금융 정보를 안전하게 보호하려면 암호화가 사용 가능한 가장 중요한 도구 중 하나로 꼽힙니다. 금융 기관은 데이터 전송 중 해킹 시도로부터 민감한 정보를 보호하기 위해 AES-256과 같은 업계 표준 암호화 프로토콜에 크게 의존하고 있습니다. 수치는 또 다른 중요한 이야기를 보여줍니다. 버라이즌의 최신 데이터 유출 보고서에 따르면 적절한 암호화가 적용되었다면 모든 유출 사고의 약 60%는 완전히 막을 수 있었을 것이라고 합니다. 금융 시스템을 다루는 사람들에게는 다양한 암호화 방식이 어떻게 작동하는지 익히는 것이 합리적인 접근입니다. 대칭 암호화는 대량의 데이터를 신속하게 처리할 수 있기 때문에 은행들이 일상적인 운영에 자주 활용합니다. 반면 비대칭 암호화는 더 강력한 보호 기능을 제공하지만 단점도 존재합니다. 이 방식을 사용하면 거래에 더 많은 시간이 소요되므로 최대한의 보안을 유지하면서도 고객이 불편함을 느끼지 않을 만큼 빠른 처리 속도를 확보해야 한다는 고전적인 딜레마에 직면하게 됩니다.
다중 보안 레벨의 접근 통제를 제대로 시행하는 것은 무단 접근을 방지하고 금융 데이터를 안전하게 보호하는 데 매우 중요하다. 여기서 핵심 개념은 신원 확인을 위해 다양한 검증 및 승인 절차를 결합하여, 민감한 정보에 접근할 수 있는 사람의 실제 신분을 확인하는 것이다. 예를 들어 역할 기반 접근 제어(RBAC)를 도입하면 직원은 회사 내 자신의 직무에 따라 필요한 정보에만 접근할 수 있다. 이는 불필요한 권한을 통해 의도치 않게 혹은 고의로 정보를 남용하는 사례를 줄여준다. 참고로 기업은 정기적으로 누가 어떤 접근 권한을 가지고 있는지를 점검해야 한다. 이러한 접근 권한 감사는 권한 상승(privilege escalation)과 같은 문제를 발견하는 데 유용한데, 이는 누군가 부여받은 것보다 훨씬 더 높은 수준의 접근 권한을 갖게 되는 상황을 말한다. 실제로 일부 신입 직원이 관리자 수준의 권한을 갖게 된 사례가 있었는데, 이는 단지 접근 권한에 대한 정기 검토가 이뤄지지 않았기 때문이다. 정기적인 접근 권한 감사는 단순한 서류 작업이 아니라 시스템 보안을 유지하고, 직원들이 자신이 꼭 필요한 정보만 볼 수 있도록 보장하는 가장 효과적인 방법 중 하나이다.
최근 많은 사람들이 온라인으로 구매를 하다 보니 실시간 사기 탐지가 거래 중 자금 안전을 보장하는 데 필수적이게 되었습니다. 사기를 즉시 적발하면 은행과 상인들이 큰 손실을 입히기 전에 악의적인 행위자를 막을 수 있습니다. 연구에 따르면 기계 학습은 사기를 나타낼 수 있는 의심스러운 패턴을 꽤 효과적으로 식별해 내며, 이는 실제 사기 사례는 대부분 적발하면서도 정상 거래가 잘못 표시되는 경우를 줄일 수 있음을 보여줍니다. 하지만 수십 년 전에 구축된 오래된 결제 시스템에 새로운 사기 탐지 기술을 연동하려면 문제가 발생할 수 있습니다. 많은 기업들이 이러한 호환성 문제에 어려움을 겪고 있습니다. 다행히도 API를 사용해 다양한 시스템을 연결하고, 작고 교환 가능한 구성 요소로 소프트웨어를 구축하는 등의 최신 접근 방식이 이러한 문제를 해결하는 데 도움이 되고 있습니다. 이러한 방법을 통해 기업은 기존 인프라를 완전히 교체하지 않고도 보안을 업그레이드할 수 있어 장기적으로 시간과 비용을 절약할 수 있습니다.
