[기고]금융IT혁신, 교토삼굴(狡兎三窟)의 지혜

[기고]금융IT혁신, 교토삼굴(狡兎三窟)의 지혜

2023년 계묘년은 십이지 중 네 번째 동물로, 영리함과 풍요로움을 상징하는 토끼의 해이다. 옛 선인들은 토끼의 영리함을 '여러 개의 굴을 만들어 위험에 대비한다'는 교토삼굴(狡兎三窟)의 지혜로 표현했다.

산업간 경계가 모호해져 합종연횡하는 '빅블러 현상'이 가속화되는 지금, 금융 정보기술(IT)은 이러한 교토삼굴의 지혜가 더 절실하다.

비금융플랫폼을 통한 결제, 대출 서비스를 제공하는 임베디드 금융 등 핀테크 기업의 금융시장 주도권 확보 노력과 이에 대응하는 전통금융사 디지털전환 시도는 제휴, 아웃소싱 형태의 IT서비스 활용 확대로 이어져 금융IT의 제3자 리스크를 급증시켰다.

경쟁력 있는 금융서비스를 제공하기 위해서는 제3자 리스크를 예방할 수 있는 보안관리체계 및 인공지능(AI) 기반 지능형 보안관제시스템을 함께 구축함으로써, 제로 트러스트 기반의 IT 및 정보보안 융합을 추진해야 한다.

또 시장 변화에 민첩하고 효율적으로 대응하기 위해 많은 기업이 채택하는 오픈소스 소프트웨어(SW)의 경우 내부 활용 역량 강화에 앞서 개방성을 악용한 보안위협과 오픈소스 라이선스 위배 등 컴플라이언스 이슈를 사전 통제해야 본연의 효과를 얻을 수 있다. 따라서 '오픈소스공유포털' 등을 구축, 내부 활용 역량을 강화하고자 한다면 시큐어 코딩을 포함해 오픈소스SW 취약점을 자동 탐지·제거하고 라이선스 적합성을 사전 점검해 안전하게 활용할 수 있는 환경 구축을 고려해야 한다.

많은 기업이 재해·재난에 대비해 주요 데이터를 백업하고 통신망을 이중화하며, 데이터센터 차원 이중화인 DR센터를 운용하고 있다. 그러나 실제 재난 상황이 발생했을 때 계획대로 복구, 대응하지 못하거나 서비스 가용성 유지에 실패하는 사례가 발생하고 있다.

성공적 서비스 가용성 유지를 위해 데이터 백업, 장비 이중화 뿐 아니라 IT 최적화 진단 등 비즈니스 변화의 신속한 대응을 위한 기술적 점검과 BCP(Business Continuity Plan), IT재해복구, 침해사고대응을 연계해 비즈니스·IT·보안을 통합하는 실질적 모의훈련을 정기적으로 실시하는 노력도 필요하다.

또 평상시 서비스 연속성에 문제 될 소지가 있는 그레이존(Gray zone)을 확인하고 제거하는 레드팀 캠페인을 전사적으로 실시해 재해·재난 및 보안 침해에 대한 선제적 대응체계 역시 마련해야 한다.

지난해 말 마이데이터서비스 정보제공 범위를 492개에서 720개까지 확대한다는 금융위원회 발표와 비금융정보 제공 확대 예정 등으로 연초부터 핀테크를 포함한 다양한 금융기업이 마이데이터 2.0 준비에 총력을 다하고 있다.

마이데이터 서비스는 API를 통해 개인정보를 송·수신하며 API 호출자 1명에 수십 곳의 API 제공자가 연계되는 복잡한 구조다. 데이터 요청이 작아도 대규모 API 호출을 통해 트래픽이 급증할 수 있고, 취약한 API가 1개만 존재해도 연결된 다수의 API를 통해 순식간에 위협이 전파될 수 있다.

따라서 API 호출자와 제공자 계정 및 권한 관리, API 취약성 점검, 전송 데이터 암호화, API 사용량 모니터링 등 API 게이트웨이의 보안성과 가용성을 철저하게 관리할 수 있는 체계를 구성할 필요가 있다.

현 금융 생태계에서 IT와 정보보안은 단순히 비즈니스를 지원하는 영역이 아닌 금융 산업 그 자체의 핵심 경쟁력임이 자명해졌다.

금융산업의 혁신과 성장은 '금융시스템의 안정 및 금융소비자 보호'와 함께 균형 있고 조화롭게 달성돼야 한다.

올해 금융IT 혁신과 보안이라는 두 마리 토끼를 모두 잡는 지혜로 금융산업의 혁신적 성장을 기대한다.

고정현 우리에프아이에스 대표 doctorgo@naver.com