“금융사 데이터 사일로, 위협 늘리고 회복력 낮추는 원인”
[인터뷰] 스티브 래컴 넷앱 금융서비스총괄 최고기술책임자(CTO)
“넷앱이 보는 데이터 사일로는 저장 방식의 차이로 발생하는 데이터 간 불통과 고립된 상태다. 데이터가 각기 다른 기술을 활용해 저장되다보니 고립돼 있고, 관리되지 못해 안전한지 파악하지 못하고 있다. 이는 데이터에 대한 대규모 접근을 요구하는 AI 시대에도 맞지 않다.”
스티브 래컴 넷앱 금융서비스 총괄 최고기술책임자(CTO)는 최근 <바이라인네트워크>와 인터뷰에서 이같이 밝혔다.
금융산업의 디지털화는 가파르게 진행되고 있다. 다양한 금융업종의 디지털 기술과 데이터 중요성은 커지고 있지만, 여전히 많은 금융기업은 흩어진 데이터를 제대로 관리하지 못해 어려움을 겪고 있다.
은행, 보험, 카드, 증권 등 금융업에서 AI 기반 부정 거래 탐지, AI 기반 신용 평가, 개인화 서비스 등을 채택하고 있다. 금융기관이 축적하는 데이터의 양도 적지 않아서, 많은 가치를 창출할 수 있는 잠재력도 가졌다. 이런 디지털 금융 전 영역의 핵심은 정확하고 안전한 데이터다. 하지만 금융사의 데이터는 레거시 시스템과 클라우드에 분산돼 있다.
금융기관은 내부적으로 각 사업별로 애플리케이션과 시스템을 별도로 구축해왔다. 사업마다 내부 요건과 규제수준이 다르기 때문이다. 데이터가 시스템 종속적으로 존재하면, 여러 성격의 데이터를 종합적으로 활용하기 힘들다.
스티브 래컴 CTO는 “금융사의 데이터 사일로는 SAN, NAS, 오브젝트 등의 스토리지 타입의 이질성과, 여러 온프레미스와 클라우드를 혼용하는 배포 환경 차이에서 발생한다”며 “금융사가 다른 기업을 인수합병하는 과정에 새로운 기술을 취득하면서 나타나는 데이터 사일로도 있다”고 설명했다.
그는 “각 부서별로 데이터를 따로 둔다고 해도 조직 내에서 여러 서비스를 위해 똑같은 데이터를 복제해 여러 공간에서 활용하게 된다”며 “모든 데이터가 연결되지 않고 각자 사용되면서 함께 관리되고 이해되지 못하는 문제를 낳는다”고 덧붙였다.
그에 따르면, 전세계에서 생성되는 데이터의 68%는 전혀 활용되지 않고, 사일로에 갇혀 있다. 데이터를 잘 분류하고 정리해 관리해야 보안성 확보와 가치 창출에 유리하지만 해결하기 쉽지 않다. 데이터 사일로는 단순한 운영 불편을 넘어, 사고 탐지 지연, 규제 대응 실패, 사이버 위협 노출 등 치명적 결과를 초래한다. AI 도입이 필수로 요구되는 시대에 일관적이고 신뢰도 높은 데이터를 알고리즘에 대규모로 연결해야 하는데, 이는 금융사의 평판과 법적 책임까지 좌우한다.
최근 금융업계를 노린 사이버 공격도 거세지고 있다. 랜섬웨어 공격과 데이터 유출은 금융 소비자 피해를 유발하고, 금융 서비스의 장애와 중단을 초래한다. 기본적인 금융 시스템 장애와 함께 외부 공격에 따른 서비스 붕괴가 금융회사 생사를 가르는 요소가 됐다. 데이터 회복력을 제대로 갖추는 게 이제 필수다.
스티브 래컴 CTO는 “최근 유럽과 미국의 금융업계는 디지털 회복력을 비용보다 리스크 제어로 접근하는 변화를 보이고 있다”며 “전산 장애에 대처할 여유는 없어졌고 고객의 편의성뿐 아니라 규제 차원에서도 디지털 회복력을 요구하고 있다”고 말했다.
그는 “유럽의 디지털 운영 복원법(DORA) 사례처럼 규제 차원에서 서비스 가용성 100%를 목표로 요구하고 있고, 규제 당국의 압력도 거세다”고 덧붙였다.
유럽연합(EU)이 올해부터 시행한 DORA(Digital Operational Resilience Act)는 금융업계의 디지털 전환으로 인해 발생하는 리스크를 방어하고 금융 서비스 생태계의 사이버 안정성을 촉진해 은행, 금융 부문, 금융 시스템이 사이버 보안 인시던트를 예방하고, 대응하고, 복구할 수 있도록 지원하는 것을 목표로 한다. 이를 위해 금융 기관의 비즈니스 프로세스를 지원하는 네트워크 및 정보 시스템의 보안에 관한 통일된 요구사항을 규정한다. ICT 리스크 관리, 주요 ICT 관련 사고 보고, 디지털 운영 안정성 테스트, 정보 공유, ICT 써드파티 서비스 사용과 관련된 조치 및 요구사항 등을 포함한다.
