세계가 놀란 ‘K-방역’ 금융 보안도 지킨다!
최근 국내 금융권이 다수 사용하는 보안 소프트웨어 통합 솔루션 베라포트(Veraport) 공급망에서 악성코드를 배포하려는 시도가 발견됐습니다. 그 배후가 북한이 연계됐다는 주장까지 제기됐습니다. 국제 해킹 그룹인 라자루스 소행이라고 금융 보안 주장합니다. 이 사건은 지난해 하반기와 올해 잇달아 발생한 공급망 공격으로 다행히 금융사 피해는 아직 없는 것으로 조사됐습니다.
코로나19 확산으로 비대면 채널이 부상하자 해킹 수법도 날로 진화하고 있습니다. 소프트웨어 취약점을 이용해 악성코드를 삽입하거나 소프트웨어 정책 서버를 공격하는 일도 발생하고 있습니다. 코드 서명 인증서를 악용한 악성코드 유포 사례도 여러 차례 발생합니다. 민간 금융사만이 아닙니다. 정부 기관이나 인터넷뱅킹 웹사이트를 방문할 때, 보안 소프트웨어를 추가로 설치하는 경우가 많아 사이버 공격이 코로나19 시국에 더욱 치밀하고 악랄해지고 있습니다.
이 같은 상황에 대비해 금융권도 LG CNS 등 IT 전문 기업과 좀 더 고도화한 보안 시스템을 구축하고 이른바 ‘K-방역 보안 체계’를 도입하고 있습니다.
국내뿐만 아니라 해외에 지점을 다수 두고 있는 은행의 경우, 한번 사이버 공격을 받을 경우 그 피해는 상상할 수 없습니다. 특히 모바일 등 비대면 채널 사용이 급증하고 있는 가운데 은행권과 SI 업계, 보안 업계가 글로벌 정보보호 체계를 수립하고 대면 위주 정보보호 정책에서 탈피, 언택트 기반 정보보호 체계 전환에 나서고 있어 주목됩니다.
올해 금융권 대상으로 보안 위협 기술 전망 조사를 했습니다. 전자신문과 금융권이 공동으로 정부 부처를 포함한 10개 기관에서 발표한 보안 위협 기술 46개를 표본으로 발생 가능성이 짙은 것으로 예상되는 보안 위협 항목을 모두 조사했습니다.
그 결과 지능형 지속 위협(APT, 랜섬웨어 포함)과 클라우드, AI(인공지능), IoT(사물인터넷), 모바일, 랜섬웨어, 다크 웹, 오픈소스 취약점, 암호화폐, 원격 프로그램 대상으로 보안 위협이 증가한 것으로 나타났습니다.
이 가운데에서도 APT와 AI에 약 66%의 보안 위협이 집중됐습니다. APT 분야는 공공기관과 기업을 사칭해 APT와 같은 사회공학 공격 기법 증가가 눈에 띕니다. 이력서나 급여명세서 등 제목과 함께 악성코드를 실행하는 표적 공격이 확대될 공산이 큽니다. 공격 방식도 더욱 은밀하고 정교하게 진화하고 있습니다.
l 올해 사이버 보안 위협 대표 사례 (자료: 전자신문-시중 은행 공동조사)
클라우드 분야도 사이버 공격 주 타깃으로 선정됐습니다. 금융권을 포함한 클라우드 사용 기업 확대에 따라 2020년을 기점으로 보안 위협이 어느 때보다 늘고 있습니다. 클라우드 의존도 증가로 인한 서비스 중단 위험이 최고조에 이를 것으로 보안 업계는 내다봤습니다. 클라우드 환경과 서비스를 둘러싼 보안 위협 급증으로 선제 대응 필요성이 제기됩니다.
국내 SI 기업과 공동 대응 체계를 갖추고 보다 진화한 보안 기술과 시스템 고도화를 꾀해야 한다는 주장입니다.
AI 분야에서는 공격자가 AI를 활용해 공격을 탐지하기 어렵게 만드는 사이버 공격 기술이 등장했습니다. 정상 트래픽과 위협 소지가 있는 데이터 혼합을 통한 탐지 모델 우회 공격 방식이다. AI 이중성과 취약성에 기반을 둔 보안 위협이 골칫거리로 대두됐습니다.
융합 서비스를 노리는 IoT 분야의 새로운 보안 위협도 등장합니다. 지능형 폐쇄 회로 CCTV와 AI 스피커 등 IoT 기기 결합 서비스 대상 사이버 위협이 어느 때보다 증가하고 있습니다. IoT를 노리는 대규모 봇넷, 디도스 공격 등 IoT 관련 서비스 보안 위협 확산이 예상됩니다.
