적인 취약성이 증가하기 때문이다.
핀테크 회사가 적절하고 적극적으로 준비해야 하는 핵심 보안 관련 문제의 예를 들자면, 데이터 유출, 데이터 손실, 계정 도용, 서비스 거부 공격, 내부자 위협, 멀웨어 주입, 불충분한 실사, 안전하지 않은 API, 클라우드 서비스 남용, 공개된 취약점 등을 들 수 있다.
사이버 범죄와 그 역사
현대 기술은 정부, 금융기관, 기업 및 사람들을 연결한다. 디지털 기술은 이 연결을 위한 플랫폼을 제공하며 수많은 중요한 장점을 제공하지만, 또한 부도덕한 개인이 기물 파손에서 기밀 정보 도용에 이르기까지 범죄 활동을 지속할 수 있는 방법 역시 제공한다.
해킹은 절차 또는 제품을 변경하여 문제를 해결하거나 작동 방식을 변경할 수 있다. 해킹은 1960년대에 생긴 용어로, MIT의 취미 동아리인 TMRC(Tech Model Railroad Club)에서 학생들이 학교 측의 통제를 뚫고 전산실에 잠입하여 DEC의 컴퓨터를 사용하던 행위에 붙여진 용어였다. 그들은 전체 장치를 재설계할 필요 없이 일부 기능을 변경할 수 있는 방법을 찾았다.
이들 개인의 호기심과 수완은 초기 컴퓨터 시스템의 컴퓨터 코드를 배우도록 이끌었다. 키스 톰슨(Keith Thompson)과 데니스 리치(Dennis Ritchie)는 원래 시스템을 해킹하고 UNIX 운영 체제를 개발했다. 해킹이라는 용어는 기능을 향상시키거나 장치 또는 제품의 문제를 해결하는 독창적인 방법으로 시작되었으나, 요즘 일반인들에게는 나쁜 측면이 좀더 부각되는 경향이 있다. 그 이유는 1970년대 해킹은 악성 해킹이 많았기 때문이다. 예를 들어, Phreaker처럼 무료로 장거리 전화를 도용하고, 다른 용도로 사용하기 위해 소프트웨어와 하드웨어를 해킹하는 경우가 많았다. 게다가 법 집행 기관은 해커를 기소할 수 있는 적합한 법이 없었기 때문에 해킹을 다루기가 어렵다는 것을 알게 되었다. 더욱이 조사관에게는 기술적 능력이 없었기 때문에, 통신 및 컴퓨터 시스템이 복잡해짐에 따라 사이버 범죄자들도 더 많은 기회를 얻었다.
Lawrence Berkeley National Laboratory의 시스템 관리자인 클리포드 스톨(Clifford Stoll)은 1986년에 회계상의 불규칙성을 발견했다. 그는 무단 사용자가 자신의 컴퓨터 네트워크에 액세스하고 있는지 감지하는 최초의 디지털 포렌식 기술을 발명했다. 그의 허니팟 전략은 침입의 원인을 찾기에 충분한 데이터를 수집할 때까지 해커가 네트워크로 들어오도록 유도했다. 결국, 그의 전략은 도난당한 군사 데이터를 KGB에 판매한 마커스 헤스(Markus Hess)와 그의 동료들을 체포하는 데 일조했다.
1990년 한 해 동안 150명의 FBI 요원이 최소 2만 개의 플로피 디스크와 42대의 컴퓨터를 압수했지만, 집행 과정에서 법 집행관이 실수할 수도 있다. 예를 들어, Steven Jackson Games라는 출판회사는 불법 복제된 문서를 소지한 것으로 기소되었다. 미국 국토안보부는 회사의 컴퓨터를 압수했고 출판회사는 마감일을 놓쳤으며 직원은 해고됐다. 국토안보부는 컴퓨터를 반환했지만 컴퓨터 데이터는 삭제되었다. 1990년, 법 집행관, 변호사, 기술자 및 기타 전문가의 실수 및 과도한 활동으로 인해 발생한 시민의 자유에 대한 위협으로 인해 프런티어 전자 재단(EFF, Electronic Frontier Foundation)이 설립되어 소비자를 불법 기소로부터 보호하기 시작했다.
