[기고] 금융 및 리테일 업계의 디지털 트랜스포메이션과 보안

요사이 세계 리테일 및 금융 업계의 데이터 유출 소식과 데이터 보안 뉴스를 자주 접하게 된다. 빈번하게 발생하고 있는 금융권의 해킹 사건 중 특히 1년 반 전에 발생한 미국 신용평가기관 에퀴팩스(Equifax) 해킹 사건은 1억 4800만 명의 미국 성인 개인정보가 유출되었지만 지금도 도난 데이터 행방이 묘연하다.

금융 및 리테일의 해킹사고는 보다 편리한 서비스를 제공하기 위해 기존 인프라를 디지털 방식으로 전환함에 따라 더욱 증가하고 있다. 디지털 트랜스포메이션은 효율적인 관리, 빠른 서비스, 경제성 등 수많은 장점을 가지고 있다

하지만 기술 구현에 급급해 보안이라는 핵심 요소를 간과할 경우 기업전체를 위험에 빠뜨릴 수도 있다.

특히, 클라우드 환경에 저장된 지불결제 데이터는 기업이 디지털 트랜스포메이션을 이행할 때 각별히 주의해야 할 데이터다.

올해 초 발표된 '2019 탈레스 데이터 위협 보고서 글로벌판(2019 Thales Data Threat Report-Global Edition)’에 따르면, 세계 IT 및 보안 임원 절반 이상이 결제 카드의 세부 정보 또는 기타 개인식별정보의 노출에 대해 심각히 우려하고 있지만, 이들 중 70%는 우려만 할 뿐 보안 유지를 위해 데이터 암호화 같은 적절한 조치를 취하지 않고 있음이 밝혀졌다. 이는 현재 지불결제 데이터의 취약한 보안상태를 그대로 보여준다.

데이터 위협기술은 고도로 정교화 되고 있어 데이터 보안 위협에 ‘면역성’을 가지고 있는 기업은 존재하지 않는다.

'2019 탈레스 위협보고서'는 가장 고도화된 디지털 인프라를 갖춘 기업도 데이터 유출을 겪고 또 정교한 데이터 기업일 수록 유출을 경험했을 가능성이 높음을 보여주고 있다. 고도화하는 사이버 위협으로부터 재무 등 중요한 데이터를 보호하려면 어떻게 해야할까?

첫째, 기업은 설계 단계에서부터 보안을 구축하는 제품을 찾아야 한다. 이는 POS(Point-of-Sale) 시스템 및 지불결제 소프트웨어를 통해 중요한 고객 정보를 전송 및 저장할 때 특히 중요한 부분이다. 고객이 스마트폰과 스마트워치 같이 안전하지 않을 수 있는 디바이스를 통해 구매하는 것도 이 범주에서 고려해야 한다. 지불과 관련된 엔드포인트 보안은 강력한 PKI 및 암호화를 통해 해결이 가능하다.

둘째, 효과적인 데이터 보안을 위해서는 하드웨어 및 소프트웨어가 결합된 보안 전략이 필요하다. 기존의 신용카드는 엔드투엔드 하드웨어 기반 보안 인프라를 사용하지만 디지털 지불 결제는 다르다. 모바일 디바이스를 통한 부정 거래를 최소화하기 위해 서비스 공급자의 강력한 리스크 관리 및 하드웨어 기반 보안 시스템의 다양한 소프트웨어적 접근 방식을 취해야 한다.

마지막으로, 지불 결제와 관련된 민감데이터를 올바르게 처리하기 위해 IT담당자, 고객 서비스 및 관리 담당자들을 교육해야 한다. 보안 사고는 내부에서 일어나는 경우가 많은데, 최근 에이수스(ASUS)에서는 직원들이 보안 데이터 관리소홀로 대량의 고객 정보가 불법판매 되는 사건이 일어났다.

디지털이 일상화되면서 기업들은 디지털 플랫폼을 통해 보다 다양한 서비스를 제공하고 있다. 따라서 기업들은 고객 및 민감 데이터를 다루는 직원들을 대상으로 엄격한 데이터 취급 교육 및 엄중한 데이터 보안 인식 교육을 해야 한다.