그 외에도 모바일까지 확대되는 소프트웨어(S/W) 공급망 공격과 문자 메시지, 이메일 링크를 이용해 악성 앱을 배포하는 방식도 날로 진화하고 있습니다. 특히 모바일 피싱 공격 고도화와 공격 방식 진화로 ‘웹 링크 클릭 유도’ 형태로 발전할 가능성이 엿보입니다.
랜섬웨어 분야는 개인에서 공공기관, 기업으로 피해가 확대될 전망입니다. 다크 웹 내 해킹 정보 생산, 배포, 구매 활성화를 통한 개인정보 노출 확대 피해도 사이버 위협 트렌드로 꼽힙니다.
사회적 문제로 부상한 암호화폐와 원격 프로그램 분야도 새로운 사이버 보안 위협 집중 분야로 떠올랐습니다. 암호화폐 거래소 사칭과 지갑 프로그램으로 위장한 악성코드 유포, 고수익을 얻기 위해 익명성을 악용한 다양한 공격 시도가 급증하고 있습니다.
금융권 보안 관계자는 ‘보안 시스템을 아무리 고도화해도 사이버 보안 위협 또한 날로 지능화하는 만큼 미래 기술 상용화에 맞춰 보안 전략도 정부와 기업 합동으로 대안을 조속히 마련해야 한다.’라고 지적합니다.
대형 은행 중심으로 해외 시장 진출이 가속화하고 있습니다. 과거에는 해외 지점의 경우 보안 인력과 시스템을 따로 두거나 정보보호팀이 한두 달에 걸쳐 해외로 나가 점검하는 대면 위주 정보활동이 주를 이뤘습니다. 그 때문에 유기적인 정보보호 대응 체계 수립이 힘들고, 고도화하는 사이버 공격 적시 대응이 불가능했습니다. 하지만 최근 금융사가 비대면이나 원격으로 IT 보안 영역까지 일괄 점검하고 관리하는 K-방역 보안 체계를 도입하고 있습니다.
우리은행은 최근 글로벌 정보보호팀을 신설하고 글로벌 정보보호 관리체계를 수립했습니다. 해외 26개국에 453개 지점을 보유하고 있는 우리은행은 제각각으로 운영되던 해외 영업점별 정보보호 수준을 상향 평준화했습니다.
국내은행 중 최초로 해외 영업점을 대상으로 ‘빅데이터를 이용한 악성코드 유입 분석 체계’를 적용했습니다. 악성코드 탐지 이벤트를 빅데이터 기술로 자동 수집해 악성 행위의 연관 관계 분석 후, 유입 경로를 식별하고 무력화하는 새로운 보안 기법입니다.
해외 영업점에서 우선 운영 후 우리은행 본점 및 국내 영업점에 전체 확대할 예정입니다. 또 현지 맞춤형 취약점 점검 프로그램을 자체 개발해 운영 중입니다. 해외 현지 직원이 없어도 보안 점검을 원격으로 할 수 있습니다.
코로나 팬데믹 여파로 현장 점검이 어려워지자, 형식적인 비대면 문서 위주 점검에서 벗어난 실제 원격 접속 방식 비대면 점검 체계로 보안 시스템은 전면 전환한 것입니다.
신한은행도 글로벌 정보보호팀을 신설하고 해외 네트워크에 대한 정보보호 표준 가이드라인인 글로벌 정보보호 관리체계(GISM)를 수립•적용했습니다. 최근에는 클라우드 서비스를 이용한 안티-디도스(Anti-DDos) 방어 시스템을 구축했습니다. 본사와 지점 간 실시간 모니터링이 금융 보안 가능한 쌍방향 현장 업무 지원 시스템 ‘글로벌 레그테크’를 도입했습니다.
또 글로벌 사이트를 타깃으로 한 보안 위협 행위 탐지 및 대응을 위해 AI 기술을 적용한 국가별 맞춤형 글로벌 통합 보안 관제 체계 구축을 진행 중입니다.
l 시중 은행이 비대면, 언택트 기반 정보보호체계를 잇단 도입했다. 시중 은행 정보보안 담당자가 해외 지점 사이버 보안 시스템을 원격으로 점검하고 있다.
하나은행은 정보보호 부서 내 글로벌 전담 조직을 신설하고 글로벌 정보보호 강화를 위한 ‘표준화, 현지화, 통합화’ 3대 추진 전략을 수립했습니다.
글로벌 정보보호 규제에 대한 효과적 대응을 위해 하나은행이 진출한 24개국 50여 개 정보보호 규제를 분석하는 과정을 거쳐 글로벌 정보보호 규제 관리 프레임워크를 수립했습니다. 글로벌 규제 대응 체계, 점포별 규제 대응을 위한 정보보호 프레임워크가 반영됐습니다. 이 시스템에 대한 특허도 출원한 상태입니다.