데스크톱과 서버를 올바르게 구성해 두는 것은 금융 데이터를 무단 접근으로부터 보호하기 위해 여전히 필수적입니다. 금융 기관은 사용하지 않는 백그라운드 서비스를 비활성화하고, 소프트웨어를 정기적으로 패치하여 업데이트 유지하며, 은행 환경을 위해 특별히 설계된 보안 표준을 적용해야 합니다. 실제 사례를 통해 약한 설정이 얼마나 큰 보안 취약점을 만들 수 있는지를 확인할 수 있습니다. 한 은행의 사례에서는 서버 설정이 개방된 상태로 남아 있었고, 이로 인해 해커들이 수백만 달러 상당의 고객 기밀 정보를 탈취할 수 있었습니다. 이러한 실수들은 엄격한 보안 조치가 필수불가결함을 보여주는 사례입니다. 기관들이 처음부터 올바른 설정을 적용할 때, 개별 기계만 보호하는 것이 아니라 전반적인 운영에 걸친 전반적인 사이버 보안 자세를 강화하는 효과를 얻게 됩니다.
NIST의 사이버보안 프레임워크는 기업이 사이버 위협을 식별하고 대응하며 그 위험을 줄이기 위해 필수적인 로드맵으로 작용합니다. 조직 내에서 적절히 실행될 경우, 이 프레임워크는 공격에 대한 전반적인 회복탄성을 높일 수 있으며, 이는 매일 리스크 관리를 처리해야 하는 CFO에게 매우 중요한 사안입니다. 체계적인 보안 접근 방식은 지속적으로 새로운 형태의 위협으로부터 민감한 금융 정보를 보호하는 데 도움이 됩니다. 물론 이 프레임워크를 실제로 도입하는 일은 간단하지 않습니다. 많은 조직들이 충분한 자원 배분과 관련된 기술적 세부 사항을 이해하는 데 어려움을 겪고 있습니다. 이러한 장애물은 적절한 직원 교육 프로그램과 각 기업의 고유한 요구에 맞춰진 현명한 장기 계획 전략을 통해 극복할 수 있습니다.
GDPR과 CCPA 규정을 제대로 이해하고 이에 따라 데이터를 적절히 관리하고 보안을 유지하는 것은 매우 중요합니다. 이러한 법률은 기업이 개인 정보 주변에 상당히 엄격한 보호 조치를 시행하도록 요구하며, 이를 따르지 않을 경우 심각한 금전적 제재를 받을 수 있습니다. 이러한 규제의 영향은 단순히 국내 기업에만 국한되지 않으며, 국경 간 데이터 이전과 운영 방식에도 영향을 미쳐 컴플라이언스 준수가 때때로 복잡하고 어려운 과제가 되기도 합니다. 최고 재무 책임자(CFO)의 경우 이러한 규정을 준수하는 것이 우선순위 목록의 상위에 있어야 하며, 과태료 부과는 기업의 재무적 실적에 큰 타격을 줄 수 있습니다. 또한 국제 시장에서 신뢰를 유지하기 위해서도 고객과 파트너에게 데이터 프라이버시가 기업의 중요한 우선 과제임을 보여주는 것이 매우 중요합니다.
SEC는 사이버 보안 침해를 투자자에게 언제 보고해야 하는지에 대해 엄격한 규정을 가지고 있으며, 이는 기업이 재정 상황에 대해 투명하고 정직하게 대하는 것이 얼마나 중요한지를 보여줍니다. 최고재무책임자(CFO)의 경우 그러한 규정들을 숙지하는 것은 단순한 서류 작업이 아니라 회사의 안정성에 대해 주주들의 신뢰를 유지하는 직무의 일환입니다. 최근 몇 년간 보안 문제를 제대로 공개하지 못한 기업에 대한 SEC의 벌금이 증가하는 뚜렷한 경향이 있습니다. 작년 분기만 하더라도 데이터 유출을 늦게 보고한 세 개의 대기업이 벌금을 부과받았습니다. 현명한 기업들은 강력한 대응 전략을 미리 마련함으로써 준비를 합니다. 이에는 사고를 신속하게 식별하기 위한 명확한 절차와 관련 당사자에게 수일이 아닌 수시간 이내에 통보하며, 전 과정을 통해 투명하게 소통하는 것이 포함됩니다. 상황을 올바르게 대처한다면 회사의 평판이나 수익성에 반드시 막대한 손해를 초래하지는 않습니다.
