미국, 사이버 안전 심사위원회 설치... 과거 사이버 공격 분석으로 대응 찾는다

출처: Pixabay

 

2021년 9월, 보안 소프트웨어 기업 ‘트렌드 마이크로’는 ‘2021 상반기 보안 위협 보고서’에서 거물급 은행을 노린 랜섬웨어 공격이 작년 대비 1,318% 증가했다고 밝혔다. 증가 원인은 거래 비대면화, 가상화폐 출현 등 빠르게 변한 금융환경과 COVID-19로 인한 경제 악화로 보고 있다.

그중 가장 많이 증가한 곳은 미국이다.
미국은 전 세계서 2초마다 랜섬웨어 공격을 당하고 있으며, 올해 피해액으로 24조 원이 측정되었다. 재작년 1억 6000만 명의 은행 고객 정보가 유출된 사건을 겪은 나라인 만큼, 은행 대상 사이버 보안 사고로 인한 피해를 막기 위해 보안을 강화하고 있다.

계속 사이버 보안 사고가 발생하는 이유 중 하나는 피해 기업들이 신고를 미루기 때문이다. 기업 평판, 신뢰도와 주가 하락을 우려해 피해 사실을 숨기다가 2차 피해까지 발생하고 있다.

지난 11월, 미국 금융 감독 당국은 미국 모든 은행을 대상으로 심각한 사이버 보안 사고가 발생하면 의무적으로 36시간 이내 신고를 해야 한다는 법령을 공표했다. 의무적으로 신고해야 하는 보안 사고에는 고객이 은행 서비스를 장기간 이용할 수 없는 대규모 디도스 공격이나 해킹 사건 등이 있다.

출처: Pixabay

사고가 발생하면 은행은 업무 처리가 가능한지, 고객 응대에 이상이 없는지, 금융 섹터가 안정적인지에 대해 연방 규제 기관에 알려야 한다. 또, 4시간 이상 서비스 이용이 어려울 때는 가능한 한 빠르게 고객에게 공지해야 한다.

트로이 목마 같은 맬웨어, 악성코드뿐만 아니라 단순 고장, 휴먼에러 등에 의해서도 보안 사고는 발생할 수 있다. 또한 최근 금융업계를 겨냥한 사이버 공격의 빈도가 심각하게 증가하고 있으며, 결국 업무를 중단시키는 악영향을 끼치기도 한다.
연방예금보험공사(이하 FDIC), 연방준비제도이사회(이하 Board), 통화감독청(이하 OCC)이 승인한 이 법률은 2022년 4월 1일 정식 발효되고 2022년 5월 1일부터 반드시 준수해야 한다.

FDIC는 “해당 규정은 3개 은행기관 (FDIC, Board, OCC) 보험에 가입하거나 규제받는 기관, 은행에만 적용된다. 금융 스타트업이나 핀테크 기업에 적용될지는 아직 확실하지 않다”라고 말했다.

금융 감독당국은 2020년 12월 법령을 발의했으나, 부정적인 의견이 많아 일부 수정한 후 공표했다.
그중 ‘사이버 보안 사고가 발생하면 곧바로 보고해야 한다’는 법률로 심각하지 않은 사건도 과잉 보고될 우려가 있다는 의견이 있어 해당 내용을 수정하였다.

법령을 지지하는 단체 중 하나인 은행정책 연구소(BPI)는 “당국이 처음 제시한 신고 기준은 광범위하고 주관적이었다. 당국 또한 동의하여 법령을 수정한 것이다.”라고 말했다.

Photo, Edit 이동희

 

글쓴이 박춘식 고문이 있는 마크애니는 세계 최초로 문서보안 솔루션을 개발하고 위변조방지기술을 최초로 상용화한 보안업계 선도 기업입니다.
정보 보안을 넘어 미래 혁신 기술에 도전하고 있는 마크애니

마크애니 박춘식 고문는 10년 이상 매주 ‘보안 이야기’를 연재중인 보안 전문가이다. Tokyo Institute of Technology에서 박사 학위를 취득하고, 국가보안기술연구소 소장을 거쳐, 서울여자대학교 교수를 역임하였다. 현재는 아주대학교 사이버보안학과 교수로 재직중이다.

보안이야기 리스트 보기