• ZDNet USA
  • ZDNet China
  • ZDNet Japan
  • English
  • 지디넷 웨비나
뉴스
  • 최신뉴스
  • 방송/통신
  • 컴퓨팅
  • 홈&모바일
  • 인터넷
  • 반도체/디스플레이
  • 카테크
  • 헬스케어
  • 게임
  • 중기&스타트업
  • 유통
  • 금융
  • 과학
  • 디지털경제
  • 취업/HR/교육
  • 생활/문화
  • 인사•부음
  • 글로벌뉴스
  • AI의 눈
반도체
인공지능
AI의 눈
IT'sight
칼럼•연재
포토•영상

ZDNet 검색 페이지

'금보원'통합검색 결과 입니다. (24건)

  • 태그
    • 제목
    • 제목 + 내용
    • 작성자
    • 태그
  • 기간
    • 3개월
    • 1년
    • 1년 이전

"금융보안, 세계는 자율이 대세"...금보원, 미·일 주요국 현황 조사 나서

금융보안원(원장 박상원)이 미국, 일본 등 주요국 금융권의 자율보안체계 운영 현황을 조사 및 분석에 나선다. AI와 클라우드 확산 등 급변하는 보안 환경 속에서 국내 금융회사의 자율보안 역량 강화를 지원하기 위해서다. 지난 십수 년간 국내 금융회사는 외부와의 연계를 차단하는 망분리 중심의 보안 체계를 유지해 왔으나, 금융의 AI 전환이 본격화하면서 AI 등 신기술을 안전하고 적극적으로 활용할 수 있는 유연하고 고도화된 보안체계 마련이 필요해졌다. 특히, 미토스(Mythos) 등 고성능 AI 위협이 현실화함에 따라, 기존 망분리와 같은 경계 기반 보안 통제만으로는 이러한 보안 위협에 효과적으로 대응하기 어려워 금융권 전반의 보안 역량 강화가 요구되는 시점이다. 이에, 금융위원회는 지난달 25일 '고성능 AI 관련 금융권 보안 위협 대응 방안'을 발표하는 등 망분리 규제 개선을 추진 중이다. 금융보안원 조사 결과, 해외 주요국은 디지털금융 환경에서 보안을 핵심 위험 요인으로 인식하고 신뢰할 수 있는 보안 프레임워크를 기반으로 금융회사 스스로 보안 수준을 점검・개선하는 자율보안체계를 지속적으로 발전시키고 있다. 또 망분리 규제로 일률적인 보안 통제를 적용하고 있는 국내와 달리, 자사의 업무 특성과 위험 수준에 맞는 보안 대책을 자율적으로 마련해 운영중이다. 미국은 국립표준기술연구소(NIST)가 개발한 보안 위험관리 프레임워크인 CSF(Cyber Security FRAMEwork)를 기반으로 금융회사가 ▲거버넌스 ▲식별 ▲보호 ▲탐지 ▲대응 ▲복구 등 전 영역에서 자사의 보안 수준을 점검하고 개선하는 체계를 운영하고 있다. 글로벌 금융회사 등이 회원사로 참여하는 민간 비영리단체 CRI(Cyber Risk Institute)는 NIST CSF를 금융권 환경에 맞게 재구성한 'CRI 프로파일(Profile)'을 개발했고, 다수의 금융회사와 미국 재무부 등에서 활용하고 있다. 일본, 홍콩도 정부 주도하에 자국 금융 환경에 맞는 자율보안 체계를 마련해 운영하고 있으며, 거버넌스부터 대응・복구에 이르는 보안 전 영역을 체계적으로 관리하고 있다. 국내 금융권도 올 2월 금융보안원이 공개한 '금융보안 수준진단 프레임워크'를 기반으로 자체 보안 진단을 본격 실시하는 등 자율보안체계 확산 단계에 진입했다. '금융보안 수준진단 프레임워크'는 CRI Profile 등 해외 선진 보안 프레임워크를 참조, 금융보안원과 금융회사가 함께 개발한 국내 금융권 특화 자율보안 프레임워크다. 금융보안원은 금융회사의 보안 수준 진단이 원활히 이뤄질 수 있게 올해 18개 금융회사를 대상으로 현장 진단 지원을 수행하고 있다. 유선·이메일 상담, 실무자 교육 등을 통해 금융회사의 자체 진단 활동도 지원한다. 앞으로도 해외 선진사례를 반영한 수준진단 프레임워크 고도화, 금융회사 보안 모범사례 발굴 및 공유로 자율보안 체계의 안정적 정착을 지원할 계획이다. 금융보안원 박상원 원장은 "고성능 AI 위협 확산 등으로 금융회사 스스로 보안 수준을 진단・개선하여 역량을 강화해 나가는 자율 보안 체계의 중요성이 커지고 있다”며 "금융보안원은 '금융보안 수준진단 프레임워크'를 기반으로 금융회사의 자율보안 역량을 글로벌 수준으로 조속히 제고할 수 있게 전방위적으로 지원하겠다”고 밝혔다. .

2026.06.30 15:52방은주 기자

금보원, ASM '아틀라스' 웹서비스로 29일 제공

금융보안원(원장 박상원)은 금융권 공격표면관리 도구인 '아틀라스(Atlas) ASM' 웹서비스를 29일부터 제공한다. 고성능·초지능형 AI 모델을 악용한 사이버위협에 선제적으로 대응하기 위한 조치다. ASM(Attack Surface Management, 공격표면관리)은 외부에 노출된 자산, 취약점 및 위협정보를 지속적으로 식별·분석해 보안 사각지대를 사전 관리하는 활동이다. 최근 사이버 공격은 외부에 방치된 자산이나 취약점을 노리는 형태로 진화하고 있어, 사후 대응 중심의 기존 보안관제만으로는 한계가 있다. 이에 금융보안원은 침입 이벤트 수집·분석 중심의 전통적 관제체계와 외부의 약점을 사전에 제거하는 'Atlas ASM'의 상호 보완적 결합을 통해 빈틈없는 방어체계 구축을 완료했다. 금융보안원의 'Atlas ASM'은 지도책(Atlas)처럼 금융회사의 외부 노출 자산 지형을 한 눈에 파악할 수 있으며, 식별된 금융 자산을 취약점 정보(CVE)와 연계 분석해 각 금융회사에 맞춤형 공격표면 현황과 위험 자산 정보를 선제적으로 제공한다. 특히, 이번 웹서비스 개발을 통해 금융회사는 실시간 위협 조회부터 누적 이력 관리까지 웹 화면에서 원스톱으로 처리할 수 있어 데이터 접근성과 업무 편의성이 향상될 전망이다. 금융보안원은 지난해 12월 서비스 개시 이후, 이용 금융회사가 기존 12개사에서 현재(´26.6월 기준) 147개로 대폭 확대됐다. 식별·관리 중인 금융권 공격표면 자산도 27만 개 이상에 달한다. 공격표면을 방치할 경우 악성코드 유포, 내부망 침투 등 중대한 금융 보안 사고로 직결할 수 있는 고위험 취약점을 식별하고, 해당 취약점에 노출된 금융회사에 조치 필요 사항을 신속히 안내하는 등 가시적인 성과를 거뒀다. 또 금융회사 정보보호 최고책임자(CISO)에게 공격표면 현황과 주요 위협 정보를 공유, 자산 관리 중요성에 대한 공감대를 형성하고 CISO로부터 ASM 서비스 활용도 측면에서도 긍정적인 평가를 받고 있다고 설명했다. 향후 'Atlas ASM' 서비스 제공 대상을 지속적으로 확대하고, AI를 활용한 자산 식별·분류, 위험도 분석, 자산 탐지 자동 생성 등 서비스를 고도화할 예정이다. 또한, 통합보안관제 업무와 연계해 신규 취약점 발생 시 영향 범위를 분석하고 신속히 대응하는 등 사전 예방 중심의 보안관제를 강화할 계획이다. 금융보안원 박상원 원장은 "AI를 활용한 취약점 탐색과 공격 루트가 다양해지고 정교해지면서 외부 노출자산을 선제적으로 식별하고 관리하는 역량이 그 어느 때보다 중요해졌다"면서 “Atlas ASM 서비스를 지속적으로 고도화해 금융회사가 잠재적 보안 위협을 체계적·선제적으로 관리할 수 있도록 지원함으로써, 더욱 안전한 전자금융거래 환경 조성에 기여하겠다”고 밝혔다.

2026.06.29 22:14방은주 기자

금보원-인터넷은행 3사, 보이스피싱 탐지 AI 개발 7월 적용

금융보안원(원장 박상원)이 인터넷은행 3사(카카오뱅크, 토스뱅크, 케이뱅크)와 연합학습 기법을 활용한 '보이스피싱 탐지 AI 공동모델'을 개발했다. 연합학습은 원본 학습데이터를 외부에 공유하지 않고, 기관별로 학습된 AI 모델(가중치)만 공유·병합, 개별 기관의 프라이버시와 보안을 유지하면서도 공동으로 활용가능한 고성능 AI를 만드는 차세대 협업 기술이다. 금보원은 보이스피싱 탐지를 위해 직접 AI 모델을 개발·운영해 온 인터넷은행 3사의 현장 경험과 원에서 연구및 개발한 연합학습 알고리즘을 더해 설계했다. 공동모델을 활용할 경우 각 은행이 보유한 사기탐지 역량이 다른 은행으로 상호 전파, 개별 은행에서 기존에 탐지하지 못하던 사기 거래를 탐지할 수 있다고 설명했다. 실제, 공동 모델 활용 시 각 은행 개별 모델이 탐지하지 못한 사기거래를 탐지한 사례가 다수 확인됐고, 공동 모델의 탐지 정밀도(모델이 사기라고 판단한 것 중에서 실제로 사기인 것의 비율)가 개별 모델 대비 최대 205%까지 향상된 걸 확인했다고 설명했다. 특히, 공동모델 개발을 수행하며 축적한 기술적 성과는 세계 최고 권위 AI 국제학회인 CIKM(25.11월)와 NeurIPS(25.12월)에 연이어 발표 및 채택, 대한민국 금융 AI 기술의 위상을 세계적으로도 인정했다고 덧붙였다. 공동모델은 7월부터 인터넷은행 3사의 실제 현장에 적용, 각 은행의 자사 AI 모델 및 FDS 시스템 등과 병행 활용될 계획이다. 현재 시중은행과 카드사 등 거래 데이터 형태가 유사한 금융업권별 공동모델도 추진 중이며, 금융권 전반으로 공동모델 활용을 순차적으로 확대할 예정이다. 아울러, 오는 4분기에는 금융보안원 전기통신금융사기 정보공유·분석 AI 플랫폼(ASAP)에 탑재, 제2금융권 등 중소형 금융사의 사기 탐지 역량 제고를 지원할 예정이다. 금융보안원 박상원 원장은 "지능화·조직화하고 있는 보이스피싱 사기 범죄에 대응하기 위해서 금융권 전체가 상생 기반의 협력체계를 마련하는 것이 중요”하다면서 "보이스피싱 공동모델 개발 뿐 아니라 AI를 활용한 ASAP 플랫폼 보이스피싱 관련 데이터 분석도 적극적으로 수행하고 선제적, 예방적 탐지에 필요한 인사이트와 시나리오를 발굴 및 제공함으로써 금융소비자 보호에 앞장서겠다"고 밝혔다. .

