코로나19 이후 디지털 금융이 확산하면서 사이버보안 역량이 금융사의 경쟁력으로 떠오르고 있다. 디지털 경쟁 심화, 오픈뱅킹 도입 등 보안에 취약한 환경에 사이버 공격이 빠르게 진화하면서다. 금융사의 사이버 리스크 대응 전략은 신뢰와 직결돼 중요성이 커지고 있다.
26일 하나금융경영연구소가 금융보안원의 자료를 분석한 결과, 국내에서 소매금융을 취급하는 은행 17곳이 2017년부터 지난해까지 5년간 받은 사이버 공격은 109만1606건인 것으로 집계됐다. 매일 598건의 사이버 공격이 발생한 셈이다. 은행의 경우 고객 정보를 인질 삼아 다른 업계에 비해 상대적으로 큰 금전적 이득을 취할 수 있다.
랜섬웨어·디도스(DDoS) 등을 비롯해 사이버 공간에서 일어나는 보안 위협은 고도화되고 있다. 일례로 지난 6월 모바일 금융 플랫폼 토스가 디도스 공격으로 인해 일부 기능의 속도가 느려지는 현상이 발생했다. 디도스 공격은 비정상적으로 트래픽을 늘려 인터넷 서버를 마비시키는 침해 행위의 일종이다. 당시 토스는 디도스 공격을 탐지하고 차단할 수 있는 장비를 자체 운영하고 있어 고객 피해 없었던 것으로 전해졌다.
이러한 이유로 금융사들은 최근 사이버보안 역량 강화에 나서고 있다. 대표적으로 보안 취약점 신고포상제인 ‘버그바운티’가 있다. 토스를 운영하는 비바리퍼블리카는 오는 30일까지 처음으로 버그바운티 챌린지를 실시하고 있다. 토스를 비롯해 토스뱅크, 토스증권, 토스페이먼츠 등 주요 금융 계열사가 모두 참여한다. 취약점 신고 대상은 토스 애플리케이션 내 주요 서비스는 물론, 계열사 공식 홈페이지도 포함된다. 접수된 리포트는 토스 내부 검증과 평가를 거쳐 건당 최대 3000만원까지 포상금을 지급받게 된다.
우리은행도 2011년부터 금융보안원과 협력해 모의해킹 대회를 정기적으로 실시하고 있다. 보안에 대한 관심을 높이는 동시에 우수 보안 인력을 양성·선발하기 위한 목적이다. 올해 두 번째로 열리는 대회는 이날부터 30일까지 개최될 예정이다. 대학·대학원생이 대상으로, 우리은행 인터넷뱅킹과 우리WON뱅킹의 잠재 보안 취약점 제거 활동을 위한 버그바운티 형식이다.
최근 많이 발생하는 보이스피싱을 방지하려는 노력도 눈에 띈다. 신한은행은 보이스피싱 예방 플랫폼인 ‘안티-피싱 스마트 3.0′으로 금융소비자 보호에 나섰다. 올해 상반기 기준 약 3000명의 고객을 보이스피싱 범죄 예방해 260억원가량 피해를 막았다는 게 은행 측 설명이다. 하나은행도 빅데이터 기반 모니터링 강화, 해외송금 등 유형별로 축적된 다수 이상거래탐지시스템(FDS) 시나리오 운영 등으로 지난 2021년 1만4000여건의 피해를 예방했다.
내부적 노력에서 나아가 고객 보안을 위해 직접 투자하는 사례도 있다. 카카오페이(377300)는 지난 7월 금융사기 방지 소셜벤처 ‘더치트’에 지분 투자를 진행했다. 금융사기 방지와 대안 신용평가 솔루션을 더 강화하기 위해서다. 더치트는 사기 정보를 공유하는 서비스를 제공해 금융사기, 보이스피싱 등을 막고 있다.
금융권 관계자는 “최근 업계에선 ‘아무것도 신뢰하지 않는다’라는 뜻의 사이버 보안체계인 ‘제로 트러스트(Zero Trust)’ 도입 필요성이 중요해지고 있다”면서 “올해 상반기 전 세계 사이버 공격 피해 사례의 4분의 1이 금융권에 집중된 만큼 더욱 보안을 강화할 필요성이 있다”고 말했다.