신뢰할 수 있는, 인증된, 위험한: 은행이 직면한 새로운 내부자 위협

어떤 것이 새로운 표준이 되면 등록이 중단됩니다. 사이버 위협은 은행을 대상으로 합니다. 지정학적 행위자는 적을 공격합니다. 매일 발생하는 보안 침입 사건은 거의 헤드라인에 오르지 않습니다.  

Yawn. 화요일입니다.  

공격자들은 이미 네트워크에 침투해 있으며, 그들의 동기는 우리가 흔히 생각하는 것처럼 돈이 아닙니다.  

미국 재무부는 2026년 3월 북한 IT 노동자들이 합법적인 급여를 받고 미국 기업 네트워크에 침투해 약 8억 달러를 벌어들인 사실을 확인했습니다. 그 돈은 개인적 이익이 아닌 군사 및 정치 활동에 사용되었습니다.  

동시에 이란은 공개적으로 미국 은행을 군사적 표적으로 지정하고 도난당한 관리자 자격 증명을 통해 와이퍼 멀웨어를 배포했습니다. 돈을 훔치기 위한 것이 아니라 서버를 삭제하고 운영을 완전히 중단하기 위한 것이었습니다.  

이러한 작업은 내부 작업으로, 도난당한 것이 아니라 허가된 액세스 권한으로 실행됩니다.  

자격 증명 액세스는 공격 경로가 되었으며, 기존 보안 제어가 처리할 수 없었던 틈새를 노출합니다.  

이를 해결하기 위해 은행은 초기 접근을 막는 것뿐만 아니라 측면 이동을 제한하고 이미 환경 내에 있는 위협을 억제하는 데 집중해야 합니다.  

합법적인 액세스는 주요 공격 벡터입니다.

현재 은행을 노리는 이러한 국가 지원 위협에는 한 가지 공통점이 있습니다. 공격은 방어를 뚫지 못합니다. 그들이 됩니다.  

최근 샌프란시스코에서 열린 RSA 컨퍼런스에서 캐피탈 원의 최고 기술 위험 책임자 앤디 오즈멧은 북한 요원들이 미국인의 신원을 도용해 미국 금융 기관에 원격으로 취업하고 있다고 경고했습니다.  

이들은 신원 조회를 통과하고, 회사 노트북을 받고, 기관에서 직접 발급한 유효한 자격 증명으로 은행 네트워크에 접속합니다. FBI는 2025년 1월부터 이들이 독점 데이터를 훔치고 장기적인 방해 행위를 할 수 있다고 경고했습니다.  

또한 2026년 2월 말 미국과 이스라엘의 군사 공격 이후 이란 군 사령부는 미국과 연계된 은행을 군사 공격 대상으로 명시적으로 지목하는 공개 성명을 발표했습니다. 며칠 만에 미국 사이버보안 및 인프라 보안국(CISA)은 금융 기관에 긴급 경보를 발령하여 이 위협 벡터가 이미 사용되고 있음을 확인했습니다.  

이란과 연계된 그룹 Handala Hack이 이 방법을 시연했습니다. 피싱을 통해 관리자의 자격 증명을 훔치고 합법적인 액세스 권한으로 Microsoft Intune에 로그인한 후 수십 개 국가의 수만 대의 시스템을 삭제합니다.  

두 경우 모두 공격자는 자격 증명이 있고 신뢰할 수 있으며 네트워크를 자유롭게 이동합니다.  

은행이 해결하지 못한 사각지대

포네몬 연구소의 2026년 내부자 위험의 글로벌 비용 보고서는 은행 직원이 합법적인 액세스 권한을 사용하여 범죄 네트워크를 지원한 여러 사례를 기록합니다. 여기에는 사기 탐지 전문가가 범죄 조직과 고객 금융 데이터를 공유하고, 범죄자를 대신해 자금 세탁을 한 혐의로 수감된 은행 직원이 포함됩니다.

도난당한 자격 증명이 아닙니다. 이들은 신원 조회가 완료되고 유효한 액세스 권한이 있는 검증된 직원입니다. 알려진 신원이 곧 신뢰할 수 있는 행동이라는 가정은 잘못된 것이며, 이는 수년 동안 잘못되어 왔습니다.  