2026.06.24 20:47방은주 기자

금보원, 금융권 AI 대응 AI보안총괄부 신설

금융보안원(원장 박상원)이 금융권 AI 대응을 총괄하고 AI 위협에 적합한 금융 보안 체계 전환을 지원하기 위해 AI보안총괄부를 신설했다. 또 원장 직속 본부급 조직인 '금융AI보안연구소'도 새로 만들고 산하에 신설한 AI보안지원센터를 뒀다. 15일 금보원은 미토스 등 고성능AI 발전에 따른 사이버위협 증가와 금융권 AI 전환에 선제적으로 대비하기 위해 이 같은 내용을 골자로 한 조직 개편을 단행했다고 밝혔다. 이번 조직 개편으로 기존 4본부 10부 2센터 3실 49팀이 변경, 3본부 1연구소 11부 2센터 4실 53팀이 됐다. 조직 재편에 따라 금보원은 금융AI 서비스 안전성·신뢰성 평가 및 AI 레드티밍을 확대, 제공한다. 또 최신 AI기술 안전성 보장을 위한 연구 및 분석 자료를 적시에 제공할 수 있게 AI혁신부를 AI안전평가부로 개편하고, AI 보안위협에 대응이 어려운 중소 금융회사 등에게 금융보안원 전문인력이 고성능AI 보안위협·대응요령 등을 상세 안내할 수 있게 AI보안총괄부 내에 금융AI보안지원센터도 설치한다. 아울러 ASAP(AI-based Anti-phishing Sharing & Analysis Platform, 보이스피싱 정보공유·분석 AI 플랫폼) 고도화를 위해 보이스피싱 대응 전담 조직을 확대하고, 망분리 규제 완화에 따른 금융회사의 안전한 AI·SaaS 이용을 지원하기 위해 클라우드평가부를 금융AI보안연구소에 편제에 넣었다. 금보원은 조직재편에 따른 인사도 단행했다. 신설한 원장 직속 '금융AI보안연구소' 소장은 김성웅 AI혁신부장이 맡았다. 김 소장은 1975년생으로 서강대학교 전자계산학 학사와 동 대학 컴퓨터학 석사를 마쳤다. 금융결제원(2001. ~ 2013), 금융위원회 전자금융과 파견(2013.~2015), 금융보안원 정책연구팀장(2016. 6.),금융보안원 기획조정팀 팀장(2023. 1. ),금융보안원 AI혁신부 부장(2024. 1.)을 역임했다. 금보원은 "AI‧보안 분야 핵심 전문가로 탁월한 전문성과 기술 수용력을 겸비한 기존 AI혁신부장을 연구소장으로 발탁, 업무 연속성 확보 및 AI·보안 현안 대응력 제고에 나섰다"고 설명했다. 특히 금보원은 핵심 직책 3곳(AI안전평가부장(부장 이혁준), ASAP실장(실장 유영록), AI보안연구팀장)은 공모를 통해 전문성 및 업무 성과와 더불어 변화 대응 의지‧열정‧성장 잠재력 등을 최우선으로 고려해 1982년, 1980년생 등 젊고 역량 있는 인재를 과감히 발굴 및 발탁했다. 아울러, AI‧보안 관련 업무 경력 보유자와 AI 전문가 양성 프로그램 이수자(2025년부터 선제적으로 운영 중인 AI 고급기술 및 정보보호 활용 관련 심화교육 과정) 등을 중심으로 실무인력을 전진배치, 연구소의 전문인력 기반 확충 및 성과창출을 지원한다. 박상원 금융보안원장은 “최근 고성능 AI 모델을 활용한 보안 취약점 공격 위협이 증가하는 등 AI 보안 위협이 커지고 있어 관련 정책 지원 및 AI 공격 방어 체계 구축이 중요한 시점”이라면서 "이번 AI 전담 조직 확대 및 인사를 통해 AI 보안위협에 한 발 앞서 대응하고 금융권 AI 위협 대응에 대해 빈틈없이 지원할 수 있도록 지속적으로 노력하겠다”고 밝혔다.

2026.06.15 17:53방은주 기자

[보안리더] 박상원 금보원장 "보안, IT이슈 아냐...'장애 제로' 혼신"

