2014년 소니 픽처스 해킹 사건은 거의 모든 산업의 경영자에게 큰 충격을 주었다. 특히 금융 서비스 업계의 위기감은 더 컸다. 이 사건 이후 금융 서비스 업계는 업계 전반의 역량을 모아 사이버 복원력(cyber resiliency)을 한 단계 높이는 프로젝트를 시작했다. 바로 '셸터드 하버(Sheltered Harbor, 안전 피난처)'를 만든 것이다.
셸터드 하버의 CEO 트레이 마우스트는 "어느 날 갑자기 금융 서비스 업체의 서버 인프라스트럭처 절반이 날아갔고, 백업 데이터마저 오염됐다면 어떤 상황이 벌어질까? 또 금융 서비스를 이용하는 고객의 은행 잔액이 갑자기 0이 된다면? 상상할 수 있는 가장 끔찍한 사고 중 하나일 것이다. 이처럼 해킹은 금융기관과 고객은 물론 금융 서비스 산업 전반에 대한 공공의 신뢰까지 한번에 무너뜨릴 수 있다”라고 말했다.
금융 서비스 업체는 주기적으로 FS-ISAC(Financial Services–Information Sharing and Analysis Center)의 해밀튼 시리즈(Hamilton Series) 훈련을 받는다. 여러 가지 사이버 보안 사건이나 공격 시나리오를 시뮬레이션해 실제 사건이 발생했을 때 빈틈 없이 대처할 수 있도록 하는 것이다. 이런 훈련을 반복하는 과정에서 '셸터드 하버 스펙(Sheltered Harbor Specification)'이라는 이니셔티브가 탄생했다. 데이터 유출이나 사이버 공격 시 금융기관 고객의 계좌와 데이터를 보호하고 기관의 사이버 복원력을 강화하는 것을 백서로 상세하게 기술했다. 이를 더 발전시킨 것이 '셸터드 하버'다. 금융기관과 업계의 거래 그룹 및 그 리더, 중개업자, 그리고 핵심 프로세싱 공급자가 모여 2015년 비영리 단체로 출범시켰다.
초기에 셸터드 하버의 과제는 표준화되고 안전하며 암호화된 데이터 원격 보관(data vaulting) 솔루션과 복원 표준, 그리고 엄격한 준수 프레임워크를 만드는 것이었다. 금융기관의 비즈니스 연속성과 재해 복구(BC/DR) 솔루션을 강화하는 것도 중요한 목표였다.
마우스트는 “우리는 해킹이나 데이터 유출 같은 사고가 발생했을 때 이것이 공공에 미치는 영향력을 관리, 통제할 수 있는, 업계 전반을 아우르는 이니셔티브를 마련하는 데 주력하고 있다. 은행을 찾은 고객이 잔액이 갑자기 0이 되거나 아예 계좌를 확인할 수 없다면 어떻게 될까? 이 때 고객은 과연 계좌가 원래대로 복원될지, 다른 은행도 공격을 받은 것은 아닌지 걱정할 것이다. 우리는 어떤 상황에서도 고객의 데이터를 안전하게 보호하고, 사이버 공격이 발생한 직후에도 최소한 제한적인 액세스를 지원해 불편하더라도 고객이 예금에 액세스하고 금융 거래를 할 수 있도록 유지하도록 지원하는 것을 목표로 한다"라고 말했다.
셸터드 하버 설립에는 은행은 물론이고 중개업, 연방 감시 기구, 지역 은행, 신용협동조합, 어음교환소, 전국 무협협회와 핵심 프로세서 등 금융업계 각 분야 출신 34인의 대표자가 참여했다. 이들 창립 멤버는 현재도 셸터드 하버의 관리이사로 활동하고 있다. 셸터드 하버의 창립 멤버이자 현재는 FS-ISAC의 CEO인 빌 넬슨은 "업계 전반을 관통하는 공통 표준과 관행을 확립하기 위해 다양한 배경의 전문가가 협력했다. 셸터드 하버 스펙은 데이터 원격 보관 그 자체에 대한 요건을 제시하는 것은 물론 데이터 복원력이나 재해 복구 단계, 그리고 사고 직후 액세스 허용시 정해진 절차 준수에 필요한 요건을 제시한다"라고 말했다.
