이데아텍㈜ 디지털금융사업부문 한준희 신임 대표
금융 환경이 빠르게 변화하는 오늘날 은행, 신용카드 회사 및 핀테크 기업에게 사이버 보안은 필수 요소다. 디지털 전환이 가속화됨에 따라 금융 서비스 산업의 IT 전문가들은 민감한 고객 데이터를 보호하고 규제 준수를 보장하기 위해 복잡한 보안 환경을 관리해야만 한다.
가트너에 따르면, 2026년까지 75%의 조직이 사이버 보안 위험을 보다 효과적으로 관리하기 위해 보안 거버넌스를 재구성할 계획이라고 답했다. 그리고 그 중에서도 특히 최근 급격하게 사용이 늘어난 API(Application Programming Interface)와 관련한 보안 전략의 중요성이 커지고 있다는 점에 주목할 필요가 있다.
API 보안 전략은 규제 준수와 가치 창출을 균형 있게 유지해야 하며, 보안 조치가 비즈니스 민첩성을 저해하지 않도록 해야 한다. 이러한 도전 과제에 대한 인사이트를 얻고자 컴퓨터월드/IT DAILY는 수십 년간 은행 및 신용카드 관련 보안과 디지털 전환을 경험한 IT 보안 전문가인 이데아텍 디지털금융사업 부문 한준희 대표와 인터뷰를 진행했다.
“보이지 않는 것을 보호할 수는 없다”
Q. 금융 IT 전문가가 직면하는 주요 사이버 보안 과제는 무엇인가.
“개인정보보호, 지불카드 업계 정보보호 표준 ‘PCI-DSS(Payment Card Industry Data Security Standard)’, ‘OWASP API 시큐리티 톱 10(Open Web Application Security Project API Security Top 10)’, ISO 27001과 같은 규제를 준수해야 한다. 특히 오픈뱅킹 및 클라우드 연계 통합에서 발생하는 API 보안을 관리해야 할 필요가 있다. 하이브리드 환경에서 실시간으로 위협을 식별하고, 또 실시간으로 대응해 완화해야 한다.”
Q. 실시간 가시성이 중요하다는 말인데.
“그렇다. 보이지 않는 것을 보호할 수는 없다. 실시간 가시성은 금융 기관의 애플리케이션 및 API 동작을 실시간으로 모니터링하는 데 필수적이다. 애플리케이션 및 API의 정상 작동을 보장하고, 이상 탐지(Health check)를 해야 하며, 지속적으로 모니터링해야 한다. 애플리케이션 계층에서부터 API, 클라우드까지 실시간 보안을 제공해 모든 공격 측면의 보안 및 방어적인 보안을 통합하고, 전(全) 경로에서의 보안 실행이 필요하다.
Q. 컨테이너, API 기반의 모던 애플리케이션에 대한 보안이 중요해지고 있는데.
“모던 애플리케이션(Modern Application) 보안은 금융 서비스가 민감한 데이터를 다루기 때문에 필수적이다. 금융 산업은 사이버 범죄자의 주요 타깃이 되고 있으며, 디지털 뱅킹, 모바일 결제 및 오픈 뱅킹이 확장됨에 따라 공격 표면 관리(Attack Surface Management)의 중요성이 크게 증가하고 있다. 하나의 보안 침해만으로도 금융 손실, 평판 손상, 규제 위반 등의 심각한 결과를 초래할 수 있다.”
Q. 오늘날 금융 IT는 매우 복잡하다. 오픈 뱅킹, 모바일, 웹, 하이브리드 클라우드가 공존한다. 이런 환경에 필요한 솔루션은 무엇인가.
“우선 포괄적인 API 게이트웨이(API Gateway) 및 API 관리가 필요하다. 제로 트러스트 보안을 위한 접근 요청을 지속적으로 검증하고, 마이크로세분화(Microsegment)를 적용하며, 클라우드 및 SaaS(서비스형 소프트웨어) 연계를 자동화할 수 있는 규제 준수 및 리스크 모니터링 솔루션이 필요하다.”
“CI/CD(지속적 통합/지속적 배포) 파이프라인 통합에 대한 보안도 필요하다. 해커의 공격과 같은 보안 위협을 방지하기 위해 침투 테스트(Pentest)를 포함, 오픈소스 및 서드파티 소프트웨어 구성 요소에 대한 소프트웨어 자재명세서(SBOM) 목록을 유지해 소프트웨어 공급망 공격의 위험을 줄여야 한다. 또한 SAST(정적보안테스트), DAST(동적보안테스트)로 개발 전후 각 단계의 소스 코드 보안 취약점을 검사해 보안 태세를 강화해야 한다. 즉 API, 웹 애플리케이션 및 클라우드 환경 전반에서 정교한 공격 패턴을 시뮬레이션해 선제적으로 위협을 완화해야 한다.”