"금융보안원이요? 국내 최고 실력 화이트해커 50명을 보유하고 있습니다." 박상원 금융보안원장은 최근 지디넷코리아와 인터뷰에서 "보안은 더 이상 IT 이슈가 아니라 금융회사의 경영 안정성과 신뢰를 좌우하는 핵심 과제가 됐다"며 이 같이 밝혔다. 금융보안원(금보원)은 2015년 출범한 국내 유일 금융보안 전문기관이다. 금융보안 특화 비영리 사단법인이다. 3개 기관(금융결제원과 코스콤의 정보공유분석센터, 금융보안연구원)의 관련 기능을 통합, 만들어졌다. '사원사'로 불리는 회원사는 220곳이다. 거의 대부분 국내 금융회사들이 회원사다. 보험사가 42곳으로 가장 많다. 금융투자사도 37곳에 달한다. 이외에 은행(19곳), 금융유관기관(6곳), 중소서민(36곳), 가상자산사업자(5곳), 전자금융업자(14곳), 기타(47곳), 기타 보험GA(14곳) 등이 회원사로 활동하고 있다. 이들 회원사들을 대상으로 금보원은 통합보안 관제, 침해사고 대응, 보안평가 및 검증, 교육·연구, AI 및 디지털자산 등 종합적인 보안 서비스를 제공한다. 임직원은 약 330명이다. 원장 산하에 4본부 12부 3실 49팀이 있다.(아래 이미지) 박 원장은 작년 1월 2일 취임했다. 임기는 3년이다. 1970년생이다. 세광고와 연세대 경제학과(87학번)를 졸업했다. 대학원은 미국 아이오와대에서 MBA를 했다. 1991년 한국은행에 입행, 직장생활을 시작했다. 공군장교로 4년 근무했고, 2000년 금융감독원(금감원)으로 자리를 옮겼다. 금감원에서 금융그룹감독실장, 은행리스크업무실장, 비서실장, 부원장을 거쳤다. 뉴욕사무소 소속 워싱턴 주재원으로도 3년 근무했다. 금융위 지휘를 받는 금보원은 IT분야의 KISA(한국인터넷진흥원) 같은 곳이다. KISA처럼 금융권에서 일어나는 각종 보안 사고를 조사하고, 미연에 방지하기 위한 여러 활동을 한다. 박 원장은 "급변하는 디지털 금융 환경 속에서 '장애 제로(Zero)'를 목표로 가용성 테스트를 철저히 하고 있다. 언제 어디서나 믿고 이용할 수 있는 금융 IT 기반을 다져 나가겠다"고 강조했다. 금보원은 작년말 화이트해커로 구성한 모의해킹 전담조직을 부서 단위로 확대했다. 뿐만 아니라 국내외 해커(공격자) 동향 및 공격 전술과 기법을 선제적으로 파악 및 조사분석하는 위협인텔리전스팀도 신설했다. AI발 해킹에 선제적으로 대응한 것이다. 아래는 박 원장과 일문일답. 박 원장은 "금융AI 안전성과 신뢰성을 평가할 수 있는 프레임워크를 개발해 AI 안전성 뿐 아니라 신뢰할 수 있는 AI적용을 지원하겠다"고 밝혔다. -임기가 벌써 절반이 지났다. 가장 잘한 것 한가지와, 아쉬운 것 한가지, 해야 할 것 한가지를 말해준다면 "지난해 7월, SGI서울보증에서 랜섬웨어 공격으로 시스템 장애가 발생했다. 당시 금보원은 높은 전문성을 바탕으로 통상 복구가 어려운 데이터 복호화에 성공, 신속한 시스템 복구를 지원했다. 대규모 통신사 해킹사고 발생 시에도 악성코드를 빠르게 분석해 자체 점검 도구를 개발 및 배포, 전 금융권으로 확산할 수 있는 피해를 사전에 차단했다. 고성능 AI인 '미토스'로 대표되는 기술 진화는 금융 혁신의 가능성을 넓히는 동시에 보안 수준과 역할 전반의 고도화를 요구하고 있다. 금보원은 AI 기반 위협 분석 및 금융사기 예방체계를 가동하고 디지털자산 보안 정책을 마련하는 등 보안이 선도하는 디지털금융 혁신을 지원하고 있다. 뿐만 아니라 AI 기반의 고도화된 분석 환경을 통해 금융회사에게 안정적으로 맞춤형 위협정보를 제공하고, 당국과 긴밀히 소통하는 등 AI 발전에 따라 발생하는 보안 이슈에 선제적으로 대응하고 있다." -지난 4월 열린 국제 사이버공격 방어훈련 '락드쉴즈(Locked Shields) 2026'에 금보원이 올해도 참여, 5년 연속 참가 기록을 세웠다. 해외에서 바라보는 금보원의 사이버 방어 역량은? "세계 최대규모 사이버 훈련인 '락드쉴즈'에 5년 연속 참여함으로써 대한민국 금융권 방어 역량이 글로벌 최상위 수준임을 입증했다. 특히, 올해 훈련에서는 LLM 기반의 자동화 분석과 AI에이전트를 실전 대응 프로세스에 적극 활용, 지능화된 악성코드 분석과 복합적인 공격 방어를 성공적으로 수행, 우리 원의 독보적인 AI 보안 기술력을 보여줬다. 이러한 국제 위상은 단순히 기술력을 과시하는데 그치지 않는다. 우리 금융 산업이 어떠한 고도화된 위협 속에서도 금융소비자의 소중한 자산을 안전하게 지켜낼 수 있다는 강력한 신뢰의 지표가 될 것이다." -지난 3월 회원사인 금융사를 대상으로 금융IT 인프라 가용성 테스트를 실시했다. 결과가 어땠나? "지난해 주요 금융회사들을 대상으로 IT인프라 가용성 점검을 했다. 예기치 못한 시스템 부하와 장애 상황에서 복원력을 선제적으로 검증하는 성과를 거뒀다. 올해는 이를 토대로 테스트의 범위를 한층 넓혔다. 온프레미스 장비부터 복합적인 클라우드 환경에 이르기까지 IT인프라 전반을 정밀히 확인하고 있다. 급변하는 디지털 금융 환경 속에서 '장애 제로(Zero)'를 목표로 한 철저한 가용성 테스트를 통해 언제 어디서나 믿고 이용할 수 있는 금융 IT 기반을 다져 나가겠다." -법령과 시행령에 따라 매년 회원사들의 전자금융기반시설도 분석하고 평가하고 있다. 올해는 어떻게 진행하나? "올해 사원기관의 보안 대응 역량 강화를 위해 178개 기관을 대상으로 종합점검, 단독점검, 공개용 홈페이지 점검 등을 수행 중이다. 평가기준 개정은 전자금융감독규정 및 시행세칙 개정사항 을 반영했다. 특히 금융회사의 클라우드 사용이 증가함에 따라 클라우드 점검 범위와 대상을 확대, 클라우드 보안을 강화했다. 또 올해는 웹보안점검팀을 신설하고 전문인력을 확충, 금융권의 공개 홈페이지 취약점 분석과 평가를 제공하고 있다. AI발달로 AI기반 해킹 위협도 확산하고 있다. AI기반 고도화, 전문화된 취약점 점검 수행 방안을 마련, 적용할 예정이다." -지난 2월말 '금융권 소프트웨어 보안 취약점 신고 포상제'를 실시한다고 했는데 "SW공급망 내 하나의 취약점이 금융권 전반에 동시다발적으로 영향을 줄 수 있다. 이 점을 고려해 금융회사를 대표해 금융회사가 사용하거나 배포하는 소프트웨어를 대상으로 연중 상시 보안 취약점 신고를 받고 있다. 이와 별도로 AI 시대에 더욱 고도화하는 사이버 위협에 선제적으로 대응할 수 있게 금융서비스를 대상으로 한 보안 취약점 신고 포상제(금융권 버그바운티 집중신고)도 운영하고 있다. 올해는 전년 대비 119% 증가한 70개 사원사가 참여한다. 금융권도 민간 화이트해커와 협력하는 보안 문화가 점차 확산하고 있다." -지난 2월말 '금융권 소프트웨어 공급망 보안 플랫폼'도 본격 가동하겠다고 했다 "지난 2월 6일부터 정식 가동중이다. 금융권의 SW공급망이 지닌 보안 위협에 선제적으로 대응하기 위해 만든 플랫폼이다. 현재 120개 이상 기관이 가입해 활용하고 있다. 점차 확대될 것으로 보고 있다. 이 플랫폼은 금융권 주요 SW의 취약점을 통합 관리하고, SBOM(SW자재명세서)을 체계적으로 관리 및 활용할 수 있는 기능을 제공한다. 화이트해커가 신규 취약점을 제보하면 보상하는 버그바운티도 운영하고 있다. 패치 적용부터 제로데이 취약점 발굴까지 공급망의 모든 단계 보안을 지원한다. 지난 달에도 플랫폼에서 운영하는 버그바운티를 통해 전자서명SW 신규 취약점을 입수하고, 해당 SW를 사용하는 금융회사가 신속하게 취약점을 패치하도록 지원한 바 있다. 이렇듯 취약점 접수 및 분류->영향분석->개발사 패치 개발 협의->금융사 적용-> 조치 확인 및 이력화에 이르는 전 과정을 플랫폼을 통해 일괄 처리하고 있다. 금융회사가 사용하거나 배포하는 SW 구성요소 정보를 체계적으로 관리할 수 있게 SCA(SBOM 추출 도구)도 제공한다. SBOM 정보를 플랫폼에 업로드 시 취약점을 확인할 수 있다. 이후 해당 SW에 신규 취약점 발생 시 빠르게 인지할 수 있게 모니터링을 지원한다. 금융회사는 오픈소스 관리 시 도입, 설계, 개발, 운영 전 단계에서 SW 보안 취약점을 제거하기 위한 도구로 이 플랫폼을 활용하면 좋다." -올 1월초 AI 중심 금융보안 전략을 마련해 발표했다. "약 1년여 간 금융권 현직자들과 작업했다. 금융보안 수준 진단 프레임워크를 개발했다. 이 프레임워크는 미국 국립표준기술연구소(NSIT)의 사이버보안 프레임워크(CSF), CRI Profile 등 해외 주요 프레임워크를 기반으로 국내 금융환경에 맞게 설계했다. 총 7개 분야 45개 항목으로 구성했다. 각 항목별로 4단계의 보안 성숙도 기준을 제시한다. 단순히 법적 규제를 준수하는 것에 그치지 않고, 더 높은 보안 수준을 목표로, 스스로 개선해 나가도록 유도하기 위한 것이다. 프레임워크와 함께 지침(가이드)도 배포했다. 이를 통해 금융회사가 스스로 보안 수준을 점검하고 개선방향을 도출할 수 있을 것으로 기대하고 있다. 올해부터 금융회사들을 대상으로 수준진단 서비스도 제공중이다. 금융회사를 방문해 인터뷰를 기반으로 금융회사 보안 수준을 진단한다. 올해 서비스를 제공하는 과정에서 현직자들의 의견을 청취하고, 모범사례를 수집, 프레임워크를 지속 발전시켜나갈 계획이다. 이 프레임워크를 통해 금융회사들이 자사 보안수준을 진단하는 한편 보완이 필요한 점을 발굴하고 개선, 국내 금융권의 보안 역량을 전체적으로 향상될시키겠다." -AI 레드티밍도 확대했다. 성과가 있었나? "금융권의 AI 도입 및 적용 확산으로 AI 보안위험을 사전에 통제 및 관리할 필요성이 커졌다. 이에 따라 2025년 부터 금융회사를 대상으로 AI 레드티밍을 수행하고 있다. 올해는 현재 9개 금융회사를 대상으로 시행했다. 금융권 AI 도입이 늘어남에 따라 점검 수요가 늘고 있다. 특히 올해에는 기존 모의해킹 전문인력과 AI 전문인력을 같이 배치했다. 기존 모의해킹 전문성과 AI 레드티밍 전문성을 결합한 점검 서비스를 제공하기 위해서다. AI 기술이 대화형 서비스에서 AI 에이전트로 진화함에 따라 이에 맞춰 안전한 AI 에이전트 적용을 지원하기 위한 점검 항목도 개발 중이다." -금융 취약계층 보호를 위한 보이스피싱 탐지 기술을 고도화한다고 했다. 진행상황은? "보이스피싱 범죄에 이용된 계좌의 특징점을 전산적으로 파악해 대응하는 시스템을 운영중이다. 이를 FDS라 부른다. 최근 신종 스캠·대포계좌 등 새로운 유형 범죄가 증가 및 확대하고 있다. 이에, 금융권 탐지역량 및 정보공유 체계 강화를 위해 FDS의 공동 룰을 개발해 금융권에 배포할 예정이다. 또 오는 8월 개정 예정인 '통신사기피해환급법' 시행에 맞춰 원활한 정보 공유를 위해 관련 시스템을 확충 및 개선하고 있다. 특히 여러 채널에서 공유한 데이터를 AI 로 교차 분석, 지능화된 신종 사기 패턴과 은닉된 범죄 징후를 선제적으로 탐지하고 있다." -전사 업무에 AI를 기본 적용하는 AI퍼스트 정책을 도입한다고 했는데 "세부 사항을 검토 중이다. 보안관제, 침해대응, 모의해킹 등 다양한 보안 업무에 AI를 결합해 전문성을 고도화하는 데 주력할 거다. 중요 자료를 다루는 폐쇄망 환경에서도 AI를 손쉽게 적용할 수 있게 사내 자체 AI 포털도 고도화하고 있다." -작년 12월, 운영 중인 '보이스피싱 정보공유·분석 AI 플랫폼(ASAP)'과 연계해 중소 금융업권의 보이스피싱 대응 수준을 강화한다고 했다 "각 금융회사가 자체 이상거래탐지시스템(FDS)을 운영 중이다. 하지만 개별적으로 보유한 의심 계좌와 거래정보만으로는 대응에 한계가 있다. 특히 탐지된 피해 계좌, 사기 이용 계좌 등을 다른 금융회사에 공유할 수 있는 채널이 없어 신속한 대응이 어렵다. 이에, 작년 10월 출범한 보이스피싱 정보공유·분석 플랫폼 (ASAP)을 통해 개별 금융회사가 탐지한 피해 계좌, 사기 이용 계좌 등을 신속하게 공유하게 했다. 금융권 전반의 보이스피싱 대응 역량이 높아질 것으로 본다. 올 1월 '통신사기 피해 환급법 개정안'이 국회에서 통과됐다. 