새로운 이니셔티브의 필요성
셸터드 하버는 은행, 중개업, 마케팅 및 커뮤니케이션, 신용조합, 핵심 프로세서, 그리고 기타 금융 서비스 업계의 여러 부분 집합에 대한 전문성을 갖춘 인재 풀로 운영된다. 또한 셸터드 하버와 업계 전반이 이 표준 요건을 준수하는지 감독하는 워킹 그룹도 활동 중이다. 마우스트는 "워킹 그룹은 셸터드 하버의 표준이 제대로 이행되고 있는지 관리, 감독하며, 멤버가 이니셔티브에서 자신이 맡은 역할과 책임을 다하지를 중점적으로 본다"라고 말했다.
셸터드 하버가 제시하는 금융업 보안 패러다임의 핵심은 “중요 계정 데이터”를 원격 보관하는 것이다. 바로 '셸터드 하버 데이터 볼트(The Sheltered Harbor Data Vault)'다. 금융기관의 고객 계좌 정보의 특별 복사본을 저장하는 컨테이너 또는 일종의 데이터 벙커라 할 수 있다. 마우스트는 "설령 해커의 공격을 받아 금융기관의 데이터가 싹 지워져도, 해당 기관을 대신해 비즈니스를 운영하기로 자체 선정한 또 다른 금융기관을 통해 피해 기관의 자산을 복원할 수 있다. 이러한 데이터는 변경이 불가능하며, 피해 지점과 멀리 떨어진 곳에 안전하게 보관된다. 뿐만 아니라 공격 직후에도 필요할 경우 액세스가 가능하고, 무엇보다 분산돼 있어 중앙화 된 데이터보다 해커의 타깃이 될 확률이 줄어든다"라고 말했다.
원격 보관은 셸터드 하버에서 처음 고안한 개념이므로, '중요 계정 데이터'에 무엇을 포함시킬지 많은 논의가 필요했다. 넬슨은 "처음에는 업계 전체가 수백 가지 공통 데이터 요소에 의견을 합치하는 것이 거의 불가능하리라고 봤다. 하지만 놀랍게도 창립 멤버가 합의를 이루는 데에는 단 며칠 밖에 걸리지 않았다. 보통 이렇게 참여하는 인원이 많으면 모두가 100% 참여할 것이라 기대하기 힘든데, 셸터드 하버는 처음부터 많은 멤버가 놀라울 정도의 의욕과 관심을 보여 주었다"라고 말했다.
실제로 당시 많은 금융기관을 대표하는 전문가가 참여 의지를 보였다. 규제 당국이 주도하는 이니셔티브는 아니었지만, 그 필요성을 분명하게 인지한 이들이 많았기 때문에 기관의 참여를 이끌어 내기가 어렵지 않았다. 그러나 넬슨에 따르면, 더 놀라운 것은 이들이 보여준 업계 최고 수준의 에너지와 협력, 협업 의지였다. 그는 "신용협동조합에서 지방 은행, 핵심 프로세서, 그리고 중개업에 이르기까지, 모두 한 목소리가 되어 ‘이런 이니셔티브가 정말 필요했다’고 외쳤다. 현상을 개선하기 위해 뭔가를 할 수 있는 기회가 주어졌는데, 혼자서만 손가락 빨고 있을 수는 없다고 생각 했을 것이다”라고 말했다.
올해 셸터드 하버의 운영 목표는 셸터드 하버 스펙 이니셔티브를 더 널리 알리는 것이다. 물론, 사이버 범죄자에게 공격의 여지를 줄 수 있는 중요한 정보는 드러내지 않아야 한다. 마우스트는 “올 해 우리의 주력 업무는 업계 전반에 우리가 무엇을, 왜 하고 있는지 알리는 것이다. 올 한 해는 우리의 이니셔티브에 대한 산업 전반의 인지도를 높이는 한 해가 될 것이다. 물론 악의를 가진 해커가 이러한 정보를 이용해 셸터드 하버를 노릴 수도 있지만, 이에 대한 대비도 충분히 돼 있다”라고 말했다. ciokr@idg.co.kr