현재와 구조적으로 다른 점은 익스플로잇이 유입되는 지점입니다. RSAC 2026에서 오즈멧은 채용 담당자가 자신을 기업의 리스크 관리자라기보다는 기관의 친근한 얼굴로 여기는 경향이 있다고 설명했습니다.  

그 결과, 외국인 요원이 귀사의 IT 팀으로부터 유효한 자격 증명을 받는 순간부터 채용 프로세스는 아무도 보안 권한을 소유하지 않는 조직의 무법지대에 놓이게 됩니다.  

은행은 네트워크에 계층화된 방어 체계를 구축했습니다. 애초에 누가 이러한 네트워크에 액세스할 수 있는지를 결정하는 프로세스에 대해 동등한 방어 체계를 구축하지 않았습니다.  

이것이 바로 사각지대입니다. 그리고 이는 기술 격차가 아닙니다. 거버넌스 격차입니다.  

사기 모니터링은 비정상적인 거래, 의심스러운 이체 또는 지출 패턴에서 벗어난 행동과 같은 금융 이상 징후를 감지하기 위해 구축되었습니다. 정치적 동기를 가진 요원이 정시에 나타나 업무를 수행하며 완벽하게 그럴듯하게 시스템을 측면으로 이동하는 것을 탐지하도록 설계되지 않았습니다.  

거래 모니터링을 통해서는 돈을 훔치지 않는 북한 요원을 찾아낼 수 없습니다. 경계 제어로는 이미 관리자 비밀번호를 알고 있는 이란 공격자를 막을 수 없습니다.  

대부분의 은행이 가장 많이 투자한 통제는 현재 직면한 위협에 대한 잘못된 도구입니다.  

규제 당국에서도 같은 질문을 하고 있습니다.

이란이 미국 은행을 군사적 목표로 공개적으로 지목하기 9일 전인 3월 10일, 뉴욕주 금융서비스부(NYDFS)는 규제 대상인 모든 기관의 CISO에게 업계 서한 ( 3, 2026 )을 보냈습니다.  

NYDFS는 세 가지 구체적인 통제 방안을 제시했습니다:  

• 최소 권한 액세스  
• 무단 활동에 대한 모니터링 강화 ↪f_200D↩ ↪f_200D↩↪f_200D↩
• 운영 복원력 테스트  

위의 세 가지 컨트롤을 위의 모든 항목과 비교해보면 정렬이 우연이 아닙니다:  

• 최소 권한 액세스. 따라서 북한 요원이든 관리자 권한을 탈취한 이란 공격자든 인증된 공격자가 일단 내부로 진입하면 이동할 수 있는 범위가 제한됩니다. ‍ ‍
• 무단 활동 모니터링. 이렇게 하면 채용 프로세스를 통과한 사람의 측면 이동을 감지할 수 있습니다. ‍ ‍
• 운영 복원력 테스트. 여기( )에서 격리 아키텍처가 실제로 압력 하에서 작동하는지 가정이 아닌 검증할 수 있습니다.  

NYDFS는 향후 요구 사항에 대해 설명하지 않고 있습니다. 뉴욕 금융감독청의 규제를 받는 모든 기관은 4월까지 파트 500을 준수하고 있음을 인증해야 합니다 15, 2026.  

이제 규제 대화와 위협 대화는 동일한 대화입니다. 대부분의 은행은 여전히 별도의 공간에 보관하고 있습니다.  

실제로 중요한 질문

은행은 위협을 차단하기 위해 수년간 벽을 쌓아왔습니다. 하지만 이러한 벽은 합법적인 액세스를 막는 데는 무용지물입니다. 요원을 직접 고용하든, 자격 증명을 도용하든, 약물 검사를 위해 실제 대역을 사용하든, 요원은 이미 관문을 통과한 것입니다.  

모든 CISO가 스스로 답할 수 있어야 하는 질문은 다음과 같습니다:  

네트워크에서 인증된 사용자가 지금 바로 옆으로 이동하기 시작한다면 얼마나 멀리 이동하고, 얼마나 빨리 알 수 있으며, 어떻게 막을 수 있을까요?  

더 이상 은행이 측면 이동 차단을 위해 조치를 취해야 하는지 여부는 문제가 되지 않습니다. 은행이 이사회, 규제 기관, 그리고 스스로에게 조치를 취했음을 보여줄 수 있는지 여부가 관건입니다.  

방법 보기 금융 기관을 지원하는 일루미오 위험을 줄이고 운영 탄력성을 유지합니다.