SWIFT란 무엇일까요?

SWIFT(Society for Worldwide Interbank Financial Telecommunication)는 금융 커뮤니티 회원들이 결성한 협력 단체입니다. SWIFT는 1973년 15개국 239개 은행이 금융 정보 형식을 표준화해 금융 기관이나 기업이 정보를 전자적으로 더 쉽게 상호 교환할 수 있도록 하기 위해 설립되었습니다. 그 이후로 SWIFT 거래는 전 세계 금융 부문에서 자금 이체를 위한 공식 표준이 되었습니다. 오늘날 200여 개 국가 및 지역에서 11,000개 이상의 기업이 SWIFT에 접속합니다.  SWIFTNet 금융 메시징 시스템은 99.999%의 가용성을 갖춘 매우 안정적인 메시징 네트워크입니다. SWIFT의 표준화 노력은 국경 간 결제와 실시간 결제를 포함한 자동화와 결제의 발전으로 이어졌습니다. SWIFT는 자금 이체 시 보안의 중요성을 고려해 SWIFT CSCF(Customer Security Controls Framework)로 알려진 보안 프레임워크를 개발했습니다. 

SWIFT 시스템은 적극적으로 참여하는 이해관계자들로 구성된 조합입니다. SWIFT는 벨기에, 프랑스, 미국, 캐나다, 독일, 이탈리아, 네덜란드, 스웨덴, 스위스, 일본, 영국의 중앙은행이 관리하는 조직으로서

금융 메시징을 표준화할 뿐만 아니라 SWIFT 사용자를 위한 보안 제어 프레임워크도 제공합니다. SWIFT CSCF는 권고 및 필수 보안 컨트롤로 구성됩니다.

SWIFT CSCF에 따라 기업은 최소 권한 접속 제어 같은 조치를 사용해 환경을 보호해야 합니다. CSCF는 보호 조치의 범위를 강력한 대응 및 인시던트 처리로 확장합니다. Akamai 보안 솔루션은 인텔리전스와 엔드투엔드 보호 기능을 제공해 유출과 우발적 노출로부터 금융 데이터를 보호합니다. Akamai는 기존의 엔드포인트 탐지를 넘어 데이터 보안과 개인정보 보호를 위한 강력한 제로 트러스트 솔루션을 제공함으로써 보안 팀이 보안 투자의 효과와 ROI를 극대화할 수 있도록 지원합니다. 

Akamai에서는 다음을 제공합니다.

• IT, IoT, OT 환경에 대한 포괄적인 커버리지로 제로 트러스트 보안 을 적용하는 글로벌 보안 플랫폼
• 자산, 접속, 네트워크 흐름에 대한 심층적인 가시성
• 보안 정책의 세분화된 적용

SWIFT 네트워크 및 기타 결제 시스템을 노리는 사기의 규모와 복잡성이 증가함에 따라 CSP(Customer Security Programme)의 일환으로 SWIFT CSCF(Customer Security Controls Framework)가 탄생했습니다. CSCF는 SWIFT 메시징 시스템을 사용하는 모든 금융 기관에 적용되는 필수 및 권고 보안 컨트롤이 포함된 보안 프레임워크입니다. CSCF는 세 가지 목표로 구성되며, 이들 목표 아래에 7가지 전략적 보안 원칙이 있습니다. CSCF 프레임워크는 A1, A2, A3, B의 네 가지 SWIFT 사용자 아키텍처를 다룹니다. 필요한 보안 컨트롤은 SWIFT 사용자가 속한 아키텍처에 따라 달라집니다.

2016년 방글라데시 중앙은행에서발생한 8,100만 달러 이상의 탈취 사건과 같은 대규모 표적 SWIFT 해킹으로 인해 SWIFT 고객에 대한 공격을 방어하기 위한 CSCF 사이버 보안 프레임워크가 개발되었습니다. 그러나 사이버 범죄자들은 계속해서 SWIFT를 표적으로 삼고 있으며, 2021년 유럽 결제 위원회 보고서에는 SWIFT 관련 뱅킹 인프라를 악용한 다중 기법 사이버 공격 사례가 기록되었습니다. 보고서는 SWIFT 서비스 국에 대한 표적 APT 공격에 기반한 은행 카드 데이터와 관련된 몇 가지 주요 데이터 유출 사례를 지적합니다. 2021년 SWIFT는 CSCF 조치를 업데이트해 인터넷 접속을 권고 사항에서 의무 사항으로 제한하고, 프레젠테이션 중에 혹은 서비스 공급업체가 운영하는 SWIFT 관련 서비스, 애플리케이션 또는 구성 요소에 접속할 때 더욱 강력한 멀티팩터 인증을 사용할 것을 권장했습니다. SWIFT의 CSCF를 준수하려면 다음과 같은 조치가 필요합니다.