출처 : 아이티데일리
이데아텍㈜ 디지털금융사업부문 한준희 신임 대표
금융 환경이 빠르게 변화하는 오늘날 은행, 신용카드 회사 및 핀테크 기업에게 사이버 보안은 필수 요소다. 디지털 전환이 가속화됨에 따라 금융 서비스 산업의 IT 전문가들은 민감한 고객 데이터를 보호하고 규제 준수를 보장하기 위해 복잡한 보안 환경을 관리해야만 한다.
가트너에 따르면, 2026년까지 75%의 조직이 사이버 보안 위험을 보다 효과적으로 관리하기 위해 보안 거버넌스를 재구성할 계획이라고 답했다. 그리고 그 중에서도 특히 최근 급격하게 사용이 늘어난 API(Application Programming Interface)와 관련한 보안 전략의 중요성이 커지고 있다는 점에 주목할 필요가 있다.
API 보안 전략은 규제 준수와 가치 창출을 균형 있게 유지해야 하며, 보안 조치가 비즈니스 민첩성을 저해하지 않도록 해야 한다. 이러한 도전 과제에 대한 인사이트를 얻고자 컴퓨터월드/IT DAILY는 수십 년간 은행 및 신용카드 관련 보안과 디지털 전환을 경험한 IT 보안 전문가인 이데아텍 디지털금융사업 부문 한준희 대표와 인터뷰를 진행했다.
“보이지 않는 것을 보호할 수는 없다”
Q. 금융 IT 전문가가 직면하는 주요 사이버 보안 과제는 무엇인가.
“개인정보보호, 지불카드 업계 정보보호 표준 ‘PCI-DSS(Payment Card Industry Data Security Standard)’, ‘OWASP API 시큐리티 톱 10(Open Web Application Security Project API Security Top 10)’, ISO 27001과 같은 규제를 준수해야 한다. 특히 오픈뱅킹 및 클라우드 연계 통합에서 발생하는 API 보안을 관리해야 할 필요가 있다. 하이브리드 환경에서 실시간으로 위협을 식별하고, 또 실시간으로 대응해 완화해야 한다.”
Q. 실시간 가시성이 중요하다는 말인데.
“그렇다. 보이지 않는 것을 보호할 수는 없다. 실시간 가시성은 금융 기관의 애플리케이션 및 API 동작을 실시간으로 모니터링하는 데 필수적이다. 애플리케이션 및 API의 정상 작동을 보장하고, 이상 탐지(Health check)를 해야 하며, 지속적으로 모니터링해야 한다. 애플리케이션 계층에서부터 API, 클라우드까지 실시간 보안을 제공해 모든 공격 측면의 보안 및 방어적인 보안을 통합하고, 전(全) 경로에서의 보안 실행이 필요하다.
Q. 컨테이너, API 기반의 모던 애플리케이션에 대한 보안이 중요해지고 있는데.
“모던 애플리케이션(Modern Application) 보안은 금융 서비스가 민감한 데이터를 다루기 때문에 필수적이다. 금융 산업은 사이버 범죄자의 주요 타깃이 되고 있으며, 디지털 뱅킹, 모바일 결제 및 오픈 뱅킹이 확장됨에 따라 공격 표면 관리(Attack Surface Management)의 중요성이 크게 증가하고 있다. 하나의 보안 침해만으로도 금융 손실, 평판 손상, 규제 위반 등의 심각한 결과를 초래할 수 있다.”
Q. 오늘날 금융 IT는 매우 복잡하다. 오픈 뱅킹, 모바일, 웹, 하이브리드 클라우드가 공존한다. 이런 환경에 필요한 솔루션은 무엇인가.
“우선 포괄적인 API 게이트웨이(API Gateway) 및 API 관리가 필요하다. 제로 트러스트 보안을 위한 접근 요청을 지속적으로 검증하고, 마이크로세분화(Microsegment)를 적용하며, 클라우드 및 SaaS(서비스형 소프트웨어) 연계를 자동화할 수 있는 규제 준수 및 리스크 모니터링 솔루션이 필요하다.”
“CI/CD(지속적 통합/지속적 배포) 파이프라인 통합에 대한 보안도 필요하다. 해커의 공격과 같은 보안 위협을 방지하기 위해 침투 테스트(Pentest)를 포함, 오픈소스 및 서드파티 소프트웨어 구성 요소에 대한 소프트웨어 자재명세서(SBOM) 목록을 유지해 소프트웨어 공급망 공격의 위험을 줄여야 한다. 또한 SAST(정적보안테스트), DAST(동적보안테스트)로 개발 전후 각 단계의 소스 코드 보안 취약점을 검사해 보안 태세를 강화해야 한다. 즉 API, 웹 애플리케이션 및 클라우드 환경 전반에서 정교한 공격 패턴을 시뮬레이션해 선제적으로 위협을 완화해야 한다.”
출처 : 아이티데일리