공급업체 리스크 관리는 복잡한 공급망 전반에 걸쳐 기업 데이터를 안전하게 보호하는 데 필수적입니다. 과거 여러 사례에서 보듯이 제3자 관련 보안 침해로 인해 기업에 큰 문제가 발생하기도 했으며, 이는 적절한 심사가 얼마나 중요한지를 보여줍니다. 기업들은 Security Intelligence Gathering 프레임워크와 같은 도구와 정기적인 제3자 점검을 통해 파트너의 보안 수준을 평가하곤 합니다. 이러한 평가들은 외부 협력자들이 민감한 정보를 유출하는 상황을 방지하는 데 도움이 됩니다. 재무 담당자들이 최종 비용을 고려할 때, 철저한 공급업체 검증에 시간을 투자하는 것은 단지 좋은 관행이 아니라 잠재적 위협이 도사리는 공급업체 관계로부터 기업을 보호하기 위한 필수 조치이기도 합니다. 결국 어떤 하청업체의 부실한 사이버보안 관행으로 인해 자사의 평판이 훼손되기를 원하는 사람은 없기 때문입니다.
AI 기술의 발전은 네트워크 내 위협을 탐지하는 방식을 완전히 바꾸어 놓았으며, 이는 사이버 보안 분야에서 전례 없는 가능성을 열어주고 있습니다. 기업들은 이제 기계 학습과 다양한 AI 시스템을 활용해 문제들이 중대한 사안으로 악화되기 전에 조기에 발견하려 하고 있습니다. 일부 연구에 따르면 이러한 AI 기반 접근법은 전통적인 방법보다 위협 탐지 능력이 약 80% 더 뛰어난 것으로 나타났으며, 이는 보안 팀이 시스템을 보호하는 데 있어 실질적인 우위를 제공합니다. 기존 보안 인프라에 AI를 도입할 때, 좋은 결과를 얻기 위해서는 모든 요소들이 원활하게 통합되어 작동하는지 확인하는 것이 중요합니다. 이는 다양한 AI 도구들이 기존 시스템과 얼마나 잘 호환되는지를 평가하고, 동시에 특정 기업의 요구 사항에 맞게 도구들을 조정하는 과정을 포함합니다. 많은 조직들이 자신들의 고유한 요구사항을 충분히 이해하는 데 시간을 투자할 경우, 장기적으로 훨씬 더 나은 결과를 얻을 수 있다는 것을 발견하고 있습니다.
블록체인 기술은 거래의 투명성과 정직성을 유지하는 데 있어 독특한 가치를 제공합니다. 가장 두드러진 특징은 정보가 한 번 기록되면 이후에 변경할 수 없다는 점으로, 이는 자동으로 작동하는 감사 추적 경로를 만들어냅니다. 민감한 데이터 전송을 다루는 기업들은 이러한 기능을 매우 유용하게 활용하고 있습니다. 예를 들어 IBM은 실제로 블록체인 기술을 회계 프로세스에 적용하여 보안 수준을 높이고 데이터 오류를 줄이는 성과를 거두었습니다. 그러나 여전히 몇 가지 장애물이 남아 있습니다. 많은 사람들이 블록체인이 확장성이 부족하거나 너무 복잡하다고 생각하는 경우가 많습니다. 이러한 오해를 극복한다면 블록체인이 감사 분야에 제공할 수 있는 잠재력을 더 잘 보여줄 수 있을 것입니다. 이를 위해 기술이 어떻게 작동하는지에 대한 보다 많은 교육과 기술 자체의 지속적인 개선이 필요합니다.