특히 코로나 팬데믹 상황에서 은행권 최초로 24개국 모든 국외점포와 캐나다 현지법인 직원에 대해 상시 재택근무 시스템을 통해 코로나로 인한 글로벌 영업이 차질 없이 해외 현지 고객에 서비스될 수 있게 했습니다.
본국과의 원격 상태, 시차가 있는 해외 특성상 글로벌 정보보호는 현장 소통과 역할이 무엇보다 중요합니다. 하나은행은 국외점포별 현지 정보보호 담당자(ISO, Information Security Officer)를 선임해 정보보호 전반에 대해 1차 현지 대응하고 본국 정보보호 조직과의 상시 소통을 통해 정보보호 각종 이슈를 즉시 대응을 위한 정보보호, 글로벌 비즈니스, 현지 국외점포 간 긴밀한 협업 체계를 구축했습니다.
금융 보안 부문에도 K-방역이란 용어가 도입될 정도로 한국 금융 보안 부문 역량은 우수합니다. 그 바탕에는 시스템 운영에 전문성을 보유한 LG CNS 등 SI 기업과 S/W 보안 기업 등이 협력하고 있기 때문입니다.
해외 네트워크가 확대될수록 정보보호를 위협하는 요인도 다양해지고 국가별 글로벌 보안 규제 강화 추세와 글로벌 네트워크 확대에 따라 맞춤형 정보보호 관리체계를 구축하는 것이 무엇보다 시급합니다. 디지털 트랜스포메이션(Digital Transformation) 시대 속에 IT 시스템에 대한 사이버 위협 증가 추세에 발맞춰 금융사는 시스템 고도화 외에도 화이트 해커 인력 육성에 나서야 할 때입니다.
한국 선진 코로나 대응 체계인 K-방역이 글로벌 표준으로 부상한 것처럼, 금융 IT 부문 보안 표준화를 통해 언택트 시대에 걸맞은 표준을 만들어야 합니다.
최근 국내 대기업 해외지사들이 연쇄적으로 침해 위협에 노출되고 있고 디도스 공격 금융 보안 등 해외 공격 사례가 급증하고 있는 상황에서 현지 컴플라이언스 대응 체계 수립이 무엇보다 중요한 시대가 왔습니다. 금융권이 보안 부문 표준화를 통해 협력사와 하나의 비즈니스 모델을 만들어 수출하는 노력이 필요합니다.
* 해당 콘텐츠는 저작권법에 의해 보호받는 저작물로 LG CNS 블로그에 저작권이 있습니다.
* 해당 콘텐츠는 사전 동의없이 2차 가공 및 영리적인 이용을 금하고 있습니다.
SKT, 금융보안원과 보이스피싱 대응 협력
SK텔레콤(대표이사 사장 박정호, www.sktelecom.com)이 금융보안원(원장 김영기, http://www.fsec.or.kr)과 함께 보이스피싱 차단에 나선다.
SK텔레콤은 국내 유일의 금융권 보안전문기관인 금융보안원과 공동으로 보이스피싱에 적극적으로 대응하기 위해 27일 MOU를 체결하고 긴밀하게 협력할 예정이라고 28일 밝혔다.
금융보안원은 금융보안 관제, 보안 침해사고 대응, 보안 취약점 분석 및 평가, 기술 연구와 교육 등 종합 금융보안 서비스를 제공하는 전문기관이다. 보이스피싱 악성 앱 탐지 기법을 자체 개발해 1년여간 악성 앱을 추적 분석해 국내 최초로 글로벌 보고서를 발행하는 등 금융보안 분야의 독보적인 역량을 인정받고 있다.
SK텔레콤은 금융보안원과의 이번 협력으로 신속하고 효과적인 보이스피싱 및 스미싱 문자 등의 차단이 가능할 것으로 기대하고 있으며, 이를 통해 고객의 금융 피해도 줄어들 것으로 전망하고 있다.
양 기관은 금융/공공기관을 사칭해 발생하는 보이스피싱 전화를 막기 위한 차단시스템을 공동 개발할 예정이다. 아울러 SK텔레콤은 보이스피싱이 스미싱 문자와 연계돼 발생한다는 점을 고려해 금융보안원과 정보 공유를 통해 기존 스미싱 차단시스템도 강화할 예정이다.
실제 2018년 금융당국의 분석에 의하면 신고된 7만 여건의 보이스피싱 사고 중 78%에 이르는 5만5천 여건이 악성 앱에 의해 발생하는 것으로 나타나 SK텔레콤과 금융보안원의 협력이 상당한 양의 보이스피싱을 차단할 것으로 기대되고 있다.
SK텔레콤 고객가치혁신실 이기윤 실장은 “SK텔레콤과 금융보안원의 이번 협력으로 보이스피싱이라는 사회적 난제를 함께 해결하고 고객의 금융 안전을 지킬 수 있는 계기가 마련되기를 바란다”고 강조했다.