이에, 금융·통신·수사 등 정보 공유 범위 확대를 기대하고 있다. ASAP 출범 이후 올 4월까지 보이스피싱 관련 정보를 32만 건 공유, 금융회사에서 발생할 수 있는 약 475억원의 보이스피싱 피해를 예방했다." -작년 12월 조직을 재편해 해킹 대응력 강화했다. 그동안의 성과와 발전방향은 "조직확대 이후 가장 큰 성과는 기존 취약점 점검과 더불어 실제 침해사고 발생 가능성을 검증하고 사전에 예방하는 모의해킹(침투테스트)에 대한 수요 증가에 안정적으로 대응할 수 있는 체계를 갖췄다는 점이다. 이는 금융권의 선제적 사이버 위협 대응 인식이 높아지고 있고,이에 맞춰 실질적인 지원 역량을 강화하고 있음을 보여준다. 또한 AI 레드티밍, 가상자산거래소, CSP 안전성평가 등 신기술신사업 영역에서도 모의해킹 점검을 지원하며 금융권 보안 검증 범위를 넓혔다. 사원기관 정보보호 담당자를 대상으로 우리 원의 RED IRIS실 화이트해커가 직접 모의해킹 교육을 실시, 담당자의 침투테스트 이해도와 취약점 대응 역량도 강화했다. 생성형 AI 확산에 맞춰 AI를 활용한 모의해킹 기법, 자동화 점검, 최신 공격 시나리오도 지속 연구하면서 금융보안원의 전문성을 대외적으로 알리고 금융보안 분야를 선도할 기반을 마련할 정이다. 발전 방향은 금융당국의 사전예방 중심 보안 강화 기조와 맞닿아 있다. 최근 보안사고가 이어지면서 형식적 점검보다 실제 침투 가능성과 방어체계 작동 여부를 검증하는 모의해킹의 중요성이 커졌다. 이에, 침투테스트 기반 모의해킹을 금융권에 안정적으로 정착시키고, 중장기적으로는 물리 침투, 사회공학, 탐지·대응 검증 등을 포함한 AI 기반의 레드티밍으로 확장해, 미래 성장동력을 확보해 나가고 있다. 모의해킹은 단순히 취약점 식별이 아니다. 금융회사의 보안 수준을 실질적으로 끌어올리는 수단이다. 교육과 기술 지원을 확대, 현장 관심과 후속조치 문화가 함께 정착하도록 하겠다." -스테이블코인 등 디지털자산 보안을 전문으로 지원하기 위한 전담조직도 확대, 개편했다 "올해 조직개편을 통해 1개 팀을 '디지털자산실'로 확대, 2개 팀으로 만들었다. 디지털자산실은 보안 기획, 금융당국 정책 수립 지원, 보안 기술·점검 지원, 위협 조사·연구, 위협정보 수집 및 정보공유 등의 업무를 발굴해 수행하고 있다. 디지털자산 보안 점검의 경우 작년에는 가상자산거래소 4곳을 대상으로 했다. 올해는 토큰증권(STO) 서비스 대상 시범점검을 진행중이다. 토큰증권 제도화 및 가상자산 2단계 입법 추진에 따라, 안전한 디지털자산 생태계 조성을 위해 보안 기준을 마련하고 점검 지원 등을 지속적으로 추진하려 한다. 첫째, 블록체인과 월렛, 스마트 컨트랙트, 자금세탁 방지 등 디지털자산 보안 관련 사항을 종합적으로 고려해 디지털자산 보안 프레임워크를 개발할 예정이다. 둘째, 디지털자산의 안정적 제도권 안착을 위해 보안 위협 및 요구사항 등을 논의하기 위한 '디지털자산 보안 실무협의체'를 지속적으로 운영할 계획이다. 이 실무협의체는 올 4월 토큰증권, 스테이블 코인, 가상자산 업권 등 26개사로 구성해 킥오프(Kick-Off)를 완료했다. 셋째, 글로벌 디지털자산 관련 침해사고, 스마트 컨트랙트 취약점, 범죄와 연관된 의심 월렛 주소 등 국내외 디지털자산 관련 위협 정보를 수집 및 분석해 위협 요소를 식별하고 정보를 공유하는 체계를 마련하겠다. 스마트 컨트랙트 보안 검증 도구를 개발해 이의 보안 향상을 지원하고, 금융권에서 활용 가능한 스마트 컨트랙트 보안 안내서를 발간하려 한다." -AI 전담조직을 부서 단위 조직으로 격상했다 "그렇다. 다양한 업무를 한다. 보이스피싱 AI 공동 모델 개발과 금융 분야 인공지능 보안안내서 개발, AI 레드티밍 확대 등이 대표적이다. 금융AI 가이드라인에 기반한 금융AI 안전성·신뢰성 평가 프레임워크를 개발해 AI 안전성 뿐 아니라 신뢰할 수 있는 AI적용도 지원할 예정이다. 또한 미토스 등 고성능 AI 출현에 따라 앞으로는 AI 위협분석 및 공격·방어 연구 기능을 강화하고 AI 보안 전문인재 양성을 확대, 진화하는 AI 기반 보안위협에 적극 대응하려 한다." -조직활력 제고를 위한 원장님만의 노하우가 있다면? "임직원이 전문성을 높이고 동기부여를 받게 교육과 연수체계를 신설, 강화하고 있다. 조직의 핵심 경쟁력은 결국 직원 한 사람 한사람의 역량이다. 이에, 모의해킹·디지털자산·AI 전문인력 육성 과정, 글로벌 현장 중심 역량 강화를 위한 과정을 운영하고 AI 전문성 향상을 위한 전 직원 대상 AI 활용 교육을 진행하고 있다.직원의 역량 향상과 더불어 조직활력 제고까지 이어질 수 있게 하고 있다." -작년 11월 '리딩 더 챌린지(Leading the Change)'를 주제로 금융정보보호 컨퍼런스인 '피스콘 2025(FISCON 2025)'를 성공적으로 개최했다. 올해는 어떤가? "올해 피스콘(FISCON)은 오는 11월 12일 목요일 서울 여의도 콘래드 호텔에서 개최한다. 특히 올해는 초고도AI 등장으로 금융권 보안 환경과 디지털금융 패러다임이 어느 때보다 빠르게 변화하고 있다는 점에 주목하고 있다. '미토스' 사례처럼 AI가 장기간 발견되지 않았던 취약점까지 단시간 내 찾아내는 수준에 도달했다. 이에, 보안은 더 이상 IT 이슈가 아니라 금융회사의 경영 안정성과 신뢰를 좌우하는 핵심 과제가 됐다. 올해 FISCON은 AI 대전환(AX) 시대에 금융권이 어떻게 대응해야 하는지에 대한 인사이트와 전략을 제시하는 데 중점을 둔다. 민・관・산・학・연 전문가들과 함께 최신 기술과 정책, 산업 동향 등을 공유한다. 경영진과 실무진이 빠르게 변화하는 디지털 환경 속에서 대응 과제와 미래 방향을 함께 논의하는 장으로 준비중이다." -프라이버시향상기술(PET)에도 금보원이 관심이 큰데.... "AI 도입과 확산에 따라 AI기술 고도화를 위한 학습데이터 확보가 매우 필요한 상황이다. 이에, 개인정보 자체를 노출하지 않으면서 유용성을 확보할 수 있는 합성데이터가 PET 기술의 하나로 각광받고 있다. 금보원은 개인정보를 기반으로 생성한 합성데이터가 유용성과 함께 충분한 익명성을 확보할 수 있게 익명 처리 기준을 마련, 적정성 평가 제공을 추진하고 있다. 이를 기반으로 금융회사가 적정성이 확인된 합성데이터를 통해 부족한 학습 데이터를 확보하고, 개인정보를 보호하면서도 금융 소비자 분석, 금융 서비스 개발 등 다양한 목적으로 합성데이터를 활용할 수 있게 지원한다." -작년 8월 열린 세계 최고 해킹방어대회 '데프콘(DEFCON CTF 33)'에서 금보원 직원들이 상위권에 다수 이름을 올렸다. 올해도 참가하나? "지난 2018년부터 금융보안원 직원들이 데프콘에 참여해 우수한 성과를 꾸준히 내고 있다. 직원이 대회에 적극 참여할 수 있게 원 차원에서 독려하고 있다. 개개인의 실력을 향상을 위한 지원도 함께 하고 있다. 올해 역시 직원들이 적극적으로 참가를 준비하고 있으며 좋은 성과를 이어갈 수 있을 것으로 기대하고 있다." -작년 8월 해외 금융권의 양자컴퓨팅 관련 동향 등을 정리한 연구보고서를 배포했다. 양자컴퓨팅과 보안에 대해 어떻게 대응하고 있나 "양자컴퓨팅 중 안전한 양자내성암호(PQC, Post-Quantum Cryptography)를 연구, 미국 및 우리나라에서 표준화하고 있다. 하지만 아직 세부적인 부분까지 완성되지 않은 상황이다. 금보원은 양자컴퓨팅 및 양자내성암호와 관련해 정부 및 관계기관 협의체 참여와 기술 동향 모니터링, 기술문서 조사 및 분석을 지속적으로 수행하고 있다. 향후 양자내성암호 기술이 실제 쓰일 수 있을 정도로 표준화가 완료되면, 사원기관이 이를 안심하고 도입할 수 있게 가상 금융환경의 개념검증(PoC), 컨설팅 등 사원기관에 실질적으로 도움이 될 수 있는 서비스를 계속 제공하겠다." - 현재 제일 고민인 것은? "금융산업도 AX 시대를 맞이하고 있다. 생성형 AI 확산에 따른 사이버 위협 대응은 기존에도 중요한 과제였지만, 최근 '미토스'와 같은 고성능 AI 등장으로 AI가 가져올 보안 위협에 대응하는 것이 핵심 과제가 됐다. 또 디지털 월렛은 금융 플랫폼의 중심으로 부상하고 있으며, 스테이블코인과 STO 등은 금융의 새로운 영역으로 확고히 뿌리내리고 있다. 이러한 혁신의 흐름 속에서 금보원은 기술 혁신이 금융에 안전하게 안착할 수 있게 '보안'이라는 신뢰의 토대를 만들고 견고하게 유지하는 역할을 수행할 것이다. 보안이 혁신의 뒤를 따라가는 것이 아니라, 혁신을 지속 가능하게 만드는 핵심 경쟁력이 될 수 있게 하는 것이 중요하다고 본다." -어떤 원장으로 기억되고 싶나 "금융보안원은 지난 11년간 금융 보안을 책임지는 기관으로서 쉼없이 달려왔다. 금융 당국의 원칙(principle) 중심은 보안규제 패러다임 전환에 발맞춰 금융회사가 자율적으로 보안수준을 진단할 수 있는 체계를 정착시켜 나갈 것이다. 또한 AI, 클라우드, 디지털자산 등 금융혁신을 거스르지 않으면서 금융회사가 안전한 항로를 스스로 개척해 나갈 수 있게 반보 앞선 길잡이 역할을 한 원장으로 기억되고 싶다." 아래는 설립 11년차인 금보원이 뽑은 역대 11대 성과. ① SGI서울보증 랜섬웨어 사태 대응 -랜섬웨어를 심층 분석한 결과, 암호화 방식의 결함을 찾아냄으로써 데이터의 복호화에 성공하여 피해 서버의 복구를 지원하는 등 대형 금융 사고 발생에 대응하여 신속하고 정밀한 기술 지원을 통해 침해 사고를 조기에 수습하며 금융 시스템의 신뢰 회복에 기여. ② 금융권 공격 표면 관리(ASM) 서비스 개시 - 외부에 노출된 금융권 디지털 자산을 실시간으로 탐지하고 관리하여, 해커의 공격 경로를 사전에 차단하는 선제적 방어체계를 마련련.. ③ 보이스피싱 정보공유·분석 AI 플랫폼(ASAP,) 출범 -AI-based anti-phishing Sharing & Analysis Platform의 약자. 개별 금융사를 넘어 공공·통신 분야 등 유관기관의 정보까지 활용하는 범금융권 통합 보이스피싱 대응 체계를 구축하였습니다. AI를 통해 보이스피싱 수법을 실시간으로 분석하여 민생 침해 범죄에 공동 대응하는 강력한 허브 역할 수행. ④ AI 레드티밍 등 안전한 금융 AI 활용 환경 조성 - 금융 분야 AI 도입 시 발생할 수 있는 보안 취약점을 점검하는 레드티밍 체계를 구축하여, 신기술 도입의 안전성을 확보. ⑤ 최고경영자 레벨의 금융보안 공감대 형성 - 금융회사 CEO 초청 정보보호의 날 기념행사, FISCON, 사외이사 교육 및 최고위 과정 운영을 통해 보안을 단순 기술 이슈가 아닌 경영의 핵심 가치로 격상. ⑥ 금융권 버그바운티(Bug Bounty) 안착 - 외부 전문가들과 함께 취약점을 찾는 취약점 신고 포상 제도 기반의 자율 보안 모델을 성공적으로 운영하며 금융 생태계 전반의 보안 자정 능력 강화. ⑦ 최정예 화이트해커 조직 'RED IRIS' 운영 - 최고 수준의 공격 역량을 보유한 화이트해커 전문 조직이 수행하는 실전 침해 점검을 바탕으로, 금융권의 방어 역량을 한차원 높여. ⑧ 정보보호 상시평가 및 금융권 개인정보보호 지원 - 금융회사 등이 처리하는 개인신용정보에 대한 관리·보호 실태를 상시적으로 점검하여 가명정보, 데이터 결합 등 새로운 데이터 처리 환경에서도 국민이 신뢰할 수 있는 정보보호 체계 구축. ⑨ 클라우드 연계 대용량 디도스(DDoS) 공격 대응 체계 마련 - 금융권을 노리는 대규모 트래픽 공격에 효과적으로 대응할 수 있는 고성능 DDOS 대응 시스템을 구축해 빈번히 발생하는 금융권 대상 DDOS공격에 의한 피해 사전 방지. ⑩ 금융권 안전한 클라우드 활용 환경 조성 - 금융사들이 민첩한 디지털 전환을 이룰 수 있도록 금융권의 안전한 클라우드 서비스 활용을 위한 방향을 제시하고 클라우드 관련 보안성 및 안전성 검증 수행. ⑪ 한·미·일 금융보안 사이버공조체계 확립 - 글로벌 사이버 위협에 공동 대응하기 위해 3국 간 협력 네트워크를 구축, 국경 없는 위협에 대한 국제적 공조 시스템을 마련.