제로 트러스트 아키텍처(Zero trust architecture)는 하이브리드 근무 환경을 보다 안전하게 유지하는 데 있어 필수적인 요소임이 입증되었습니다. 특히 팬데믹 기간의 봉쇄 조치 이후 기업들이 정상화 단계에 접하면서 이러한 필요성이 더욱 부각되고 있습니다. 이 접근 방식의 핵심 개념은 간단하지만 강력한데, 내부 네트워크가 안전하다는 전제를 두지 않고 모든 접근 지점에서 신원을 확인하는 것입니다. 최근 연구에 따르면 이 접근 방식을 도입한 기업들은 전통적인 보안 방식을 사용하는 기업에 비해 보안 사고가 약 50% 적은 것으로 나타났습니다. 제로 트러스트를 실제로 적용하려면 적절한 기술 도구를 선택하는 것이 중요합니다. 신원 관리 시스템 및 다중 인증(MFA)은 대부분의 구현에서 필수적인 요소입니다. 어떤 방식이 가장 효과적인지는 기업의 유형에 따라 달라집니다. 제조 공장은 온라인 서비스 제공업체와는 다른 보호 방식이 필요할 수 있습니다. 이를 올바르게 실행하기 위해서는 시간이 필요하며, 사이버 공격에 대비한 실제 방어 체계를 구축하기 전에 조직 내에서 민감한 데이터가 흐르는 경로를 정확히 파악하는 과정이 선행되어야 합니다.
양자 컴퓨팅은 빠르게 발전하고 있으며, 이는 우리가 사용하는 기존 암호화 방식들이 위험에 처했음을 의미합니다. 이제는 양자 공격에 견딜 수 있는 해결책을 마련하기 시작할 때입니다. 사이버보안 전문가들은 수년 전부터 양자 위협이 10년 이내에 현실 문제가 될 수 있음을 경고해 왔습니다. 다가오는 위험에 대비하기 위해서는 전 세계적으로 진행 중인 다양한 연구 프로젝트들을 면밀히 검토할 필요가 있습니다. 예를 들어, 미국 국립표준기술연구소(NIST)는 양자 컴퓨터가 등장하더라도 중요한 정보를 보호할 수 있는 새로운 암호화 표준 개발을 주도해 오고 있습니다. 앞서 나가고자 하는 기업들은 향후 암호화 시스템을 어떻게 관리할지 미리 고민하기 시작해야 합니다. 결국 아무도 누군가 더 뛰어난 컴퓨터를 만들고 나서야 데이터가 더 이상 안전하지 않다는 사실을 깨닫고 싶지는 않을 테니까요.
현대 기업 운영의 복잡성으로 인해 어려움을 겪고 있는 최고재무책임자(CFO)들에게 사이버 보험은 단순한 예산 항목이 아니라 위험 관리 전략에서 필수적인 요소입니다. 요즘은 데이터 유출 사고가 상당한 비용을 초래하며, 사고 처리가 끝났을 때 종종 수백만 달러의 손실을 입히게 됩니다. IBM이 2021년에 발표한 자료에 따르면 데이터 유출 사고의 평균 비용은 약 424만 달러로 나타났습니다. 사이버 보험은 이러한 예상치 못한 비용, 즉 사고 발생 후 법률 전문가 수임 비용, 손상된 시스템 복구 비용, 규제 기관의 벌금 등에 대응하는 데 도움을 줍니다. 이 보험에 대한 지출 규모를 검토할 때 재무 담당자들은 보험 비용 대비 혜택을 다른 보안 투자 영역과 비교해 판단해야 합니다. 보험은 최악의 시나리오에 대비할 수 있도록 해주지만, 현명한 기업들은 사고가 발생하기 전에 예방 차원에 자원을 투자하여 보험 청구 상황 자체를 겪지 않도록 노력해야 합니다. 결국 문제를 미연에 방지하는 것이 사후 조치를 취하는 것보다 훨씬 더 효과적입니다.