금융보안원 사이버대응본부 임재욱 본부장은 “SK텔레콤과의 협력을 통해 금융보안원이 축적한 기술과 노하우를 실질적인 금융 피해 방지에 활용할 수 있게 됐다”며 “고객들도 의심스러운 문자에 포함된 금융 보안 링크의 클릭을 자제하고, 금융 정보를 요구하는 낯선 사람의 전화를 피하는 것은 물론, 모바일 백신프로그램을 수시 업데이트하는 등 예방 노력이 필요하다”고 덧붙였다.
한편, SK텔레콤은 보이스피싱, 스미싱, 스팸문자 등의 차단을 위해 다양한 활동을 펼쳐 오고 있다. T전화에 스팸이나 보이스피싱 신고가 많은 전화를 자동으로 차단해주는 안심통화와 안심차단 기능은 물론, 안심벨소리 기능을 통해 스팸전화와 보이스피싱 전화를 미리 알려주기도 하고, 고위험 번호로 오는 통화에 대해 자동으로 통화를 녹음해 주는 안심녹음 기능도 제공하고 있다.
또한, 딥러닝 기반의 지능형 차단시스템을 도입해 스팸 및 스미싱 문자에 대응하고 있으며, 다중 스팸필터링 시스템도 적용하고 있다. 한국인터넷진흥원(KISA)과 협업해 데이터를 공유해 스팸문자에 대응하는 것은 물론, 국내 이동통신사 중 유일하게 음성스팸 차단시스템을 운영하는 등 다각적인 노력을 기울이고 있다.
※ 참고 자료 – 용어 설명
보이스피싱(Voice Phishing)
전화 통화로 개인의 정보(주민 등록 번호, 신용 카드 번호, 은행 계좌 번호 등)를 불법으로 알아내 범죄에 이용하는 전화금융사기 금융 보안 수법. 음성(voice), 개인정보(private data), 낚시(fishing)를 합성한 신조어. 보이스피싱은 범행 대상자에게 전화를 걸어 공공기관 등을 사칭하며 송금을 요구하거나 개인정보를 수집하는 방법을 쓰는 것으로 알려져 있음.
스미싱(Smishing)
문자메시지(SMS)와 피싱(Phishing)의 합성어. 문자메시지의 링크(URL)를 클릭해 악성 코드(앱)를 휴대폰에 설치하게 하고, 소액결제를 발생시키거나 개인 및 금융 정보를 탈취하는 금융사기 수법
스팸(Spam)
인터넷상에서 다수의 수신인에게 무작위로 송신된 이메일 메시지, 또는 다수의 뉴스그룹에 일제히 게재된 뉴스 기사. 우편을 통해 불특정 다수인에게 무더기로 발송된 광고나 정크 메일을 일컫는 용어. 스팸문자(Spam文字)는 불특정 다수의 휴대전화나 스마트폰에 무작위로 보내는 광고성 문자 메시지
![[CEO초대석] 김영기 금융보안원장](https://menu.mt.co.kr/moneyweek/thumb/2021/07/02/06/2021070217358030938_3.jpg)
“디지털 혁명이 몰아치면서 비대면 온라인 환경으로 금융환경이 변모하고 있습니다. 이에 오픈뱅킹 등 지급결제 환경 변화와 마이데이터 산업 도입 등 디지털 금융 관련 보안 영역에서도 새로운 과제들이 속속 등장하고 있습니다. 기술 중심의 보안과 금융 감독을 다 겪어본 입장에서 보안의 중요성에 목소리를 높이는 것이 제가 맡은 금융보안원장의 역할이라고 생각합니다.”
김영기 금융보안원장(사진·59)은 디지털 기술 중심인 금융 환경 속에서 금융사가 보안업무 이해도를 높이고 그 중요성과 환경 변화를 인식하게끔 하겠다는 포부를 밝혔다. 보안이 그 가치와 노력에 비해 제대로 평가받지 못하는 만큼 금융보안원장 임기 내에 보안 전도사로서 보안 문화 확산과 인식 제고를 위한 활동을 이어가겠다고 강조했다. 여기에는 신뢰·전문성·혁신이라는 김 원장의 경영 철학이 배어 있다.
김 원장은 금융감독원 재직 시절 주택담보대출 선진화 체계 금융 보안 태스크포스(TF) 반장으로 총부채상환비율(DTI) 제도를 도입했고 2010년부터 2012년까지 2년 동안 저축은행 구조조정을 이끌었다. 2014년 초엔 신용카드 3개사 정보유출 사고를 수습했고 가계부채 문제와 기업 구조조정을 처리하는 등 금융 감독 전문가로 평가받는다.