2026.05.31 17:15방은주 기자

금보원, 스마트컨트랙트 검증 도구 개발한다

금융보안원(원장 박상원)이 스마트 컨트랙트 검증 도구 개발에 나선다. 스마트 컨트랙트 검증 체계도 수립한다. 11일 금보원은 토큰증권(STO) 제도화 및 가상자산 2단계 입법 추진에 따라, 디지털자산 서비스의 핵심 기능을 담당하는 스마트 컨트랙트와 관련해 ▲스마트 컨트랙트 검증 도구 개발 ▲디지털자산 전문 인력 양성 ▲스마트 컨트랙트 검증 체계 수립을 3대 추진 과제로 선정, 추진한다고 밝혔다. ◆검증 도구 개발: 토큰증권, 스테이블코인 등 디지털자산 서비스에서 활용하는 스마트 컨트랙트의 주요 취약점을 자동 탐지하는 전용 보안 검증 도구를 개발할 예정이다. 재진입공격, 접근 권한 오류, 담보 검증 누락 등 금융 서비스에서 발생 빈도가 높은 취약점 유형을 중심으로 탐지 룰셋을 개발하고, 국내 금융권 규제 환경을 반영한 맞춤형 점검 기준을 지속 업데이트, 실효성을 높인다. 또 최신 위협 사례 반영, AI 기반 코드 추론 기술을 활용한 탐지 성능 강화 등 지속적 고도화도 수행한다. ◆검증 체계 수립: 금융사가 안전하게 스마트 컨트랙트를 개발 및 활용할 수 있게 체크리스트를 포함한 보안 검증 체계를 마련하고, '스마트 컨트랙트 보안 안내서'를 발간해 회원사에 제공할 예정이다. 스마트 컨트랙트 개발·배포·운영 등 전 단계를 포괄하는 검증 절차 및 기준을 마련하고, 시범 점검 등을 직·간접적으로 적극 지원한다. ◆전문 인력 양성: 금융보안원 및 금융회사 전문 인력 역량 강화와 함께 금융사 디지털자산 및 보안 담당자를 대상으로 세미나, 협의체 운영 등을 통해 스마트 컨트랙트 보안 전문 지식을 공한다. 블록체인과 디지털자산 이해, 스마트 컨트랙트 취약점 패턴, 주요 사고 사례 공유 등 금융사 디지털자산 보안 역량 강화도 지원한다. 또 금융권·민간 보안 업체 등 디지털자산업권 전문가 협력 네트워크를 구축, 최신 공격 기법 및 대응 사례를 상시 공유한다. 금보원은 "특히, 스마트 컨트랙트는 디지털자산 핵심 비즈니스 로직으로 보안 취약점 발견 시 대규모 자산 피해 발생 및 탈취된 자산의 회수가 사실상 불가하다는 점에서 파급력이 매우 높다"면서 "스마트 컨트랙트 등 디지털자산 핵심 비즈니스 로직에 대한 지속적인 연구 및 분석을 통해 전문성을 강화, 국내 디지털자산 생태계가 안전하게 성장할 수 있게 선도적 역할을 지속해 나갈 예정"이라고 밝혔다. 박상원 금융보안원장은 “디지털자산 시장의 신뢰성을 확보하기 위해서는 그 기반인 스마트 컨트랙트 보안성이 담보돼야 한다”면서 “금융보안원은 스마트 컨트랙트 검증부터 보안 안내서 발간까지 금융권이 필요로 하는 디지털자산 보안 서비스를 적극 제공할 예정"이라고 밝혔다.

2026.05.11 09:44방은주 기자

금보원, '금융보안 최고위과정 10기' 입교식

금융보안원(원장 박상원)이 개최하는 금융권 유일의 경영진(C-Level) 대상 디지털금융·보안 최고위과정인 '2026년도 제10기 금융보안 최고위과정(FSP)'이 7일 입교식을 시작으로 진행된다. 이번 '금융보안 최고위과정(Advanced Financial Security Management Program)'은 2017년부터 현재까지 240여명의 수료생을 배출했다. 경영진의 디지털 금융보안 전문역량을 제고하고 기업 간 정보 교류 및 소통의 장을 제공하기 위해 마련됐다. 올해 10기 금융보안 최고위과정은 이날 입교식을 시작으로 10주간 운영된다. 금융권 및 정보보호 산업계의 디지털‧정보보호 담당 경영진 38명이 참여했다. 미토스로 대표되는 초고도 AI 위협 등 급변하는 디지털금융 환경에 대응할 경영진의 전문성과 거시적 안목을 강화하는 것에 초점을 뒀다. 국내 최고 수준의 전문가들이 전하는 실전 인사이트가 차별화된 강점이라고 금보원은 밝혔다. 국내 최정상 화이트해커 박세준(티오리)‧박찬암 대표(스틸리언)를 필두로, AI 선두기업 및 금융보안원 전문가 등이 강연자로 참여해 실제 적용 가능한 보안 전략과 경영 대응 전략을 제시한다. 주요 커리큘럼은 ▲금융 AI 리스크 관리 및 보안 체계 ▲공격자 관점의 금융보안 ▲스테이블코인 확산에 따른 대응 전략 등 금융 경영진이 직면한 핵심 현안 위주로 구성했다. 금융보안원 박상원 원장은 “수십 년간 숨겨진 취약점을 찾아낸 미토스 사례처럼 초고도 AI의 등장으로 인해 공격자의 역량이 강력해진만큼, 보안은 경영진이 풀어야 할 핵심 과제”라고 강조하며 “차별화된 커리큘럼을 제공해 금융 리더들이 대내외의 금융 환경 변화에 능동적으로 대응하고 탄탄한 보안 거버넌스를 확립할 수 있도록 적극 지원할 계획”이라고 밝혔다.

2026.05.07 15:28방은주 기자

"안전한 토큰증권 서비스"...금보원-하나증권 MOU

금융보안원(원장 박상원)은 하나증권(대표 강성묵)과 안전한 토큰증권 플랫폼 조성을 위해 27일 업무협약(MOU)을 체결했다. 토큰증권(Security Token Offering)은 분산원장 기술(Distributed Ledger Technology)을 활용해 자본시장법상 증권을 디지털화(Digitalization)한 증권을 말한다. 이번 협약을 통해 양 기관은 토큰증권 관련 ▲보안성 향상을 위한 기술적 검토 및 자문 지원 ▲위협 대응 및 정책 연구 ▲보안 역량 강화를 위한 지원 방안 모색 등 디지털자산 기반 금융혁신이 가속화될 수 있게 협력을 강화한다. 금융보안원은 하나증권을 대상으로 토큰증권 플랫폼 전반에 대한 보안성 점검 및 스마트 컨트랙트 보안 검증을 수행, 안전한 토큰증권 서비스 환경 조성을 지원한다. 스마트 컨트랙트(Smart Contract)는 블록체인 기반으로 계약 거래 내용을 코드로 기록해 계약 조건 등이 충족되었을 때 계약을 자동으로 이행해주는 프로그램이다. 하나증권은 금융보안원의 보안성 점검이 원활이 이뤄질 수 있게 토큰증권 인프라 제공 등 실증적 협력을 할 예정이다. 이번 업무협약은 토큰증권 플랫폼이 단순히 테스트 단계를 넘어,실제 서비스 운영을 위한 보안체계 점검과 안전성 확보가 본격적으로 요구되는 단계에 진입했음을 보여주는 사례라고 금보원은 설명했다. 아울러 금융권에서는 내년 2월 시행할 토큰증권 제도화에 발맞춰 토큰증권의 기능적 구현을 넘어 보안성을 고려한 설계 및 구현에 대한 관심이 증가되고 있는 상황이다. 특히, 토큰증권의 경우 분산원장이 금융 서비스의 기반 인프라로 처음 도입되는 사례로 분산원장 특성에 기반한 보안위협에 대비하는 것이 중요하다. 이에, 안전한 분산원장의 설계 및 노드 운영, 스마트컨트랙트 보안, 지갑 및 개인키 관리 등 기존 전통 금융인프라와는 차별화된 요소에 대한 집중적인 관리가 필요한 상황이다. 금융보안원 박상원 원장은 “자본시장의 새로운 동력으로 성장하고 있는 토큰증권의 안전한 생태계 조성을 위해서는 신뢰 확보가 필요한 시점”이라고 강조하면서 “이번 업무협약은 국내 금융권 디지털자산 관련 보안성 점검 등을 통한 안전한 디지털자산 활용 지원의 시작이라는 점에서 의의가 크다”고 밝혔다.

2026.04.27 22:59방은주 기자

"세계 수준 사이버보안"...금보원, '락드쉴즈 2026' 5년째 참가

금융보안원(원장 박상원)은 지난 4월 20일부터 24일까지 국제 사이버공격 방어훈련 '락드쉴즈(Locked Shields) 2026'에 참가해 세계적 수준의 사이버 방어 역량을 선보였다고 밝혔다. '락드쉴즈'는 북대서양조약기구(NATO) 산하 사이버방위센터(CCDCOE)가 주관하는 세계 최대 규모의 사이버 방어 훈련이다. 나토 회원국 간 사이버 위기 대응 역량 강화를 목표로 2010년부터 매년 개최되고 있다. 훈련은 △국가간 협력과 정책 요소를 평가하는 '전략훈련'과 △실시간 공격을 방어하는 '기술훈련'으로 구성되며, 가상의 NATO 소속 국가가 대규모 사이버 공격을 받는 상황을 가정해 실시간 방어 및 위기 대응 역량을 종합적으로 테스트한다. 팀은 역할에 따라 △화이트팀(훈련 통제) △그린팀(인프라 운영) △옐로우팀(상황 인식) △블루팀(방어) △레드팀(공격)으로 나눠 임무를 수행한다. 국내서는 국가정보원을 중심으로 금융보안원, 국방부 등 민·관·군 등 47개 기관 전문가 170여명이 참가했다. 세계적으로는 39개국 약 4000명의 사이버 전문가들이 동참했다. 금융보안원은 RED IRIS팀 소속 직원들을 비롯한 최정예 보안 전문가로 구성한 16명의 직원이 침해사고 대응, 웹 취약점 분석, 네트워크 보안 등 다양한 분야에서 임무를 수행했다. 잠재적 위협을 선제적으로 탐지해 가상으로 설정한 국가 배후 세력 추적에 성공하는 등 사고 대응 분야에서 우수한 성적을 거둬 침해사고대응 전문기관으로서의 전문성을 입증했다고 설명했다. 특히, 인공지능(AI)을 활용해 악성코드 분석 결과를 특징별로 자동 분류하고 리포트를 자동 생성해 분석 속도와 정확도를 크게 높였고, 침입공격에 대한 실시간 탐지ㆍ차단ㆍ이상행위 모니터링 기능을 갖춘 △웹 공격(1단계) △악성코드(2단계) 다층 방어 시스템과 연계, 고도화된 사이버공격을 방어했다. 박상원 원장은 “금융보안원은 금융권 최고의 사이버대응 역량을 바탕으로 훈련에 5년 연속 참여하며 매년 디지털 포렌식 및 시스템 방어 분야에서 중추적인 역할을 수행했다"면서 “이번 훈련은 금융보안원의 AX 노력이 실제 사이버 전장에서 강력한 실전 경쟁력으로 증명된 사례로, 앞으로도 AI에 기반한 방어 보안기술을 선제적으로 개발하고 위협분석, 보안관제 등에 적용해 금융권 보안수준을 높이겠다”고 밝혔다.