그는 “최근 영국 대형은행이 사이버 공격 때문에 3일 간 장애를 일으켰다”며 “금융 규제 당국은 해당 사건을 조사하면서 12개의 질문을 해당 은행에 던졌고, 최고 9대 은행에도 동일한 질문을 하면서 과거 문제를 점검하는 운영 리스크 조사도 실시했다”고 말했다.
그는 “한국도 사이버공격에 따른 운영리스크에 규제 압력이 더 많다고 본다”며 “최근 한국인터넷진흥원(KISA)가 발표한 것처럼 12개월 간 사이버공격이 전보다 48% 증가했다는 통계 자체가 사이버 공격 리스크에 당국이 중점을 두고 있다는 걸 보여준다”고 강조했다.
넷앱은 분산된 데이터를 통합하고, 클라우드와 온프레미스를 아우르는 AI 최적화형 아키텍처를 통해 데이터 사일로 문제와 디지털 회복력 확보 문제를 해결하고 있다. 단순히 데이터를 저장하는 것이 아니라, 데이터 주권과 거버넌스를 훼손하지 않고 고립된 사일로를 제거하며, 민감 데이터의 이동과 접근도 정교하게 제어한다.
그는 “넷앱의 스토리지 기술은 안전한 방식으로 데이터를 저장하는 인프라로서 어떤 스토리지 프로토콜이든 접근하게 할 수 있고 사일로를 깨고 언제어디서나 접근가능하게 하는 액세스 방식을 제공한다”며 “통합된 하나의 개방적 접근 경로를 제공한다는 것”이라고 설명했다.
그는 “또한 인텔리전트 데이터 스토리지 인프라로서 데이터 접근뿐 아니라 데이터의 위치와 보관 안전성 등의 인사이트를 제공한다”며 “누가 어디서 접근하는지 클라우드나 온프레미스에 상관없이 언제나 가시성을 확보해준다”고 덧붙였다.
그는 보안이나 리스크 관리에서 99.9999% 가용성을 제공하고, 운영효율성을 경쟁사 대비 85% 향상시킬 수 있으며, AI 인사이트를 40% 이상 높일 수 있다고 제시했다. 그는 “넷앱은 모든 스토리지 자원을 최적화함으로써 비용효율성과 총소유비용(TCO) 측면에서 경쟁사 대비 30~50% 낮으며, 지속가능성 측면에서 탄소발자국은 50% 이상 낮다”고 말했다.
구체적으로 넷앱은 보호(Protect), 탐지(Detect), 복구(Recovery) 등의 부분에서 기업의 데이터 관리를 지원한다.
보호 측면에서 스토리지 저장 데이터에 엔드투엔드 암호화를 제공한다. 데이터 복제본은 재생성이나 삭제 불가능하게 잠글 수 있고, 최고관리자만 인증해 접근할 수 있는 기능을 제공한다.
넷앱은 데이터 관리 기능에 AI 기반의 인텔리전트를 투입해 데이터 보호 역량을 높였다.
그는 “탐지 측면에서 여러 암호화 돼 있는 파일을 모니터링하다가 필요 이상으로 암호화되는 작동을 탐지하면 해당 잡을 즉시 멈추게 할 수 있다”며 “비정상적인 부분을 감지해 어떤 시스템적 증상이나 비정상적 접근을 차단하고, 사용자의 활동을 중단시키며, 관리자에게 알리기도 하고, 필요한 경우 데이터를 복제해서 따로 관리한다”고 설명했다.
그는 “복구 측면에서 랜섬웨어 공격을 받았을 때 다운타임을 최소화하고 몸값을 지불하지 않고 최대한 빨리 복구할 수 있게 지원한다”며 “페타바이트급 데이터를 수분내 복구하게 할 수 있는 기능이 넷앱 온택에 오래전부터 갖춰져 있다”고 강조했다.
넷앱은 디지털 회복력 확보와 사이버 공격 방어 시나리오에서 자사의 스토리지 플랫폼을 최종 방어선 역할을 한다.
래컴 CTO는 “사이버 공격이 네트워크와 서버의 모든 방어막을 뚫고 스토리지까지 왔을 때 넷앱이 최종 방어선이 된다”며 “이상 징후를 발견하면 통지하고 조치하도록 AI로 비정상을 항상 감시하고 있다”고 말했다.
데이터 사일로, 디지털 회복력, 사이버 공격 방어 등의 문제는 새롭지 않다. 꽤 오랜 시간동안 문제제기와 실제 피해사례가 많이 있었고, 기업도 나름 적지않은 투자를 해왔다. 그럼에도 쉽사리 해결되지 않고 있다.
이에 대해 래컴 CTO는 “오늘날 공격자는 빠르게 신기술과 새 기법을 채택해서 공격하지만, 금융기관은 규제와 규정, 절차 때문에 대응과 변화가 느리다”며 “또한 금융 기관의 운영 방식이 서버, 네트워크, 앱 등의 보안에만 신경쓰고 데이터 보안에 신경을 덜 쓰는 문제도 있다”고 말했다.
그는 “문제는 결국 다시 데이터 사일로로 돌아간다”며 “데이터가 아주 많이 있음에도 불구하고 관리를 제대로 하지 않고, 수많은 보안 옵션을 갖추면서도 보안 빌트인된 솔루션을 갖추지 못한 게 문제”라고 지적했다.
글. 바이라인네트워크
<김우용 기자>yong2@byline.network
