JP모건의 글로벌 최고정보보안책임자 팻 오펫은 미국 최대 은행의 보안을 위해 그의 팀이 주목하는 세 가지 트렌드를 언급했다.

첫째, 악의적 행위자들의 수법이 더욱 정교해졌다. 오펫은 "방어 측이 혁신을 거듭할 때마다 공격자들도 이에 발맞춰 발전하고 있다"고 말했다.

올해에만도 의료, 자동차 딜러십, 통신 대기업 등 주요 산업 분야에서 사이버 공격이 잇따랐다. IBM과 독립 연구기관 포네몬 연구소에 따르면, 2024년 데이터 유출 사고의 평균 비용은 10% 증가해 사상 최고치인 490만 달러를 기록했다.

오펫은 "생태계의 가장 큰 변화는 랜섬웨어 공격자들의 정교함"이라며, "국가 주도 세력과 사이버 범죄자들 간의 협력도 있어 둘을 구분하기 어려워졌다"고 덧붙였다.

둘째, 클라우드 기반 서비스형 소프트웨어 애플리케이션에 대한 의존도가 높아졌다. 이는 최근 몇 년간 인기가 급증했으며, 특히 팬데믹 기간 동안 기업들이 원격 근무를 도입하면서 그 사용이 크게 늘었다. 오펫은 "이러한 기술 변화로 인해 기업들이 이를 직원들에게 제공하는 과정에서 세심하지 못하면 취약점이나 실패의 가능성이 생길 수 있다"고 설명했다.

마지막으로, JP모건 자체가 기술 중심 조직으로 변모했다. 기계 학습, 공용 및 사설 클라우드, 생성형 인공지능 등 최신 기술을 적극 수용하고 있다. 회사는 모든 신입 직원에게 인공지능 교육을 실시할 계획이며, 올 여름 출시된 인공지능 비서는 이미 14만 명의 직원들이 사용하고 있다.

새로운 도구가 도입되고 직원들이 더 다양한 기술에 접근함에 따라, 오펫은 '연합' 접근 방식의 사이버 보안을 구축하고 있다. 최고정보보안책임자 팀의 보안 설계자와 엔지니어들이 개발팀에 직접 참여해 최신 생성형 인공지능 도구나 클라우드 플랫폼에 필요한 안전 장치를 구축한다.

오펫은 "물론 직원들에게도 책임이 있다"면서도 "우리는 생태계에 많은 보안 기술을 내장해 복원력을 제공하고 실수가 사이버 사고로 이어지지 않도록 하고 있다"고 말했다.

예를 들어, 직원이 실수로 피싱 이메일의 악성 링크를 클릭하더라도 해당 웹 페이지는 컴퓨터의 나머지 부분과 분리된 격리 컨테이너에서 열리게 된다. 이를 통해 악성 코드가 PC를 감염시키는 것을 방지할 수 있다.

JP모건은일부 사이버 보안 솔루션을 외부 업체로부터 구매하고 있다. 오펫은 구체적인 업체명은 밝히지 않았지만, "규모의 문제가 있거나 시장에서 얻을 수 없는 역량 격차가 있다고 판단되면 자체 개발을 선택한다"고 말했다.

사이버 보안 업계 전반에 걸쳐 오펫은 다중 인증의 복원력 강화가 필요하다고 지적했다. 다중 인증은 애플리케이션이나 온라인 계정에 접근할 때 둘 이상의 인증 방식을 요구하는 보안 방법이다. 다중 인증이 널리 보급되면서 공격자들은 이를 우회할 방법을 찾는데 더욱 열을 올리고 있으며, 최근 몇 년간 다중 인증의 취약점을 노출시키는 데 성과를 거두고 있다.

기업들이 서비스형 소프트웨어 솔루션에 더 의존하게 되면서, 두 개의 소프트웨어 도구가 인간의 개입 없이 정보를 공유하고 다중 인증을 사용해 이러한 연결을 인증하는 경우도 있다. 이러한 기계 간 관계는 또 다른 잠재적 노출 영역을 제시한다. 오펫은 "기계 간 영역에서 큰 발전이 이뤄져야 한다"며 소프트웨어 플랫폼 간 정보 공유를 인증하는 더 나은 메커니즘이 필요하다고 주장했다.

그는 CDK 글로벌에 대한 6월의 사이버 공격을 또 다른 경고로 보고 있다. 수천 개의 자동차 딜러십이 딜러십 관리 시스템 장애로 피해를 입었는데, 이는 두 가지 트렌드를 보여준다. 최근 기업들이 서비스형 소프트웨어 솔루션을 선호하고 있으며, 최고의 공급업체들이 특정 부문에서 거의 독점적인 고객을 확보하고 있다는 점이다.

오펫은 "이 두 가지 요인으로 인해 우리는 체계적으로 다양한 부문에서 집중 위험으로 향하고 있다"고 말했다. 이에 대응해 JP모건은 공급업체들과 긴밀히 협력하여 그들의 복원력과 복구 방법을 명확히 이해하고 있다. 오펫은 "사이버 보안과 관련해 제3자의 성과를 관리할 더 나은 방법을 모색하고 있다"고 밝혔다.

/ 글John Kell & 편집 김타영 기자young@fortunekorea.co.kr