2026.04.24 18:01방은주 기자

"금융IT 인프라 점검"...금보원, 2026년 가용성 테스트 개시

금융보안원(원장 박상원)이 산하 회원 금융사를 대상으로 금융IT 인프라 가용성 테스트 실시에 나섰다. 보안정책 검증 및 최적 시스템 선정과 신규 서비스 오픈 전 성능 확인을 지원하기 위한 것이다. 24일 금보원에 따르면, 이 사업은 지난 1년간(2025년) 7개 금융보안원 회원사(사원기관)를 대상으로 시범 운영, 실효성을 입증했다. 앞으로 매년 3월부터 11월까지 상시 지원할 예정이다. 금융IT 인프라 가용성(서버, 네트워크 등 시스템이 장애 없이 정상적으로 서비스를 제공할 수 있는 상태) 테스트는 클라우드 및 정보보호 인프라를 대상으로 다양한 트래픽 부하를 발생시켜 성능 병목구간과 보안상의 허점 등을 미리 파악해 서비스 안정성 및 보안성을 검증하는 걸 말한다. 제한된 시간 내 복구 및 대응능력을 중점 점검하는 기존 디도스공격 대응훈련과 달리, 본 서비스는 기관별 인프라 구조를 반영한 다양한 맞춤형 정밀 검증을 통해 보안성과 안전성을 사전에 확보하기 위한 것이다. 사례를 보면, A사는 해외 서비스 전산시스템 가용성 검증 및 적절한 네트워크 설정 등을 위해 부하 트래픽을 발생시켜 시스템의 성능을 최적화했고, B사는 클라우드 인프라에 신규 서비스를 구축한 후 디도스 공격유형 트래픽을 발생시켜 클라우드 보안장비의 미흡한 정책을 변경했다. 테스트는 각사 인프라 환경에 따라 ▲클라우드 인프라 ▲자체 구축(On-premise) 인프라 중 희망하는 유형을 선택해 금융회사 상황에 맞게 다양하고 정교한 커스터마이징 테스트를 진행할 수 있는 것이 특징이다. 금융회사는 자체 구축이 어려운 대용량 트래픽 생성 환경을 활용해 실제 공격 상황에서 시스템의 처리 한계점을 확인하고, 이를 바탕으로 성능 및 보안 정책을 세밀하게 조정(Fine-tuning)이 가능하다. 금융보안원 박상원 원장은 “최근 금융 서비스의 디지털 가속화와 클라우드 전환 확대로 인프라 안정성이 어느 때보다 중요해졌다”며 “이번 서비스를 통해 금융회사가 자사 인프라의 보안 성능을 최적화함으로써, 금융 서비스 전반의 신뢰도를 높이고 비즈니스 연속성을 한층 강화할 수 있을 것으로 기대한다”고 밝혔다.

2026.03.24 17:02방은주 기자

"금융기관 취약점 평가 869개로 확대"...금보원, 정보공유 세미나

금융보안원(원장 박상원)은 20일 여의도 금융투자협회 불스홀에서 사원사 정보보호 담당자 등이 참석한 가운데 '2026년 취약점 분석·평가 정보공유 세미나'를 개최했다. 세미나에서는 금융권의 안전한 디지털 환경 조성을 위해 2026년 개정한 전자금융기반시설 보안 취약점 평가 기준을 안내하고, 금융권 전문 모의해킹 조직(RED IRIS)의 업무 및 최신 취약점 사례 등을 공유했다. 금융보안원은 법령(자금융거래법(제21조의3), 시행령(제11조의6)에 따라 매년 사원기관의 전자금융기반시설을 대상으로 취약점 분석·평가를 수행하고 있다. 올해 종합점검, 단독점검, 공개용 홈페이지 점검 등 178개 금융회사 대상 취약점 분석·평가를 진행 중이다. 금보원은 이번 세미나를 통해 변화하는 기술 환경을 반영한 취약점 평가 기준 개정 사항과 '26년도 취약점 평가 방향을 설명했다. 또 확대된 점검 범위와 새로 추가한 클라우드 환경 특화 점검 기준을 상세히 소개했다. 실제, 전자금융기반시설 취약점 분석·평가 기준이 2025년 14개 분야 789개에서 15개 분야 869개로 점검 범위와 대상이 확대됐다. 이외에 ▲망분리 환경 점검 강화 ▲공개용 홈페이지 인증 관련 집중 점검 ▲모바일 앱 관련 중요정보 노출 여부 점검 등 '26년 평가 방향에 대해 상세히 설명, 실무자들의 이해를 도왔다. 특히 금보원의 최정예 화이트해커로 구성한 모의해킹 전문조직(RED IRIS)이 진행하는 모의해킹 점검 업무에 대한 상세 소개와 망분리 우회 시나리오 사례를 담아 발간한 '레드아이리스 인사이트 리포트'를 공유, 금융회사에 실질적인 보안 위협 대응 방안을 제시했다. n)로 재구성 금융보안원 박상원 원장은 “고도화하는 사이버 위협 속에서 보안 취약점을 선제적으로 파악하고 개선하는 것은 금융 신뢰를 지키는 핵심 과제”라면서 “금융보안원은 앞으로도 보안 취약점 평가 체계를 한층 강화하고, 사원기관 대상으로 한 전문성 높은 점검 서비스 제공 및 기술 지원을 지속적으로 확대해 안전한 디지털 금융 환경을 구축하는데 앞장서겠다”고 밝혔다.

2026.03.23 23:17방은주 기자

금보원, 망분리 환경 취약점 악용 우회 보안 위협 경고

금융보안원(원장 박상원)이 금융권 망분리 환경의 취약점을 공격자 관점에서 심층 분석, 이에 대한 전략적 대응 방안을 담은 '레드아이리스 인사이트 리포트:Campaign Eclipse'를 발간했다. 리포트 요약본은 금융보안원 홈페이지(자료마당>RED IRIS 리포트)에서 열람이 가능하다. 세부 내용은 오는 20일 금융회사 대상 '취약점 분석·평가 정보공유 세미나'에서 발표한다. 4일 금보원에 따르면, 보고서 제목은 망분리 환경에서 내·외부망 취약점이 연결되는 순간 일식(Eclipse)이 빛을 가리듯 망분리 방어 체계의 사각지대가 드러나는 것을 빗대 지었다. 정예 화이트해커로 구성한 금융보안원 RED IRIS실은 망분리 환경 내외부의 취약점이 맞물려 방어 체계가 무력화되는 상황을 ▲내부 데이터 유출 ▲업무망 침투 ▲클라우드를 통한 유출 3가지 침투 시나리오(Operation)로 재구성했다. ▲내부 데이터 유출(Operation Egress Chain): 공격자 또는 내부자가 접근제어 솔루션 서버의 관리상의 취약점을 악용해 서버를 장악하고 이를 거점으로 비업무망을 거쳐 외부로 데이터를 유출하는 것이다. -1단계(침투): 업무망의 임직원 PC 또는 보안이 취약한 서버를 해킹해 업무망 공격 거점 확보 - 2단계(장악): 다수의 서버를 관리하는 솔루션 취약점을 악용해 시스템 다수를 제어할 수 있는 관리자 권한 탈취 - 3단계(유출): 확보한 권한을 바탕으로 외부 연결이 허용된 서버(메일 서버 등)를 비밀 경로로 삼아 내부 데이터를 외부로 유출 ▲업무망 침투(Operation Ingress Chain): 공격자가 외부에서 접속 가능한 시스템 및 연계 서버의 취약점을 악용해 망분리를 우회하고 업무망에 위치한 주요 서버의 제어권을 확보 - 1단계(침투): 공개된 홈페이지나 시스템의 취약점을 악용하여 장악 - 2단계(거점 확보): 장악한 서버와 연결된 서버를 통해 외부와 차단된 업무망 서버로 연결 통로(터널링)를 구축 - 3단계(망분리 무력화): 업무망에 진입한 이후 주요 관리 시스템의 권한을 확보하여, 업무망 다수의 서버에 대한 제어 권한 확보 ▲클라우드를 통한 유출(Operation Pivot Net): 공격자 또는 내부자가 업무망을 경유하여 클라우드 인프라까지 공격 범위를 확대하여 정보 유출 - 1단계(거점 확보): 클라우드 관리 권한을 가진 직원의 업무망 PC를 해킹하여 원격 제어 권한 탈취 - 2단계(인증정보 확보): 탈취한 PC에서 클라우드 접속에 사용되는 자격증명 정보(인증 토큰 등) 확보 - 3단계(클라우드 인프라 장악): 확보한 인증 정보를 이용해 클라우드 서버 등을 장악하고, 업무망에서 클라우드를 경유하여 내부 정보 유출 보고서는 "최근 망분리 완화 및 개선 논의가 지속되고 있으며, 내부자에 의한 정보 유출 사고가 빈번해짐에 따라 망분리 맹신에서 벗어나 정보보호 역량 강화가 필요하다"고 짚었다. 이에, 첫째, 기존 망분리 환경에 대한 기술적 및 관리적 대응 체계를 강화하고 둘째, 보안 솔루션을 도입한 이후에도 주기적 점검 등을 통해 솔루션 관리를 강화할 필요가 있으며 셋째, 클라우드 인증 정보가 공격자나 내부자에 의해 오남용될 경우 대규모 데이터 유출로 직결될 수 있어 인증 정보에 대한 철저한 관리가 필요하고 넷째, 실전형 모의해킹을 통해 잠재적인 보안상의 취약점을 사전에 식별하고 제거하는 공격자 관점의 선제적 방어 전략 수립이 필요하다고 제안했다. 금융보안원 박상원 원장은 “앞으로도 레드팀(RED IRIS)의 모의해킹을 통해 금융 서비스에 잠재된 보안 위협을 사전에 식별 및 대응할 수 있도록 적극적인 역할을 수행하겠다”고 밝혔다. 리포트 요약본은 금융보안원 홈페이지(자료마당>RED IRIS 리포트)에서 열람이 가능하고, 세부 내용은 오는 20일 금융회사 대상 '취약점 분석•평가 정보공유 세미나'에서 발표될 예정이다.

