Ai를 사용하고 있는 금융업에서 클라우드는 필수불가결한 요소다. 하지만 역설적이게도 그 클라우드 리소스가 타깃이 된 지금, 금융업의 골칫거리가 되고 있다.
클라우드 보안에 대한 투자가 줄었는데도, 클라우드 기반 플랫폼에 대한 의존은 절대적이기 때문에 클라우드 보안 인력 부족으로 많은 기업이 경력이 부족한 인력을 채용할 수밖에 없는 상황이라고 한다. 게다가 생성형 AI를 악용한 새로운 해킹 툴의 등장으로 많은 기업이 새로운 위협에 대응하는 데 어려움을 겪고 있는 상황이며, 이밖에도 클라우드 기반 솔루션을 사용할 때 기술에 대한 이해도 부족으로 소홀함이나 실수가 발생하여 다량의 정보가 유출되는 일은 흔히 찾아볼 수 있다. 하지만 관리 난이도나 실수 크기에 비해 발생하는 피해는 너무 크다.
2018년 11월 22일, AWS 서울 리전의 일부 DNS 서버 설정 오류로 인해 84분 동안 Amazon EC2 인스턴스의 DNS 확인이 방해받는 사고가 발생했었다. 이로 인해 AWS를 사용하는 쿠팡, 배달의민족, 이스타항공, 업비트 등의 서비스에서 접속 오류가 발생했으며 이에 대한 피해는 가히 상상도 할 수 없다. AWS는 이 사고의 원인이 일부 DNS 서버의 설정 오류라고 밝혔으며, IT 리서치 기업 가트너는 95% 이상의 클라우드 보안 사고가 이러한 클라우드 사용자의 관리 미숙이 원인이라고 발표한 적이 있다. 이는 클라우드 서비스 제공업체인 AWS의 문제라기보다는 클라우드 서비스를 사용하는 기업들의 관리 부실이 주된 원인임을 말한다. 종합적으로, AWS 서울 리전의 DNS 서버 설정 오류와 Capital One 해킹 사건은 클라우드 서비스 제공업체의 문제라기보다는 클라우드 서비스 사용자의 관리 부실 및 사용법 미숙으로 인한 실수로 너무도 큰 피해가 발생했다고 볼 수 있다.
클라우드의 높은 범용성과 유용성은 칭찬할만 하지만 작은 실수로 인해 초래되는 결과가 너무 큰 것을 무시할 수 없고 다음과 같은 보안사고의 위협요소 역시 많아지고 있는 것이 현실이다.
첫번째로 생성형 AI다. 클라우드에게 생성형 AI의 등장은 클라우드가 우리에게 필요한 이유를 만들었지만 동시에 우리에게 힘들어지는 이유 역시 같이 만들어주었다는 양면성을 가진다. AI와 LLM은 많은 저장공간이 필요하고 이에 따라 클라우드를 지키기 위해 보안 서비스를 강화하도록 돕는 한편, 악용되어 범죄를 일으키는 도구로도 전락할 수 있다. 오용에 대한 우려로 인해 2023년 10월 미국 조 바이든 대통령이 AI 안전성 평가를 의무화하는 등의 내용이 담긴 행정명령에 서명했지만, 지금도 위협 행위자는 생성형 AI를 활용한, 새로운 전략을 생각하고 있을 것이다. 방어방법이 나오더라도 생성형 AI를 이용한다면 전략을 바꾸는 것은 너무도 쉽기 때문이다.
위와 같은 개발자를 멀웨어 개발자라고 하는데 멀웨어 개발자는 오픈소스 도구와 생성형 AI를 활용해 더 많은 대상에게 접근할 수 있는 첨단 프로그래밍 기법을 만들고 있다. 그 결과 샌드박스, 엔드포인트 감지 및 대응(EDR) 등 교묘하게 접근할 수 있는 도구부터 시스위스퍼(SysWhispers) 등의 무료 및 오픈소스 소프트웨어까지 다양한 멀웨어 수단이 도입되었다. 이에 따라 보안관리자보다 멀웨어 개발자의 공급이 늘어났고 숙련되지 않더라도 보안관리자로서, 활용해야하는 상황까지 오게 되며 악순환이 계속되게 된다. 이렇듯 숙련되지 않은 개발자들이 많아지고 있는 것 역시 문제 요소라고 할 수 있지만 숙련된 개발자가 정교하게 만든 보안시스템일지라도 다음 요소에 의해 쉽게 붕괴된다.