보안 인식 교육은 직원들의 행동 방식을 변화시키고 보안 문제를 줄이는 데 실제로 큰 차이를 만듭니다. 이러한 프로그램을 도입한 기업들은 보통 사고 발생 건수가 크게 감소하는 것을 경험하는데, 이는 해당 투자가 가치가 있음을 보여줍니다. 예를 들어 KnowBe4의 연구에 따르면 교육 프로그램 이수 후 피싱 시도가 약 90% 감소했습니다. 이러한 노력이 효과가 있는지 평가하려는 재무 담당자들은 시간이 지남에 따라 발생하는 사고 건수, 문제가 발생했을 때 대응 속도, 그리고 교육 세션 동안 직원들의 참여도 등을 종합적으로 살펴보는 것이 좋습니다. 또 다른 성공 지표로는 회사 전반에서 실제 보안 침해 사고가 줄어들면서 절약된 비용을 살펴보는 것도 좋은 방법입니다.
보드의 사이버 리스크 보고와 관련하여 기업이 장기적으로 현명한 결정을 내리기를 원한다면 이러한 문제에 대해 개방적이어야 합니다. 잘 작성된 보고서는 복잡한 기술 문제들을 경영진이 실제로 다룰 수 있는 형태로 전환시켜 줍니다. 기본적인 팁으로는, 언어를 간단하게 유지하고 우선적으로 중요한 리스크에 집중하며, 다음에 무엇을 해야 할지에 대한 제안을 잊지 마세요. 예를 들어 마이크로소프트(Microsoft) 같은 경우는 보드 보고서 측면에서 매우 앞서 있는데, 현재 발생하고 있는 보안 위협과 그에 대한 대응 상황을 실시간으로 보여주는 대시보드를 제작하고 있습니다. 이러한 투명성은 리더들이 문제들이 악화되기 전에 대응할 수 있도록 도와줄 뿐만 아니라, 투자자들과 고객들에게 기업이 자산 보호를 진지하게 받아들이고 있다는 점을 보여주는 계기가 됩니다. 결국 아무도 취약점들을 숨기는 기업에 투자하려 하지는 않을 테니까요.
기업이 컴퓨터 모니터 분석을 사이버 보안 계획에 도입하면 위협을 조기에 발견하는 능력이 실제로 향상됩니다. 사용자가 시스템과 상호작용하는 방식을 살펴보고 화면에서 이상한 패턴을 감지하면 문제가 완전한 공격으로 악화되기 전에 조기에 발견할 수 있습니다. 보안 담당 팀은 SIEM 시스템과 같은 도구에 의존하여 이러한 화면 활동 데이터를 수집하고 의심스러운 활동을 식별하는 경우가 많습니다. 예를 들어, 일부 기업은 모니터 분석을 도입한 이후 침해 가능성을 대응하는 속도가 최대 40% 빨라졌다는 것을 확인했습니다. 어떤 시스템도 완벽하지는 않지만, 많은 IT 관리자들이 네트워크 전반에서 실시간으로 발생하는 상황을 직접 확인할 수 있을 때 방어 능력에 대해 더 큰 자신감을 갖게 된다고 보고하고 있습니다.
다음 절로 넘어가는 문장: 최고재무책임자(CFO) 리더십을 통한 보안 운영화 접근 방식을 살펴본 데 이어, AI(인공지능), 블록체인 등 다른 혁신 기술이 컴퓨터 보안 기능을 재정립하면서 보안 분야의 지형을 어떻게 변화시키고 있는지를 구체적으로 살펴보겠습니다.
EN
AR
BG
HR
CS
DA
NL
FR
DE
EL
HI
IT
JA
KO
NO
PL
PT
RO
RU
ES
SV
TL
IW
ID
SR
SK
VI
HU
TH
TR
FA
AF
MS
SW
UR
BN
HA
KM
MN
UZ