2026.03.04 09:40방은주 기자

금보원, 금융AI 신뢰·안전성 평가 프레임워크 개발

대규모 개인정보 유출 사태가 이어지는 가운데 금융보안원(원장 박상원, 금보원)이 금융 AI 신뢰성과 안전성을 평가하는 인증체계를 개발했다. 또 AI 레드티밍 전담팀을 확대, 본격 가동에 들어갔다. 5일 금융보안원은 AI기술 대중화 시대를 앞두고, 금융권의 안전한 AI 활용 지원 및 고도화하는 보안 위협에 대응, 이 같은 내용의 AI 중심 금융보안 전략을 마련, 올해 추진한다고 밝혔다. 1. AI가 일하는 조직으로 전환 금융보안원은 AI가 가져올 금융보안 패러다임 변화에 대응하기 위해 AI 추진 전략을 마련, 아래 사항을 중점 추진한다. ❶안전한 금융 AI 활용 지원: 금융 AI 보안 안내서 마련, AI 기본법에 따른 검ㆍ인증 체계 추진, 금융 AI 신뢰성․안전성 평가 프레임워크 개발 및 시범실시 등 안전한 금융 AI 활용 적극 지원한다. 금보원은 금융회사의 보안 수준을 정밀하게 진단할 수 있는 '금융보안 수준 진단 프레임워크' 개발을 최근 완료했다. 이 프레임워크는 JP모건, 씨티그룹 등 150여개 글로벌 금융사가 함께 만든 보안 수준 진단인 CRI 프로파일을 참고해 설계했다. 거버넌스, 식별, 보호, 탐지, 대응, 복구, 공급망 등 총 7개 분야 45개 세부 사항으로 구성됐다. ❷ AI 레드티밍 확대: 전담팀을 신설해 금융 AI 서비스에 대한 모의점검(레드티밍)을 본격 실시하며, AI 기반 혁신금융서비스 보안성 검증도 차질 없이 지원한다. 특히, 전문성이 필요한 AI 에이전트에 대한 평가항목을 강화해 적극 지원한다. ❸금융보안 업무 고도화: 금융권 위협정보(TI) 분석과 보이스피싱 대응을 중심으로 AI 기반의 위협 예방 및 탐지, 대응 체계를 강화하고 금융 취약계층 보호를 위한 보이스피싱 탐지 기술을 고도화한다. 예컨대, AI기반 금융권 보안관제, AI 기반 보이스피싱 탐지 대응, AI 기반 악성코드 분석, AI 기반 취약점 분석 평가 등을 시행한다. ❹AX 기반 업무 혁신: 전사 업무에 AI를 기본 적용하는 AI퍼스트 정책을 도입하며, 자체 AI 포털을 중심으로 문서 작성 자동화, 자료 검색, 데이터 분석 등 AX(AI Transformation) 업무 혁신 도 추진한다. 즉, AI를 활용한 금융 AI 챗봇, 금융 컴플라이언스 분석, 보도자료 생성, 뉴스레터 등을 제작, 선보인다. 2. 2026년 안전한 AI 활용, 금융보안원이 선도 또 올 한 해 AI 전담 조직을 2배 이상 확대, AI 중심 금융보안 전략을 추진하고 금융보안원의 역할을 더욱 확대해 나간다. 즉, 작년 2개 팀 9명에서 올해는 4개 팀 20명으로 늘릴 예정이다. 특히, 2026년은 AI 기본법과 금융 AI 가이드라인 본격 시행으로 AI 관리 및 검증체계가 강화될 것으로 보이는데, 이에 적합한 평가 및 검증체계를 통해 금융 AI가 안정적으로 정착될 수 있도록 지원한다. 박상원 금융보안원장은 "2026년은 AI 기술 활용이 본격적으로 대중화되고, AI 기반의 금융서비스가 폭발적으로 증가할 것으로 예상된다"면서 “금융보안원은 그간 쌓아 올린 보안 업무와 AI에 대한 전문성을 바탕으로 AI 추진 전략을 통해 안전하고 신뢰할 수 있는 AI 활용을 선도하겠다"고 밝혔다.

2026.01.05 22:31방은주 기자

금보원, 조직 확대 재편...모의해킹·가상자산·AI전담 조직 승격

금융보안원(원장 박상원)이 조직을 확대, 재편했다. 기존 44팀서 49팀으로 5팀을 늘렸다. 29일 금보원은 전문스킬을 보유한 화이트해커로 구성된 모의해킹 전담조직을 부서 단위로 확대(6명→20명)하고, 국·내외에 산재한 침해위협인텔리전스 정보를 수집 및 분석하는 전담조직을 신설하는 등 금융권 사이버 위협예방체계 고도화를 위한 조직 확대개편을 시행한다고 밝혔다. 이번 조치로 금융권 스테이블코인 등 디지털자산 보안을 전문적으로 지원하기 위한 전담조직을 확대 개편했다. 또 AI기본법 시행에 대응하기 위해 AI전담조직을 부서 단위 조직으로 격상했다. 이외에 금융회사 자율보안을 적극 지원하기 위한 전담조직을 신설하는 한편, 조직 효율성 제고를 위해 데이터 업무와 개인정보 업무를 통합했다. 조직활력 제고를 위해 전문성 및 업무성과 중심으로 대규모 인사도 시행했다. 원 설립 이후 최대규모인 부서장 7명, 팀장 10명 등 총 17명에 대해 신규직책을 부여했다. 특히 전문성 있는 직책자를 적소에 배치하기 위해 직책자 공모제를 최초로 실시, 서장 2명, 팀장 4명을 선발했고, 모의해킹 분야(Red IRIS실)의 직책자 전원을 젊고 유능한 화이트 해커 출신 실무형 전문가로 전격 배치했다. 아래는 이번 조직재편 내용 첫째, 고도화된 전문해킹그룹의 공격에 따른 국내 금융기관의 피해가 급증함에 따라, 사이버위협 예방체계 고도화를 위한 조직을 확대, 모의해킹 조직을 부서단위(1팀 → 1실 2팀)로 확대 개편했다. 즉, RED IRIS실을 신설, 산하에 RED IRIS1팀과 RED IRIS2팀을 둔다. 정원도 기존 6명에서 20명으로 늘었다. 둘째, 국내외 공격자(그룹) 동향 및 공격 전술·기법 등을 선제적으로 파악・조사·분석하는 위협인텔리전스팀을 신설했다. 셋째, 공개용 홈페이지 취약점 분석평가 업무의 질적 수준 향상을 위해 웹보안 점검팀을 신설했다. 디지털금융 보안도 강화해 첫째, 디지털자산 전담 조직을 부서단위(1팀 → 1실 2팀)로 확대해 디지털자산실을 신설, 산하에 디지털자산전략팀, 디지털자산기술팀을 뒀다. 둘째, AI기본법 시행에 따른 디지털 금융 혁신을 차질없이 지원하기 위해 AI혁신실을 AI혁신부로 격상하고, AI RED팀을 신설했다. 자율보안 강화 지원 및 원내 업무 효율화도 꾀했다. 이를 위해 첫째, 금융회사의 금융보안 수준진단 등 자체적인 보안 강화 지원을 위해 자율보안연구팀을 신설하고 둘째, 데이터 활용과 보호의 시너지를 위해 데이터혁신센터 조직내 팀을 통합(데이터플랫폼팀과 마이데이터팀)하고, 기능을 개인정보보호부로 이동했다. 특히 업무혁신을 위해 신임직책자를 대거 선발하고 과감하게 재배치했다. 원 설립 이후 최대규모인 부서장의 약 40%(7명), 팀장의 약 20%(10명)를 신규보임하고, 상당수 부서장을 전면 재배치했다. 즉, 업무성과, 전문성 및 실무 경험을 보유한 팀장(7명)을 부서장으로 과감하게 발탁해 세대교체와 조직 활력 제고를 도모하는 한편 부서간 업무경계 완화 및 협업체계 강화를 위해 부서장 14명을 전략적으로 재배치했다. 이외에 신설조직의 기능과 역할을 조기에 안착시키고 전문성을 체계적으로 강화할 수 있도록 직책 공모제를 최초로 도입, 2개 부서(RED IRIS실, AI혁신부) 및 4개 팀(위협인텔리전스팀, RED IRIS2팀, AI RED팀, 클라우드평가1팀)을 대상으로 전문성, 실무경험, 추진역량 등을 최우선으로 고려해 관련분야 최고수준 전문가를 선발했다. 모의해킹 부문의 전문성 강화를 위해 젊고 유능한 해커출신의 직책자도 전략 배치, 화이트 해커 출신의 모의해킹 실무 경험이 풍부한 팀장을 실장으로 과감하게 선발하고, 소관 팀장도 모두 화이트 해커 출신으로 배치했다. 금융보안원 박상원 원장은 “2026년에는 전문적인 모의해킹을 통한 사이버 위협 사전 예방과 급변하는 디지털환경에 따른 디지털자산 및 AI 보안을 지원하는 것이 무엇보다 중요하다.”며 "이번 조직개편 및 정기인사를 통해 안전한 디지털 금융 환경 조성에 기여할 것으로 기대한다.”고 밝혔다.

2025.12.29 20:30방은주 기자

금보원, 개인·신용정보 수탁자 공동 점검 세미나 성료

금융보안원은 지난 12일 여의도 금융투자협회 불스홀에서 전 금융권 위·수탁자가 참여한 '2025년도 개인 (신용)정보 수탁자 공동 점검 세미나'를 성황리에 개최했다고 17일 밝혔다. 이번 세미나는 개인(신용)정보 리스크 관리를 위한 선제적 준비의 일환으로 130명 이상의 금권 위·수탁자 담당자들이 참석해 수탁자 리스크 관리 역량을 강화하고 2026년 공동점검 방향을 공유하기 위해 마련됐다. 앞서 금융보안원은 2017년부터 금융회사 개별로 수행하던 개인(신용)정보 수탁자 점검을 공동점검 방식으로 통합 운영하기 시작했다. 대형보험대리점(GA)에 대해 특별 현장점검을 실시하는 등 개인(신용)정보 리스크 관리를 중요하게 인식한 데 따른 것이다. 이날 김도엽 김&장 법률사무소 변호사는 '개인(신용)정보 최신 이슈 및 법적 의무 사항'을 주제로 발표했다. 그는 최근 법령 개정 동향, 분쟁 및 사고 사례를 공유하며, 신기술 활용 확대로 신규 리스크가 생겨나고 있다고 강조했다. 이어 최찬영 금융보안원 개인정보점검팀장은 '2025년 수탁자 공동 점검 결과와 내년 점검 방향'을 주제로 ▲공동점검 추진 현황 ▲공동점검 종합 및 업종별 결과 ▲공동점검 개선 사항 등에 대해 공유했다. 금융보안원은 향후 수탁자의 사후관리 강화를 위해 현장점검을 내년부터 확대 실시할 방침이다. 아울러 점검 결과를 위수탁 관계에 투명하게 공유해 보안 수준을 높일 계획이다. 또한 수탁자 업종이 다양해지고 업무 외연이 확대되고 있는 만큼 제3자 리스크에 대비해 전담 조직도 신설한다. 위수탁 시 제3자 보안 관리를 체계적으로 수행할 수 있도록 추진할 방침이다. 박상원 금융보안원장은 "개인정보보호의 중요성이 그 어느 때보다 강조되는 현시점에서, 보호 체계의 최종 단계에 있는 수탁자의 보호 역량이 제고될수록 금융권 신뢰도 한층 공고해진다"며 "금융보안원은 수탁자의 개인(신용) 정보 보호 수준이 한층 더 견고하게 확립될 수 있도록 필요한 지원과 관리 기반을 지속적으로 강화해 나가겠다"고 밝혔다.