금융 기관 — SWIFT 메시징 플랫폼을 사용하는 금융 기관은 CSCF의 필수 컨트롤을 준수해야 합니다. 즉, 금융 기관은 외부 및 내부 위협으로부터 조직을 보호하는 강력한 보안 제어를 갖추고 있어야 합니다. 이러한 컨트롤에는 멀웨어 및 랜섬웨어 감염을 차단하기 위한 취약점 보호, 민감한 데이터, 인증정보 및 중요 자산을 보호하기 위한 역할 및 접속 권한 분리가 포함됩니다. CSCF 컨트롤의 핵심 원칙 중 하나는 최소 권한 접속 관리입니다. 금융 기관은 제로 트러스트 보안 모델을 구축해 환경을 보호하고, 취약점 악용을 방지하고, ID를 관리하고, 권한을 분리함으로써 CSCF를 준수할 수 있습니다.

써드파티 및 벤더사 — 금융 기관이 SWIFT 금융 거래 정보를 처리하거나 저장하거나, 전송하는 데 도움을 주는 모든 법인도 CSCF 컨트롤을 준수해야 합니다. 제로 트러스트 보안 모델은 이러한 써드파티 법인이 SWIFT의 CSCF의 필수 컨트롤을 준수하는 데도 도움을 줍니다. 이를 통해 벤더사는 공급망을 표적으로 하는 사이버 공격으로부터 자신을 보호하고, 서비스를 제공하는 금융 기관을 포함한 기타 공급망 구성원을 보호할 수 있습니다.

SWIFT CSCF를 준수하려면 독립적인 평가를 통한 증명이 필요합니다. 기업은 이 평가에 대비하여 적절한 보안 조치를 갖추고 있어야 합니다. SWIFT의 CSCF를 해결하려면 보안에 대한 체계적인 접근 방식이 필요합니다. 제로 트러스트 아키텍처는 SWIFT CSCF에 필요한 필수 및 권고 컨트롤을 지원합니다. 또한 기술과 정책을 통합하고 모든 잠재적 공격표면을 필터링하는 세분화된 수준에서 보안을 구현하기 위해 CSCF 컨트롤을 시행합니다. Akamai는 SWIFT CSCF에서 요구하는 광범위한 컨트롤을 포함하는 포괄적인 솔루션 제품군을 제공합니다. 또한 리스크 관리, 보고, 문서화를 모두 제로 트러스트 전략으로 제공함으로써 SWIFT CSCF 컴플라이언스를 지원합니다.

SWIFT는 세 가지 핵심적인 메시징 서비스를 제공합니다.

FIN — FIN은 SWIFT의 선도적인 메시징 서비스로, MT/MX 및 ISO 15022 메시지 형식을 사용해 개별적으로 구조화된 메시지의 원활한 교환이 가능하도록 설계되었습니다. FIN은 메시지 형식의 유효성 검사, 전달 모니터링, 저장, 검색 작업도 수행합니다.

FileAct — FileAct는 대량 결제 파일이나 증권 부가가치 정보 같은 구조화된 파일의 대량 전송을 지원하는 시스템입니다.

InterAct — InterAct는 SWIFT MX 및 ISO 20022 형식의 메시지를 포함한 XML 기반 금융 메시지의 부인 방지 서비스를 제공합니다.

SWIFT GPI — 4,000개 이상의 금융 기관이 국경 간 결제 플랫폼인 SWIFT GPI 에 가입했습니다. 이 플랫폼은 빠른 결제에 최적화되어 있으며 추적 기능을 제공합니다.

SWIFT GPI Instant — SWIFT GPI Instant 는 SWIFT GPI의 즉시 결제와 국내 실시간 결제 네트워크를 결합해 빠르고 원활한 국가 간 결제를 지원합니다.

SWIFT Go — SWIFT Go 는 소액 국제 결제를 위한 표준입니다.

SWIFT는 ISO와 협력해 표준을 개발합니다. 

• ISO 15022: 증권 정산 및 자산 서비스에 사용됩니다.
• ISO 20022: 모든 금융 업계 프로세스에 적용되는 새로운 개방형 글로벌 메시징 표준입니다.

SWIFT는 SWIFT 시스템을 통해 전송된 SWIFT 메시지를 모니터링하거나 통제할 의무가 없습니다. 대신 제재 대상에 해당하는 금융 거래는 금융 기관과 이를 감독하는 국가 당국이 결정합니다. 러시아의 우크라이나 침공 당시 적용된 금융 제재는 국가 기관이 시행했습니다. 예를 들어 유럽 연합은 주요 러시아 은행을 SWIFT 시스템에서 제외하기로 합의했습니다.