2018년 4월 제3대 금융보안원장으로 부임 후엔 금융권 통합 보안관제 고도화, 핀테크 및 금융혁신 보안 지원, 금융사의 안전한 클라우드 이용 지원, 금융데이터거래소 출범 등 디지털 금융혁신과 보안의 균형적 발전을 위해 노력해왔다. 향후 금융보안원을 금융시스템의 가장 필수적인 인프라 기관이자 전문기관으로 육성시키겠다는 계획을 세웠다.
금융보안원은 금융이용자의 편의 증진과 금융산업 발전에 기여할 목적으로 종합적 보안서비스를 제공하는 금융보안 전담기관이다.
2013년 발생한 금융·방송사 사이버 공격, 2014년 초 카드 3사 개인정보유출 사태는 금융정보 보호를 위한 통합 전담 기구 설립 필요성을 제기했다. 이후 금융위원회의 허가를 받아 금융결제원·코스콤의 정보공유분석센터(ISAC) 부문과 금융보안연구원을 통합해 2015년 4월 금융권 유일의 보안 전문기관인 금융보안원이 설립됐다. 현재 은행·증권·보험·카드·전자금융업자 등 198개 기관이 회원사다.
금융보안원은 ▲금융부문 통합보안관제 ▲사이버위협정보와 이상금융거래 정보 공유 ▲금융권 사이버 침해 예방 대응 ▲보안 취약점 분석·평가 ▲디지털 금융서비스와 핀테크 신기술 보안 ▲금융권 자율보안 지원 ▲금융보안 정책·기술 연구와 정책 수립 지원 ▲정보보호 관리체계 인증 ▲금융권 데이터 활용지원과 보호 금융보안교육 등 종합적이고 전문적인 금융보안 서비스를 제공한다.
김 원장은 “국민의 재산을 전산 기록으로 보관하고 있는 금융은 그 어느 영역보다 사이버 리스크를 잘 관리해야 하고 그 신뢰를 잃으면 모든 것을 잃게 되는 분야”라며 “혁신과 보안은 두 발로 함께 걸어가야 하는 균형적 접근이 필수다. 국방·정부기관·민간이 사이버 위협 정보를 공유하고 사고를 방지하도록 노력해야 한다”고 설명했다.
최근 금융권에선 마이데이터 시대를 앞두고 금융보안원의 역할이 다시 강조되는 분위기다. 신용정보법령상 마이데이터 지원기관으로서 사업을 안전하게 수행하는 데 필요한 기술과 보안 관련 사항을 지원해야 하기 때문이다. 이를 위해 마이데이터 표준 API(응용프로그램 인터페이스) 규격 및 기술 가이드라인에 대한 금융권 의견을 지속 수렴해 개정·관리하고 있다.
마이데이터 시대가 열린 후엔 정보보호전문업체 등 유관기관과 협의해 사업자가 차질 없이 취약점을 점검할 수 있도록 지원할 예정이다. 마이데이터 사업자의 개인신용정보 활용과 관리실태를 점검하는 상시 평가도 수행할 계획이다.
김 원장은 “보안에 100% 안전이란 없는 만큼 일상적인 보안 수칙은 금융 소비자도 항시 지켜야 할 덕목”이라고 강조했다.
김 원장은 지난해 5월 출범한 금융데이터거래소도 소개했다. 금융데이터거래소는 금융보안원이 운영하는 데이터중개플랫폼으로 현재 회원사는 총 105개다. 은행·카드·증권·보험·신용정보·캐피탈 등 금융사(52개사)뿐 아니라 정보통신·유통·컨설팅·보안 등 비금융사(53개사) 참여도 두드러지고 있다. 등록된 데이터상품은 730개, 누적 거래량은 2258건, 거래액은 약 11억원이다.
김 원장은 “데이터 수요기업은 금융사뿐 아니라 유통·제조·정보통신기업·공공기관·연구소·학계 등 다양한 분야로 확대되고 있다”며 “등록된 데이터 유형도 은행·카드·증권·신용·부동산 등 금융 데이터에서 빅데이터·유통·이커머스·보안·에너지 등 비금융 데이터로 영역이 넓어지고 있다”고 설명했다.
그러면서 “거래소 활성화를 위해 참여자 유인 구조를 만드는 게 중요하다”며 “결국 데이터와 데이터의 싸움이 된다. 수요자가 있으면 공급자도 있기 때문”이라고 강조했다.
데이터에 대한 적정한 가치평가와 새로운 수익원 창출에 도움이 될 수 있는 데이터 유통·활용 사례가 시장 참여자에게 공유되면 거래소 이용이 활성화될 것으로 전망된다. 김 원장은 “시장 참여자가 데이터 유통·활용사례를 접할 수 있도록 올해부터 금융 데이터 엑스포와 금융 데이터 경진대회를 실시하고 있다”며 “중소기업 쪽은 정부에서 지원하는 데이터 바우처를 거래소에서 쓸 수 있게 해서 데이터 유통을 활성화하려고 한다”고 말했다.
