오늘날 금융사들은 어느 때보다 더 빠르고 개인화된 디지털 서비스를 제공해야 하며, 금융 서비스 디지털 전환이 빠르게 이루어짐에 따라 해커들의 주요 표적이 될 확률이 더 높아졌다.
세일포인트 조사에 따르면 금융기관 중 93%는 지난 2년간 신원일치와 관련한 아이덴터티(Identity) 관련 보안 침해 사고를 겪었다고 답했다. 금융서비스를 중심으로 본 아이덴터티 보안의 현황(2023) 보고서에 따르면 조사 응답자 중 72%가 지난 2년간 아이덴터티 관련 침해 사례가 늘어났다고 응답, 침해 사례가 더 빈번해지고 있음을 보여준다. 이로 인해 아이덴터티 보안은 금융분야 전반에 걸쳐 투자 우선 순위로 고려되고 있다.
아이덴터티 관리는 금융 기관 내 보안을 담당하고 있는 팀이 극복해야만 하는 과제이다. 조사에 따르면 IT 담당자들은 근무시간의 4분의 4 이상(29%)을 아이덴터티에 대한 액세스와 액세스 요청에 대한 허가 관리를 하는 데에 할애한다고 한다.
복잡한 기업 구조와 부서 사일로화는 역할과 책임, 그리고 데이터 액세스에 대한 가시성을 크게 저하시킨다. 직무분리(SoD)를 유지하는 동시에 오류나 도용사기의 위험을 최소화하기 위해 금융 기관들은 어떠한 임직원들의 권한이 중복되면 안 되는지를 정의한다.
임직원들의 승진이나 보직 순환 등은 오버 프로비저닝 또는 권한 불일치 등의 결과를 초래할 수 있고, 이러한 것들은 시스템을 보안 침해나 외부 위협으로부터 더 취약하게 만들 수 있다.
이 때문에 아직도 스프레드시트 등 수동 방식으로 사용자들의 아이덴터티를 관리 및 액세스 프로비저닝을 하는 IT와 보안 팀들은 뒤쳐질 수밖에 없다. 오류, 불일치 등의 가능성과 감사 또는 보고 시에 일어날 수 있는 문제들 외에, 이러한 기존의 방식은 시스템에 보안의 심각한 공백을 만들고 사이버범죄자들은 이러한 공백을 악용할 기회를 상시 호시탐탐 노리고 있다.
오늘날 금융 기관들은 파트너, 벤더, 계열사, 계약 업체 등 다양한 서드파티와 협업하고 있다. 이러한 비직원들은 기업 내 데이터와 시스템에 대한 적절한 접속 권한이 주어져야 하지만, 각각의 서드파티 아이덴터티에 대한 생애 주기 전체에 걸친 추적 및 관리의 필요성은 간과되는 경우가 많다.
금융 기업들은 일반적으로 파트너나 벤더 수준에서 보안 위협을 평가하며, 사용자 아이덴터티의 온보딩과 관리 책임도 이들에게 맡기고 있다. 이로 인해 주기적인 아이덴터티 확인이나 불필요한 아이덴터티 삭제 등의 작업은 거의 불가능하다고 볼 수 있다. 이러한 상황은 조직이 서드파티 사용자와의 관계를 중앙 집중화된 시각으로 볼 수 없도록 할 뿐만 아니라, 핵심 생애 주기 프로세스들을 관리하는 자동화된 프로세스가 없기 때문에 우려스러울 수 있다.
잘 짜여진 아이덴터티 관리 전략은 IT 팀이 파트너, 계약자, 고객, 커넥티드 디바이스, 직원들의 접근 권한을 보다 효과적으로 관리할 수 있도록 돕는다. 만약, AI를 기반으로 한 아이덴터티 보안 솔루션을 적용한다면, 금융 서비스 업계는 모든 아이덴터티에 대한 보안 강화와 향상된 가시성 및 통찰력을 보장할 수 있을 뿐 아니라, 아이덴터티 역할을 자동으로 생성하고 유지할 수 있게 된다.
AI기반 아이덴터티 보안 솔루션은 비용을 절감하고 운영 효율성을 향상시킬 수 있다. 새로운 직원들이 신속하게 온보딩되며, 서드파티를 포함한 모든 아이덴터티는 자동으로 적절한 리소스에 대한 적정한 액세스 권한을 얻으므로 IT 팀의 부담을 줄여준다. 세일포인트 조사에 따르면 응답자의 45%가 아이덴터티 보안 솔루션의 주요 장점으로 IT 및 보안 팀의 비용 또는 시간 절약을 들고 있다.
또한 관리자들의 44%는 모든 사용자에 대한 통제와 가시성이 아이덴터티 보안의 주요 이점이라고 답했다. IT 팀은 AI를 이용해 고객센터 챗봇 등의 봇 아이덴터티를 포함한 모든 아이덴터티의 액세스와 권한, 권리 자격에 대한 포괄적인 가시성을 확보할 수 있고 AI는 과도한 권한이나 비활성 계정을 탐지하고 위협을 줄이기 위해 액세스 승인 또는 취소를 권고할 수 있다. 또한, 아이덴터티 보안 솔루션을 비즈니스 애플리케이션과 통합하는 기능은 기업의 소유, 레거시 솔루션, 민감한 데이터 등 엔터프라이즈 인프라 전반의 아이덴터티 보안을 보장할 수 있다.
IT 팀들이 상시로 운영 및 규정 준수와 같은 과제를 직면하는 금융 서비스와 같은 엄격한 규제가 있는 산업에서는, 향상된 아이덴터티 보안 솔루션은 권한과 액세스 통제를 시행할 수 있고 잠재적 오류를 식별하는 감사 가능한 보고서를 자동으로 생성할 수 있다. 뿐만 아니라, 이러한 솔루션은 액세스 인증 캠페인을 가속화하고, 감사 관리자에게 컴플라이언스를 입증하기 위해 실시간 액세스 보고서를 제공할 수 있다.
포네몬 연구소(Ponemon Institute)의 보고서에 따르면 AI와 자동화를 보안에 도입한 기업과 그렇지 않은 기업의 보안 위반 사례로 인한 비용의 차이는 65.2%로 나타났다. 이는 AI와 자동화가 보안 비용에 가장 큰 영향을 미쳤다는 것을 명확히 보여준다.
금융 서비스 부문이 더 디지털화되고 상호 연결됨에 따라, 이 부문은 앞으로도 계속해서 사이버 범죄자들의 주요 표적이 될 것이다. 이에 따라 현대적인 아이덴터티 보안 솔루션은 사용자 액세스를 보다 효율적으로 관리하고 인증하기 위해 프로세스를 간소화하고 우선순위를 지정할 수 있으며, 사이버 공격 가능성이 있는 징후를 감지해 자동으로 방어 패치를 생성하여 인간의 개입 없이도 자율적으로 대응할 수 있다.
이를 통해서 금융 기관들은 빠르게 변화하는 디지털 환경 속에서 신속하게 적응할 수 있고, 생산성도 향상시킬 수 있으며, 한국 금융위원회의 컴플라이언스 및 규정 기준을 준수하기 위해 보안 및 컴플라이언스 문제에 선제적으로 대응할 수 있다.
지정권 세일포인트 코리아 지사장