ILOVEYOU 및 멜리사(Melissa)와 같은 바이러스는 수백만 대의 개인용 컴퓨터를 감염시켰으며 이로 인해 전 세계 이메일 시스템 오류가 발생했다. 이와 같은 사고에 대비하기 위해 바이러스 백신 기술을 개발하여 바이러스를 인식하고 예방했다. 또한, 사람들은 신뢰할 수 없는 출처의 첨부 파일을 여는 것의 리스크에 대해 인식하기 시작했다.
2000년대 후반, 신용카드는 공격의 초점이 되었다. 알버트 곤잘레즈(Albert Gonzalez)라는 해커는 영국 매장 TK Maxx와 미국 소매 업체 TJX의 고객 거래에서 신용카드 정보를 훔쳤다. 보고서에 따르면 보안 위반으로 약 2억 8,200만 달러가 손실되었다고 한다.
2006년 아이슬란드의 Sunshine Press는 비밀 뉴스, 정보 및 기밀 미디어를 비공개 소스에서 유출하는 비영리 단체인 위키리크스(WikiLeaks) 웹 사이트를 시작했다. 이 웹 사이트에 따르면 이 그룹은 약 120만 건의 문서를 공개할 계획이었다. 줄리안 어산지(Julian Assange)는 이 그룹의 창립자, 감독 및 편집장으로 알려져 있다. 어산지의 다른 동료로는 사라 해리슨(Sarah Harrison), 조셉 패럴(Joseph Farrell) 및 크리스틴 흐라픈손(Kristinn Hrafnsson)이 있다.
위키리크스가 발표한 많은 문서들이 메인 뉴스가 되었다. 공개된 문서 중 일부는 이라크와 아프가니스탄 전쟁에 관한 것이었으며, 미국 민주당과 힐러리 클린턴에 피해를 준 이메일도 공개되었다.
사이버 보안 분야
사이버 보안은 기술 분야에서 가장 빠르게 성장하는 분야 중 하나이다. 지난 10년 동안 미국 연방정부는 사이버 보안에만 1천억 달러 이상을 투자했다. 2016년 미국 대통령 선거가 사이버 범죄자들에 의해 확실히 영향을 받았다는 사실을 고려하지 않더라도 이것은 분명히 중요한 문제이다. 평균적으로 사이버 공격은 보고되지 않은 사이버 범죄를 제외하고도 연간 최대 5천억 달러의 기업 비용이 발생한다.
2014년 기업 IT 분야에 치명적인 손상을 초래한 보안 버그인 Heartbleed는 수십억 달러의 금전적 피해를 입혔다. 직접적인 손해는 물론 공격 이후 업무 중단에 대한 비용을 계산해야 하기 때문에 침해 건당 비용을 산정하는 것은 쉽지 않다. 연구 회사와 업계 분석가 및 공급 업체는 서로 다른 공식과 추정치를 제공한다. 미국의 사이버 보험 시장은 2015년 기준 25억 달러로 성장했으며, 전 세계적으로 크게 성장하고 확장되고 있다. 금융 및 은행 서비스도 사이버 보안 시장으로 확대되고 있으며, IoT의 성장은 또한 보안 지출을 증가시킬 것이다.
전 세계적으로 이스라엘은 미국에 이어 두 번째로 큰 사이버 제품 수출국이다. 서비스 거부 공격(Denial of Service)이 흔해지고, 기업들의 모바일 기기 및 클라우드 컴퓨팅의 채택으로 인해 아시아 태평양 시장도 발전하고 있다. 라틴 아메리카 지역에서는 사이버 보안 및 사이버 범죄에 대한 비용도 증가하고 있는 반면, 글로벌 사이버 보안 인력은 매우 부족한 실정이다.
사이버 범죄의 유형
사이버 범죄에는 여러 유형이 있다. 이 섹션에서는 주요 내용에 대해 간단히 설명한다.