금융보안원은 지난해 8월 금융 분야 데이터전문기관으로도 지정돼 정보 집합물 간 결합과 익명처리의 적정성 평가 등의 업무도 수행하고 있다. 기업이 가명 정보와 데이터 결합에 쉽게 접근할 수 있도록 데이터 전문 기관 최초로 결합·평가 전체 단계를 웹으로 지원하는 포털을 열었고 이용자 친화적 간소화 절차도 적용했다.
김 원장은 “앞으로 데이터 결합 사례가 계속 늘어날 것”이라며 “참여자에게 어떤 애로사항이 있는지 소통해가면서 결합을 활성화하는 방향으로 가야 한다”고 전했다.
금융보안원은 금융권 보안관제 환경 변화에 대응하고 금융회사 수요도 반영하기 위해 보안 고도화 전략도 추진하고 있다. 올해 12월 차세대 금융보안관제 시스템 구축을 통해 ▲AI(인공지능) 기반 이상행위 탐지 등 AI 기술 적용 확대 ▲금융 특화 빅데이터 기반 위협 인텔리전스 제공 ▲프라이빗 클라우드 구축으로 자원 효율화 ▲금융회사 환경에 맞는 맞춤형 보안관제 서비스 제공 등 네 가지를 실현한다는 것이다.
금융보안원은 다크웹(특수한 웹브라우저를 사용해야 접근할 수 있는 웹)에서 거래되는 금융정보나 최신 해킹 기술 등 침해 위협 정보에 대한 상시 모니터링 체계도 구축한다. 관련 정보의 체계적 분류 및 공유 체계를 운영해 다크웹 상 금융정보 유통과 금융권 공격 모의 등 위협에 선제적으로 대응하고 금융권 피해를 예방한다는 계획이다. 디도스·서버해킹·APT(Advanced Persistent Threat:지능형 지속 위협) 공격 등 침해사고에 대해서도 실전 같은 대응 훈련을 실시하기 위해 디도스공격 방어 훈련 시스템도 신규 도입할 예정이다.
금융보안원은 금융사의 안전한 클라우드 이용을 위해 2019년부터 국내·외 CSP(금융 보안 클라우드 서비스 제공사) 안전성 평가를 지원하고 있다. 금융 분야 클라우드컴퓨팅서비스 이용 가이드와 클라우드컴퓨팅서비스 제공자 안전성 평가 안내서 등을 발간하기도 했다.
계좌 개설 등에 필요한 비대면 실명확인 서비스 이용에 대비해 비대면 실명확인 프로그램(모바일 앱·웹) 금융 보안 보안성 검증 업무 등도 수행하고 있다. 주민등록증과 운전면허증에 이어 최근엔 여권에까지 신분증 진위 확인 점검 업무를 확대했다.
오픈뱅킹과 금융규제 테스트베드(혁신금융서비스 등) 참여 핀테크 기업 등을 대상으로 한 보안점검과 금융사 및 핀테크 기업이 로보어드바이저 기술을 활용한 서비스를 안전하게 제공하도록 하기 위한 시스템 보안성 심사도 실시하고 있다.
김 원장은 “나날이 진화하고 변모하는 악성코드나 보안 위협에 대해 늘 추격과 대응을 멈출 수 없는 것이 보안의 운명”이라고 말했다.
현재 금융보안원은 대대적인 조직 개편과 인사를 위한 컨설팅을 진행하고 있다. 금융보안원의 새로운 도약과 안정적인 운영을 위해 준비가 필요하다는 게 김 원장의 생각이다. 그는 “금융혁신과 금융보안의 균형 있는 성장을 도모하고 금융보안과 데이터 산업의 경쟁력을 갖춰 나갈 것”이라며 “급변하는 금융 디지털화 진전에 따라 그 역할이 더욱 주목받을 수밖에 없는 중요한 기관이 될 것”이라고 강조했다.
금융 보안
네이버클라우드가 금융보안원의 '마이데이터 통합 인증 중계 시스템' 구축 사업자로 선정됐다. 통합 인증 중계 시스템은 오는 9월 시범 가동 이후 정식 운영될 예정이다.
네이버클라우드는 데이터 플랫폼 기업 쿠콘 등과 컨소시엄을 구성, 클라우드 기반 애플리케이션프로그래밍인터페이스(API) 플랫폼 형태로 인증에 필요한 중계 시스템을 구축할 계획이라고 18일 밝혔다.
마이데이터 통합 인증 중계 시스템은 마이데이터 정보 제공자와 인증기관 간에 전송이 필요한 인증 정보를 중계하는 방식이다.