두번째는 안일하게 관리되는 보안수칙 및 미숙한 사용자다. 스캐터드스파이더의 MGM 침투사건과 같은 피싱 캠페인을 포함한 공격적인 사회공학 기반 전략이다. 로그인 자격증명 정보를 갈취하기 위해 보안수칙을 철저히 관리하지 못했던 헬프데스크 직원을 피싱하고, OTP로 MFA를 우회하는 것이 일반적이다. 이 전략이 공급망 공격에도 쓰이면서 ID제공 벤더사(IDP vendors)에 침투해 고객 정보를 노리고 있다.
같은 맥락으로 사람이기 떄문에 할 수 있는 실수를 이용한 ID 기반 공격이 사이버 보안 공격을 주도해 인간이 가지고 있는 본래의 취약성과 제한적 가시성을 파고들 것이다. 오랫동안 ‘공개된 사이버 보안 취약성(CVEs)’에 의존해 온 사이버 공격자가 힘을 잃고 있지만 방어자가 명심해야 하는 새로운 진실은 ‘ID는 새로운 취약성’이라는 점이다. 각 기업 조직은 이제 인프라 강화에만 초점을 맞출 것이 아니라 저장된 자격증명 정보, 세션 쿠키, 액세스 키 등의 정보 보호와 권한계정(IDP 포함) 관련 설정오류 해결과 같은 이미 있는 도구들을 잘 설정하고 사용하는 데에도 집중할 필요성이 있다.
위와 같은 이유로 금융업에서 보안기술은 점점 강화되고 발전해야 함은 틀림없지만 다른 말로 하면, 복잡해져야만 한다. 하지만 평균 수명이 증가함에 따라 다양한 국가에서 고령화가 진행되고, 우리나라의 경우 65살 이상 인구가 1천만을 넘게 된 요즘, 보안만을 위해 복잡하게만 기술을 발전시키는 것은 오히려 디지털 약자를 배려하지 않는 것이 되어 배보다 배꼽이 더 큰 상황이 된다. 65살 이상의 인구를 포함한, 디지털 약자들은 많아지지만 돈을 관리하는 업무, 그것과 관련된 기술들은 점점 더 복잡해지고 힘들어지고 있고 여기에 더해, 국내에서는 디지털 약자를 타깃으로 한 금융관련 기술 또한, 찾아보기 어렵기 때문이다.
금융업의 특성상 보안과 관리가 가장 중요한 요소므로 AI를 도입하고 클라우드를 사용해야 하는 것은 너무도 이해하지만 디지털 약자들이 핀테크 기술과 관련하여 가장 어려움을 겪는 이유는 바로 이러한 요소들로 파생된다는 점은 무시할 수 없다. 대표적인 예시로, 보안에 너무 많은 절차를 추가하여 오프라인에서는 간단한 업무 일지라도 온라인에서는 수행하기에 너무 복잡하게 만드는 것을 들 수 있다. 어쩔 수 없이 기술은 발전해야 하지만 이로 인해 더 많은 해킹 방법은 물론, 오히려 디지털 약자들은 물론 그 클라우드를 관리하는 담당자에게까지도 어렵게 만들어지고 있는 상황은 우리가 다시 생각해볼 문제상황이고, 위 문제들을 동시에 해결할 수 있는 기술이 나오도록 더 발전하기를 기다릴 수밖에 없는 것이 안타까울 뿐이다. 우리를 편하게 하도록 만든 기술이 우리를 더욱 불편하게 만들고 있다.
참고자료
https://m.boannews.com/html/detail.html?tab_type=1&idx=124130
https://www.itworld.co.kr/news/297049#csidx7265821f99de980a45a3bf70d666c2b
https://m.boannews.com/html/detail.html?tab_type=1&idx=124305
https://news.koreadaily.com/2023/02/09/economy/economygeneral/20230209212404011.html
작성자 : ITS 26기 오승민