– 백도어
백도어는 알고리즘, 암호화 시스템 또는 컴퓨터 시스템에서 보안 제어 또는 일반 인증을 우회하는 방법이다. 구성이 잘못되었거나 독창적인 디자인으로 인해 의도치 않게 발생할 수도 있다. 승인된 직원이 백도어를 추가하여 다른 사람에게 무단 액세스를 제공할 가능성도 있으며, 부도덕한 내부인이 악의적인 의도로 이를 추가할 수도 있다. 그러나 이유가 무엇이든 백도어는 취약점의 여지를 주는 attack surface를 추가하는 것이다.
– 분산 서비스 거부 공격(DDOS)
서비스 거부 공격은 네트워크나 시스템을 중단시킬 수 있다. 네트워크나 컴퓨터의 기능을 오버로드하여 의도한 사용자에 대한 서비스를 거부한다. 또한 의도적으로 잘못된 비밀번호를 입력하여 피해자의 계정을 잠근다. 새 방화벽 규칙을 추가하면 특정 IP 주소로 인한 네트워크 공격을 차단할 수 있다. 그러나 봇넷 및 증폭 및 리플렉션 공격과 같은 다른 기술에서 발생할 수 있는 수많은 분산 서비스 거부 공격으로부터 네트워크를 방어하는 것은 어렵다.
– 피싱
피싱은 사용자에게 원본 사이트와 동일한 가짜 사이트에 세부 정보를 제공하도록 지시한다. 신용카드 정보, 비밀번호 및 사용자 이름과 같은 사용자 정보를 얻어서 사용자의 자산을 탈취한다. Ponemon Institute가 수행한 조사에 따르면 피싱 공격이 성공했던 기업의 연간 비용은 약 370만 달러 수준이었다.
– 클릭 재킹(Clickjacking)과 스푸핑(Spoofing)
사용자 인터페이스 구제 공격 또는 UI 구제 공격으로 알려진 공격자는 사용자가 다른 웹 페이지에서 링크 또는 단추를 클릭하도록 속일 수 있다. 다시 말해 공격자는 사용자의 클릭을 가로 채고 있다. 악의적이거나 사기성 활동인 스푸핑은 공격자가 알려진 소스로 위장하여 수신자와 통신하는 것이다. 이는 보안 수준이 낮은 장치에 공통으로 시도해볼 수 있는 공격이다.
– 사회 공학(Social Engineering)
사회 공학 공격은 사용자가 민감한 정보를 공개하도록 유도하는 사기 유형이다. 예를 들어, 공격자는 재무 및 회계 부서에 가짜 CEO 전자 메일을 보내는 것과 같은 것이다. 2016년 FBI 보고서에 따르면 2013년 10월부터 2016년 2월까지 누적 피해액은 약 23억 달러였다고 한다.
– 직접 액세스 공격
컴퓨터 액세스 권한이 있는 인증된 사용자는 데이터를 복사하거나 운영 체제를 수정하거나 무선 마우스를 사용하거나 비밀 청취 장치, 키 로거 또는 소프트웨어 웜을 설치할 수 있다. 표준 보안 조치는 시스템을 보호할 수 있지만, 도구를 사용하거나 다른 운영 체제를 부팅하면 이러한 조치를 우회할 수 있다. TPM(Trusted Platform Module) 및 디스크 암호화는 직접 액세스 공격을 방지하는 기본적인 방법 중의 하나이다.
– 도청
도청은 실시간으로 개인 통신을 무단으로 가로채는 것이다. 예를 들어, NarusInsight 및 Carnivore 프로그램은 인터넷 서비스 제공 업체의 시스템을 도청한다. 암호화가 없거나 약한 경우 폐쇄된 시스템에서 도청되기도 한다.
사이버 보안 카테고리 및 주요 업체
사이버 보안은 상당히 세분화되어 있으며 많은 스타트업이 있다. 이들은 아래 11가지 범주로 나누어 볼 수 있으나, 그 구분은 점점 희미해지고 분야별 통합이 이루어지고 있다.