기존 마이데이터 통합 인증은 사설 인증수단을 활용하는 과정에서 중계기관 등 정보 제공자와 인증기관이 각각 인증수단을 연동해야 하는 불편함이 있었다. 또 마이데이터 사업 확대로 인한 사설 인증서 수요증가가 맞물리면서 시간 및 비용부담을 줄일 수 있는 중계 시스템 도입 필요성이 제기됐다.
이에 금융보안원은 대규모 인증 트래픽을 효과적으로 관리할 수 있는 클라우드 기반 중계 시스템 구축을 결정했다.
통합 인증 중계 시스템을 이용하면 정보 제공자(중계기관)와 인증기관이 해당 시스템을 1회 연동하는 것만으로 여러 인증수단이 연동된다. 인증기관 추가 시에도 별도 연동이 필요하지 않으며, 정보 제공자와 중계 기관은 중계 시스템을 통해 새로운 통합인증 수단을 제공할 수 있다.
EDAILY IT/과학
김영기 금융보안원장은 최근 이데일리와의 인터뷰에서 “사이버 보안, 정보 유출은 모든 기업 입장에서 가장 큰 위험 요인으로, 경영자들이 관심을 기울일 수 밖에 없는 분야다. 특히 금융거래의 90% 이상이 비대면으로, 그 중에서도 모바일로 이뤄지면서 여러 새로운 서비스가 많이 나오고 있는데 모두 보안이 전제되지 않으면 불가능한 서비스”라며 이같이 강조했다.
|
평균 연령 35세 젊은 조직…AWS도 자문 받아가
`디지털 금융 혁신`을 표방하며 새로운 변화의 물결 속에 서 있는 금융산업, 결국은 신뢰를 기반으로 한 산업이기에 `금융보안원`의 역할이 커질 수 밖에 없다는 김 원장의 기대가 인터뷰 내내 전해졌다. 코로나19로 인해 재택근무가 확산되면서 보안 취약점을 노리고 기업 및 기관을 대상으로 한 사이버 공격이 늘어나면서 금융보안원의 할 일이 많아지고 있다.
지난해 추석연휴를 전후로 국내 금융권에 디도스(DDoS)와 랜섬웨어가 결합된 `랜섬 디도스` 공격이 무차별적으로 가해지면서 금융보안원은 국내외 클라우드 디도스 대피소와 연계한 대용량 디도스공격 대응체계를 가동해 방어에 나섰고, 최근 다크웹에서 불법 공개된 수십만건의 모 그룹 고객정보와 기존 다크웹 유통 정보간 일치 여부를 분석해 금융회사와 공유, 대응 조치를 취했다. 코로나19 이슈를 악용한 피싱, 악성앱, 스팸 등 사이버 공격을 분석해 보고서를 발간하기도 했다.
금융보안원이 하는 가장 기본적인 업무는 195개 회원사들을 노린 사이버 공격을 365일, 24시간 함께 관제해 주는 것이다. 금융보안원이라는 명칭만 들었을 때는 굉장히 딱딱하고, 고리타분해 보이지만 직원 평균 연령이 35세일 정도로 젊고 유연한 조직이다.
김 원장은 “현재 직원 수가 230명인데, 그 중 40%는 해커로 이뤄져 있고 80%는 정보기술(IT) 분야 전공자”라며 “직원 중 한명이 보이스피싱 악성 앱이 발견되자, 직접 자발적으로 추적 프로그램을 만들어 1년 동안 3000개의 표본을 모아 분석 보고서를 낼 정도로 자기 분야에 대한 전문성과 자부심을 가지고 능동적으로 업무에 나서고 있다”고 자랑했다.
금융보안원의 신입직원을 뽑을 때 한국인터넷진흥원(KISA)과 안랩(053800) 등 보안업체에서 경력직원들이 몰려들 정도로 업계에서는 일하고 싶은 회사로 인정을 받는다. 신입직원 채용 시 경쟁률이 장난 아니게 높을 뿐만 아니라, 올해에는 해킹 대회에 수상자와 더불어 프로게이머까지 다양한 경력을 가진 인재들이 모여들었을 정도다.
금융보안원의 위상도 날로 높아지고 있다. 지난 2018년 김 원장이 취임하고 나서 금융 보안 가장 먼저 한 일이 전 회원사를 돌아다니며 최고경영자(CEO)를 직접 만나 일일이 금융보안원의 역할과 중요성에 대해 강조하고 나선 것이다. 이때마다 각 회사의 정보보호최고책임자(CISO)를 면담 자리에 동석하게 함으로써 보안의 중요성을 고취시키고 CISO의 역할도 CEO에 각인시켜줬다.
