기업, 외부 클라우드 저장 데이터 증가… 공격 유인 커져 바이오인증 대세 속 암호화 안된 정보 보안 취약점 존재 변경·재발급 불가능… 유출 땐 위험·개인 파급효과 높아 결제·고객·매장운영정보 담은 POS단말기 사실상 무방비
바이오인증 전 과정 중 발생 가능한 보안위협. 금융보안원 제공.
클라우드 이용 관련 리스크. 금융보안원 제공.
'보안 없는 금융은 사상누각.'
금융과 신기술의 접목이 활발하다. 하지만 보안체계 구축이 이 속도를 따라가지 못해 리스크가 커지고 있다는 비판 역시 이어지고 있다. 그렇다면 2020년 금융사들이 주목해야 할 보안 키워드는 무엇일까.
◇ 금융권 클라우드 둘러싼 리스크 = 최근 금융권 클라우드 이용 확대에 따른 보안위협이 증대되고 있다. 클라우드컴퓨팅(Cloud computing)이란 IT자원을 직접 소유하지 않아도 이용자의 요구나 수요 변화에 따라 필요한 만큼 이를 탄력적으로 이용할 수 있는 컴퓨팅 방식을 말한다. 기업들의 방대한 데이터를 분석하기 위해 대규모 시스템이 필요했지만 클라우드를 이용하면 필요한 만큼의 컴퓨팅 리소스를 저렴하게 이용할 수 있다.
기업이 외부 클라우드에 저장하는 데이터가 증가함에 따라 클라우드 공격 유인 역시 커졌다. 실제 지난해 7월 미국 대형 금융회사 캐피털원(Capital One)이 웹 방화벽 설정 오류 등에 기인한 공격을 받아 클라우드 서버에 저장된 1억600만명의 개인정보가 유출되는 사고가 발생했다.
클라우드 보안업체 아머(Armor)에 따르면 2018년 한 해 동안 클라우드 서비스 대상 공격이 약 6억8000만회 발생한 것으로 집계된 바 있다.
국내 금융권의 경우 지난해 1월 1일부터 전자금융감독규정 개정으로 개인정보와 금융거래정보도 퍼블릭 클라우드에 저장할 수 있게 됐다. 이에 따라 보안 위협이 어느 때보다 늘어날 것으로 전망되고 있다.
◇ 지문·안면도 위험… 바이오정보 유출부터 위변조까지 = 최근 전자금융거래에서 모바일 비중이 급증하면서 최적화 인증방법인 바이오인증이 주된 인증방법으로 자리매김하고 있다.
암호화되지 않은 바이오정보의 외부 노출 등 보안 취약점이 존재함에 따라 공격 유인도 늘어났다. 바이오정보 위변조는 해킹이나 사진에서 추출 등 불법 취득한 이용자 바이오정보를 이용해 위조 바이오정보를 생성하고 인증 등에 악용하는 행위다.
바이오정보는 비밀번호나 인증서처럼 변경하거나 재발급이 사실상 불가능하므로 유출시 위험이나 개인에 대한 파급효과가 크다. 금융보안원에 따르면 바이오인증 이용확대로 보안 오류가 잇따라 보고되는 추세인 것으로 나타났다.
최근 삼성전자 스마트폰에 실리콘 케이스를 끼운 채 지문 인식 시도 시 미등록 지문으로도 인증 가능한 오류가 발생한 적이 있으며, 구글 스마트폰 픽셀 4의 경우 타인의 얼굴이나 눈을 감은 채로 안면인식을 우회한 사례 등이 공개되는 등 바이오인증 공격이 현실화되고 있다.
금융보안원 측은 "국내 바이오정보나 인증을 대상으로 한 구체적 공격사례가 공개되지 않아 바이오정보 보안에 대한 금융권의 관심과 노력이 다소 부족한 상황"이라며 "실체가 아닌 사진이나 지문을 차단하는 라이브니스(liveness) 검증 등 금융권에 적합한 바이오정보 보안대책을 조속히 마련해야 한다"고 전했다.
◇ 무방비 상태의 POS 기기 = 국내 카드 사용의 보편화와 더불어 QR코드, 지문 등 새로운 결제 서비스가 등장함에 따라 POS 단말기의 보안에 빨간불이 켜졌다. POS 단말기는 편의점이나 백화점 등 소매점에서 사용하는 판매 관리 시스템이다. POS 단말기 내 카드 결제 정보와 고객 정보, 매장 운영에 필요한 정보를 저장 및 전송 처리한다.
최근 POS 단말기 해킹사고 발생으로 보안에 대한 우려가 심화되고 있다. 해킹사고는 POS 단말기의 악성코드 감염을 통해 저장정보를 유출하는 형태다. 지난 2018년 7월 IC카드 의무도입 이전 구형 단말기(마그네틱 기반)가 주된 공격의 표적이다.
POS 단말기는 취약한 운영체제 사용, 보안 업데이트 미실시 등 보안관리가 미흡한 경우가 많다. 하지만 다량의 개인정보 및 카드정보가 저장돼있어 해커에게는 매력적인 공격 대상이다.
새로운 결제방법 활성화로 바이오정보 등 POS 단말기 내 중요 정보의 처리 및 저장범위가 보다 확대될 것으로 전망되면서 이를 향한 공격 역시 증가할 것으로 전망된다.
금융보안원은 "POS 단말기 보안에 대한 우려는 과거부터 제기됐지만 보안환경은 크게 개선되지 않아 보안사고가 꾸준히 발생하고 있다"며 "카드정보 유출시 금융소비자의 직접적인 피해가 발생할 수 있으므로 POS 단말기 관리업체 감독 강화, POS 단말기 필수 보안대책 준수 의무화 등 실효성 있는 보안대책이 요구된다"고 조언했다.
![[기획] 장사진에 매진 속출… 주말 강타한 ‘주유 전쟁’](https://wimg.dt.co.kr//news/cms/2026/03/08/news-p.v1.20260308.d203704778bb4d2c85c01cf87f7e914c_T1.jpg)
![[기획] 장사진에 매진 속출… 주말 강타한 ‘주유 전쟁’](https://wimg.dt.co.kr/news/cms/2026/03/08/news-p.v1.20260308.d203704778bb4d2c85c01cf87f7e914c_R.jpg)
![[속보] 이란, 새 최고지도자에 하메네이 차남 모즈타바 선출](https://wimg.dt.co.kr/news/cms/2026/03/09/news-p.v1.20260309.57385921df864d9f831a9dd6c6c82fa0_R.png)
![[기획] “파업 불참, 인사 불이익”… 노봉법 업고 막가는 ‘삼전 노조’](https://wimg.dt.co.kr/news/cms/2026/03/08/news-p.v1.20260308.9f22e75657644ab49b07b7029d7d7fcf_R.jpg)