네트워크 및 엔드 포인트 보안
네트워크 및 엔드 포인트 보안에는 원격 장치로부터 회사 네트워크를 보호하는 데 사용되는 방법이 포함된다. 회사 네트워크에 연결된 모든 원격 장치는 잠재적인 보안 위협이 될 수 있다. 따라서 회사 네트워크와 엔드 포인트를 모두 보호할 필요가 있다.
레드 카나리(Red Canary)는 이 분야에서 주목받는 스타트업 중 하나이다. 이 제품은 태블릿, 랩톱 및 회사 직원의 기타 전자 장치의 원격 연결로 인한 취약점으로부터 회사의 컴퓨터 네트워크를 보호하는 데 특화되어 있다. 반면 사일런스(Cylance)는 AI 알고리즘을 사용하여 엔드 포인트의 맬웨어 및 극단적 위협을 식별하고 방지한다.
IoT / IIot 보안
IoT 보안은 IoT에 연결된 네트워크 및 장치의 보호를 말하며, 여기에는 고유 식별자로 자동으로 데이터 전송을 시작할 수 있는 기기 및 대상이 포함된다. 주요 문제는 제품 디자인에 종종 보안이 포함되지 않는다는 것이다. 대부분의 IoT 제품에는 패치가 적용되지 않은 오래된 임베디드 소프트웨어와 운영 체제가 있다. 따라서 이러한 장치는 주요 공격 대상 중 하나가 될 수밖에 없다.
우리가 이미 자동차와 드론의 해킹을 통해 발생할 수 있는 엄청난 결과를 봤을 때, IoT 보안이 점점 중요해질 것이다. 아구스 사이버 시큐리티(Argus Cyber Security)는 연결된 차량 보호에 중점을 둔 사이버 보안 스타트업이다. 반면 인디지(Indegy)는 수도 시설, 제조 시설, 에너지, 석유 화학 플랜트 등과 같은 주요 인프라에서 산업 제어 시스템에 대한 보안을 제공한다.
위협 인텔리전스
위협 인텔리전스 활동은 조직에 대한 현재 또는 잠재적 공격에 대한 정보를 구체화, 분석 및 체계화한다. 기업이 외부 위협의 위험을 이해하도록 돕는다. 기업이 피해를 입는 공격으로부터 스스로를 보호할 수 있도록 심층적인 정보를 제공한다. 플래시포인트(Flashpoint)는 웹에서 악의적인 활동을 대상으로 하여 위협과 공격을 노출하고 방지하는, 좋은 위협 인텔리전스 제공 업체 중 하나이다.
모바일 보안
모바일 보안에는 휴대폰에 저장된 비즈니스 및 개인정보의 보안이 포함된다. 스마트 폰은 민감한 정보가 저장되어 있고, 사용자가 특정되는 경우가 대부분이기 때문에 스마트 폰 사용자의 개인정보 보호 측면에서 매우 중요하다. 기업의 시각에서도 BYOD로 인해 직원의 모바일 단말의 보안은 회사의 지적 재산에도 영향을 미칠 수 있기 때문에, 개발자에서 최종 사용자에 이르기까지 모든 여정에서 각 참여자들이 모바일 정보 보안 의식을 가지는 것이 바람직하다. 에스앤피랩(SNPLab, Security and Privacy Laboratory)은 모바일을 위한 보안/개인정보 보호 컨설팅은 물론, 개인의 데이터 주권 회복을 위한 마이데이터 플랫폼을 제공하는 스타트업이다.
행동 탐지
행동 탐지는 악성 소프트웨어의 실행 가능한 이벤트를 추적하여 범죄 행위가 발생하지 않도록 한다. 금지된 조작의 예에는 시스템 설정 수정 및 파일 삭제가 포함된다. 클라우드 보안은 인프라, 데이터 애플리케이션 및 클라우드 컴퓨팅 사용과 관련된 정보를 보호하는 제어 기반 정책 및 기술로 구성된다. 또한, 정책 및 기술은 규제 기관의 규칙을 준수한다. 다크트레이스(Darktrace)는 조직의 비정상적인 행동을 탐지하여 사이버 공격 위협을 식별하고 위험을 완화하는 회사이다.