김 원장은 “과거에는 금융사 수장들이 금융보안원이 무슨 일을 하는지도 몰랐지만, 오픈뱅킹 등 디지털 금융 혁신이 계속 진행되면서 이제는 금융보안원을 만들길 진짜 잘했다는 평가가 나온다”며 “클라우드 전환을 위해 국내 금융사들이 클라우드 서비스 사업자(CSP)의 보안 등 전문성에 대한 컨설팅 자문을 금융보안원에 구하기도 하는데, 이와 관련 아마존웹서비스(AWS) 총괄 부사장이 직접 금융보안원에 찾아와 면담을 신청했고 미국 시애틀 본사까지 가서 점검을 할 정도”라고 설명했다.
AI·IoT 신기술 보안위협 사전 차단…전자서명 평가 업무도 수행
금융보안원은 올해 인공지능(AI), 사물인터넷(IoT), 인증기술, 블록체인 등 혁신기술의 보안위협을 선제적으로 파악하고 대응하기 위해 보안취약점 평가기준을 마련, 시범평가를 실시하기로 했다. 최근 이미지 인식 AI알고리즘에 노이즈(비정상 입력값) 추가로 오작동을 유도하거나 IoT 기기를 이용한 디도스(DDoS) 공격으로 웹사이트 장애를 발생시키는 사례 등 새로운 보안위협이 발생하고 있어 해당 기술들이 적용된 금융시스템을 대상으로 보안취약점을 점검하고, 새로 마련한 평가기준이 금융회사, 정보보호 전문서비스기업 등에서 범용적으로 활용할 수 있도록 기존 보안취약점 평가기준에 포함해 공유할 예정이다.
이번 시범평가를 위한 사전 수요조사를 올 상반기에 실시하고, 수요조사 결과에 따라 순차적으로 평가를 수행할 계획이다. 내년에는 AI, IoT, 인증기술, 블록체인에 대한 보안취약점 평가를 본격 평가로 전환할 예정이다.
김 원장은 “금융의 디지털 전환이 가속화되면서 사전에 어떤 보안위협이 있는지 알아내 빠른 대응을 지원하고, 이와 관련 금융당국에 정책 지원을 요청하는 등의 역할도 수행할 것”이라며 “날로 고도화·지능화되는 사이버 위협에 대한 선제적 예방·대응체계를 강화하고 금융사의 금융보안 활동을 지원해 나갈 예정”이라고 말했다.
이를 위해 금융사의 대용량 디도스공격 대응 업무 참가를 확대하고, 금융권 디도스공격 대응 훈련 시 블라인드 모의훈련을 추가 실시해 대응 역량을 강화해 나갈 계획이며, 다크웹에서의 침해위협정보 상시 모니터링 체계를 마련하고, 금융권·금융당국 금융 보안 등 관련 기관과 침해위협정보 공유체계를 구축할 방침이다.
한편 금융보안원은 지난해 12월 개정된 전자서명법 상의 전자서명인증 평가기관으로 지정돼 올해부터 본격적으로 전자서명인증사업자 평가를 하게 된다. 금융보안원 등 평가기관의 평가를 거쳐 KISA로부터 인증사업자로 인정받아야지만, 공공분야 웹사이트 인증 서비스에 포함될 수 있기에 많은 수요가 몰릴 것으로 예상된다.
김 원장은 “평가 업무와 관련한 내부 운영규정을 만들었고, 별도의 인력도 조직했다”며 “문의가 이미 많이 들어오고 있는데, 평가 수요를 받아 일정을 조정해서 올 상반기 내 평가 업무를 바로 개시할 것이다. 초기 수요가 많지만 인력은 한정돼 있어 평가를 받을 수 있을 정도로 준비된 업체부터 시작해 일정을 짜서 업무를 시작할 계획”이라고 밝혔다.
지난해 5월 출범한 금융데이터거래소도 활성화시키기 위해 데이터 수요자·공급자 접근성 금융 보안 제고, 데이터 상품 표준화 및 가격 산정 기준 마련, 거래 유인 확보 등의 과제들을 해결해 나갈 방침이다. 금융데이터거래소는 출범 7개월만에 금융사(48개)에 더해 유통, 정보통신, 포털, 에너지 등 분야에서도 회원사로 참가해 총 90개 기업이 들어와 있으며, 누적거래량 1006건, 거래금액 9억원을 기록하고 있다.
지난해 12월 접근 편의성을 개선하기 위해 금융데이터거래소 홈페이지를 대폭 개편한 금융보안원은 오는 2월부터 AI 기술을 통해 수요자 관심 분야, 구매 내역 등을 학습한 후 데이터 상품을 추천하는 서비스를 제공할 계획이다.
데이터 전문기관의 데이터 결합 서비스를 금융데이터거래소 유통플랫폼과 연계해 원스톱으로 데이터 결합·유통·분석서비스를 제공하며, 금융 빅데이터 분석 경진대회 개최, 데이터 결합 우수사례 발굴 등 데이터 거래 활성화를 위한 지원 활동에도 관심을 두고 있다.
0 개 댓글