클라우드 보안
클라우드 보안은 클라우드에 저장된 데이터 및 애플리케이션을 보호할 수 있는 기술 및 메커니즘에 중점을 둔다. 티제라(Tigera)는 프라이빗, 퍼블릭 및 하이브리드 클라우드에서 워크로드 및 애플리케이션 제공을 보장하는 데 중점을 둔 사이버 보안 스타트업이다.
Deception Security
적당히 번역할만한 용어가 없는 이 사기 방지 기술은 네트워크 내의 공격자가 시스템을 손상시키지 못하도록 하는 기술 및 도구 모음이다. 미끼를 사용하여 공격자를 오도하고, 대상에 도달하여 네트워크에 더 깊이 들어가는 것을 방지한다. 이 기술은 실제 IT 자산을 에뮬레이션하거나, 때로는 실제 운영 체제에서 실행되는 경우도 있다. 이러한 서비스는 공격자가 이미 자신의 목표를 찾았다고 생각하게 한다. 다른 보안 제품의 역할을 직접 대신하지는 않지만 함께 쓰여졌을 때 더욱 강력한 힘을 발휘한다. 일루시브 네트웍스(Illusive Networks)는 공격자가 회사를 혼란에 빠뜨릴 수 있기 전에 공격자를 식별하고 속이고 방해할 수 있다.
지속적인 네트워크 가시성
지속적인 네트워크 가시성은 클라우드가 네트워크 보안을 처리하여 엔터프라이즈 위협을 탐지하고 가시화하며 사고 대응을 가속화하도록 한다. 클라우드를 사용하여 고급 시각화, 자동 복기 및 포렌직을 통해 보존 기간을 구축한다. 지속적인 네트워크 가시성이 확보되면 보안 전문가가 위협을 실시간으로 보다 쉽게 처리할 수 있다. 버라이즌(Verizon)에 인수된 프로텍트와이즈(Protectwise)는 사이버 공격을 즉시 방지하기 위해 네트워크 활동을 시각화하고 이에 대응한다.
위험 관리
위험 관리는 대응책을 적용하여 사이버 자산이 다양한 지능형 공격과 관련된 다양한 공격 기술, 전술 및 절차에 대한 취약성을 줄일 수 있도록 하는 관리적 기술이다. 네트워크 설정에 엄격한 권한이 있고 웹 응용 프로그램 및 웹 서버가 종종 업데이트 및 패치를 받으며 웹 사이트 코드의 품질이 좋은 경우에 적합하다. AttackIQ는 프로세스, 사람 및 기술의 취약성을 식별하는 데 중점을 두고 문제를 해결하는 솔루션을 제공하는 회사 중 하나이다.
웹 사이트 보안
웹 사이트는 불행히도 보안 위험이 발생하기 쉬우며 웹 서버가 연결된 네트워크도 마찬가지이다. 웹 서버와 호스팅된 사이트는 많은 회사, 특히 중소기업에게 가장 심각한 보안 위험 요소를 제공한다. 웹 사이트 보안 기술 영역은 계정 탈취, 콘텐츠 스크래핑 및 기타 웹 사이트 침입을 방지하기 위해 설치된 소프트웨어를 포함한다. Shape Security와 Distil Networks는 악의적인 웹 사이트 트래픽을 식별해주는 회사들이다.
전망
사이버 범죄가 계속 증가하고 기술이 발전함에 따라 새로운 전략이 개발될 것으로 기대할 수 있다. 또한 세계적으로 보면 크게는 사이버 보안 회사가 통합되고 거대한 보안 회사가 발전할 것으로 기대할 수 있다. 핀테크 기술의 발전에 따른 보안 및 개인정보 보호에 대안도 함께 고려하기 위해서는 규모의 시너지가 필수가 될 수도 있을 것이다.