2025.12.17 15:24김기찬 기자

금보원·금감원, GA 보안 강화 간담회 개최

금융감독원과 금융보안원이 초대형 법인보험대리점(GA)의 보안 강화를 위해 GA 대표들과 간담회를 개최했다. 최근 GA 침해사고 및 개인(신용)정보가 유출되는 사고에 대한 대책의 일환이다. 금융감독원과 금융보안원은 이세훈 금융감독원 수석부원장 주재로 '초대형 GA 보안 강화 간담회'를 개최했다고 27일 밝혔다. 이번 간담회에서는 금융보안원에 사업으로 가입한 14개 GA 대표가 참석해 당부사항 및 애로·건의사항을 공유했다. 이 부원장은 GA 업계 전반의 보안 수준 향상 및 인식 제고가 필요한 시점임을 강조하며, GA 스스로 보안 강화를 유도하기 위해 경영진의 개선 의지 및 노력이 필요하다고 당부했다. 아울러 내년 '대형 GA 내부통제 실태 평가 시 보안 관련 부문을 보다 비중 있고 면밀하게 평가하겠다고 밝혔다. 기본적인 사전 예방 노력 미흡으로 보산 사고가 발생하면 엄정 대응할 예정이다. 간담회에서 초대형 GA는 보험계약정보 등 대규모의 개인(신용)정보를 다루고 있음에도 정보보안 측면에서 별다른 조치가 관리가 없었던 점이 미흡한 점으로 지적됐다. 이에 간담회 참석자들은 GA 업계가 성장한 만큼 보안 관련 우려를 불식시키기 위한 특별한 대책이 필요하다는 데 뜻을 모았다. 그 일환으로 초대형 GA의 '금융보안원 사원 가입'이 이뤄져 좋은 기회로 평가됐다. 또한 보험회사와 GA 간 업무 긴밀성을 볼 때 판매 위탁사 협의체를 통해 GA의 보안 실태를 보다 전문적이고 일관성 있게 점검토록 하는 방안도 다뤘다. 금융보안원은 지난 상반기에 발생한 GA 침해사고의 원인 분석 및 대응방안도 발표했다. 우선 금융 산업의 디지털화로 외부 공격에 노출될 수 있는 대상 및 취약 포인트가 늘어난 점이 원인으로 꼽힌다. 이에 오픈소스, 상용 솔루션(ERP) 등 외부 제품 이용이 늘어나면서 해당 제품의 취약점이 노출되는 경우 대규모 피해가 발생할 수 있다고 금융보안원은 진단했다. 또 해커 그룹 등 공격자들 역시 조직화·체계화되면서 공격 대상 및 수법에 대한 정보 공유가 활발해지면서 해커들의 공격 능력도 계속해서 향상되고 있는 현실이다. 금융보안원은 대응 방안으로 ▲블라인드 모의해킹 훈련을 통한 능동적 대응 역량 강화 ▲보안 투자 확대 ▲경영진의 적극적인 대응 및 지원 등의 방안을 제시했다. 한편 향후에도 금융감독원과 금융보안원은 GA 업계의 보안 강화를 위해 계속해서 공조할 방침이다. GA업계와도 긴밀한 소통을 이어나갈 계획이다.

2025.11.27 16:41김기찬 기자

금보원, 위협인텔리전스 전담 조직 내년 1월 신설

금융보안원(원장 박상원)이 위협 인텔리전스(CTI) 전담 조직을 내년 1월 신설한다. 최근 금융회사 등 국가 핵심 인프라를 겨냥한 사이버 공격이 고도화됨에 따라, 이에 효과적으로 대응하기 위해서다. 위협 인텔리전스는 집한 국내·외 취약점 정보, 악성코드 등 보안 위협정보를 분석·정제해 의사결정과 대응에 활용할 수 있게 통찰을 제공하는 정보 서비스다. 19일 금보원에 따르면, 위협 인텔리전스 주도형 대응체계 확립을 위해 ▲신뢰도 높은 위협정보 수집 채널 확대 ▲위협정보 통합 분석 체계 구축 및 AI 기반 연관성 및 유사도 분석 ▲전략적 위협정보 공유 체계화 등 수집-분석-공유 전 과정의 대응을 강화한다. 특히 이를 위해 내년 1월 조직 개편 및 인사 발령을 통해 속도감 있게 추진할 전담 조직을 신설하고 인력도 충원한다. 내년중 AI 기반 위협 인텔리전스 통합 플랫폼을 구축, 체계적으로 위협정보 수집·분석을 강화한다. 이 플랫폼을 통해 도출한 맞춤형 위협 인텔리전스는 FCTI(금융 사이버 위협정보 공유시스템)를 통해 금융회사에 실시간 공유 한다. 또 국내외 위협정보 수집 확대를 위해 신뢰도 높은 위협정보를 제공하는 글로벌 보안 전문기업 서비스와 연동, 실시간으로 정보를 자동 수집하고, 공개 출처 정보(OSINT)의 위협정보 수집 범위를 확대, 잠재적 위협을 능동적으로 식별한다. OSINT(Open Source Intelligence)는 공개적으로 이용가능한 정보를 체계적으로 수집하고 분석하는 기법을 말한다. AI 기반 위협정보 통합 분석도 강화한다. 즉,생성형 AI를 기반으로 축적한 위협정보와 신규 정보를 연관·분석해 잠재적 위협을 사전에 예측하고, AI가 자동 추출한 정보를 보안 전문가가 정밀 검증(오류 수정 등)하는 'AI-전문가 협업 체계'로 분석의 효율성과 신뢰도를 동시에 제고한다. 전략적 위협정보 공유도 체계화한다. 전략적 위협정보를 전략정보와 긴급정보로 구분해 생산하고, 맞춤형 공유 체계를 마련해 금융권 위협 대응 역량을 높인다. 또 경영진에게는 중장기 의사결정 및 전략 수립 지원을 위해 전략정보를 제공하고, 실무진에게는 위기 상황에서 신속하고 정확한 대응이 가능하도록 긴급정보를 제공한다. 금융보안원 박상원 원장은 “지능화·정교화하는 사이버 위협에 효과적으로 대응하기 위해서는 사후 복구 뿐 아니라 잠재적 공격을 식별하고 실시간으로 위협을 탐지·차단하는 예방도 중요하다”며 “이번 인텔리전스 주도형 사이버 대응체계가 금융권의 위협 대응 역량을 강화하고, 금융 소비자의 자산을 안전하게 보호하는 핵심 기반이 될 것으로 기대한다"고 밝혔다.

2025.11.19 09:43방은주 기자

금보원, '스테이블 코인과 보안 전략' 세미나 28일 개최

금융보안원(원장 박상원)은 오는 28일(금) 여의도 금융투자협회 불스홀에서 `Next Finance : 스테이블코인이 여는 디지털금융과 보안 전략'을 주제로 세미나를 개최한다. 이번 세미나는 원화 스테이블코인 규율을 포함한 2단계 가상자산 입법을 앞둔 상황에서, 스테이블코인의 안전한 발행과 유통을 위한 보안 강화 방안 및 안정적인 스테이블코인 환경을 뒷받침할 인프라 구축 등을 논의하기 위해 마련했다. 세미나 프로그램에 앞서 금융위원회 가상자산과 심원태 사무관이 스테이블코인과 관련한 금융당국의 정책 동향을 설명한다. 이후 디지털자산 분야 다양한 전문가들이 스테이블코인의 신뢰 기반 환경 조성을 위해 필요한 보안, 인프라 구축, 자금세탁 등 실무사항을 발표한다. NH농협은행 류창보 팀장이 해외 스테이블코인 활용 사례를 중심으로 국내 스테이블코인 활용 가능 분야를 소개하고, 김앤장 법률사무소 신상훈 전문위원이 스테이블코인 확산에 따른 자금세탁방지 대응 전략을 제시한다. 이어 LG CNS 송응준 책임이 CBDC 인프라 구축 경험을 바탕으로 스테이블코인 인프라 설계 방법 및 운영 시 고려사항을 설명하며, 금융보안원 허세경 팀장이 스테이블코인 인프라 구축 시 고려해야 할 보안 사항을 제시한다. 금융보안원 박상원 원장은 "스테이블코인을 포함한 디지털자산의 제도적 기반이 마련되고 있지만, 보안이나 인프라 구축에 대한 구체적 논의는 아직 충분하지 않다. 이번 세미나가 안전한 스테이블코인 생태계 마련에 일조하기를 바란다"고 밝혔다.

2025.11.18 21:05방은주 기자

"외부 솔루션이 매개"...금보원, 해외 가상자산 해킹 분석

금융보안원(금보원, 원장 박상원)은 최근 발생한 해외 가상자산거래소 해킹 사고와 관련, 공격에 사용한 피싱 및 공급망 공격 기법과 탈취한 가상자산을 세탁하는 기법을 분석한 보고서를 17일 공개했다. 보고서에 따르면, 최근 가상자산거래소 해킹사고에서 사용한 피싱 수법 중 하나인 '프리텍스팅(Pretexting)'은 신뢰할 만한 신분이나 구실을 내세워 피해자의 행동을 유도하는 사회공학적 기법으로, 가상자산업계 채용 담당자를 사칭해 거래소 직원과 면접을 진행하며 온라인 면접 과정에서 악성코드를 설치하도록 유도하는 것으로 나타났다. 또 공격에 이용된 피싱 사이트를 분석한 결과, 과거에는 주요 개발자·시스템 운영자 등 IT직군이 주요 표적이었으나 최근에는 일반 직원을 겨냥한 공격 비중도 높아지고 있어, 직무와 무관하게 모든 임직원이 보안 위협에 대한 경각심을 가질 필요가 있다고 덧붙였다. 역대 최대 손실이 발생한 지난 2월의 바이비트 거래소 해킹 사건은 거래소에 도입된 월렛 솔루션 업체를 겨냥한 공급망 공격을 통해 발생했다. 즉, 내부 시스템보다 보안 검증이 간과되기 쉬운 외부 솔루션을 매개로 내부로 침투한 것이다. 해커들은 솔루션 화면에 조작된 정보를 표시하였고, 다수가 서명할 때 자세히 확인하지 않고 넘기는 '방관자 효과'에 따라 월렛 관리자가 의심 없이 블라인드 서명을 함으로써 공격에 성공했다. 블라인드 서명은 사용자가 서명할 계약의 정보를 제대로 확인·이해하지 못한 상태로 서명하는 행위를 말한다. 자금세탁 기법도 드러났다. 공격자가 탈취한 가상자산을 세탁할 때 수사기관의 추적을 피하기 위해 토네이도 캐시 등 믹서(가상자산을 한곳에 모으고 재분배하여 추적이 어렵게 하는 기술) 서비스를 이용해 가상자산을 은닉하며, USDT와 USDC와 같이 동결이 가능한 가상자산이 아닌 동결이 불가능한 가상자산으로 변환하고, 고객 확인 절차가 미비한 거래소를 이용하는 등 규제 사각지대를 활용해 현금화한 것으로 확인됐다. 금융보안원 박상원 원장은 “가상자산이 제도권으로 편입되고 가상자산 활용에 대한 국내 금융권의 관심이 높아지는 만큼, 그에 따른 보안 위협을 사전에 파악하고 선제적으로 대응하는 노력이 필요하다.”며 “금융보안원은 앞으로도 최신 공격 기법 및 위협 정보 등을 분석 및 제공해 디지털 자산 생태계가 안전하게 성장할 수 있도록 적극 지원하겠다"고 밝혔다.

2025.09.17 09:23방은주 기자

금보원, 차세대 '게임체인저' 양자컴퓨팅 보고서 2종 배포

양자컴퓨팅 기술이 인공지능(AI)에 이은 차세대 '게임체인저'로 부각되고 있는 가운데 금융보안원(금보원)이 해외 금융권의 양자컴퓨팅 관련 동향 등을 정리한 연구보고서를 배포했다. 보고서를 바탕으로 금보원은 국내에서도 양자컴퓨팅 관련 기술에 대한 경쟁력을 국내 금융사들이 선제적으로 확보할 수 있도록 지원한다는 계획이다. 금보원은 지난달 31일 금융회사가 양자컴퓨팅이 미칠 영향을 사전에 파악하고 선제적으로 대응할 수 있도록 해외 금융권의 양자컴퓨팅 활용 동향, 양자내성암호(PQC) 전환 동향 등을 정리한 연구보고서 2종을 배포했다고 4일 밝혔다. 양자컴퓨팅은 양자 특성을 이용한 새로운 정보 기본단위인 큐비트를 통해 연산을 수행하는 것을 말한다. AI, 빅데이터 등과 같이 높은 연산 처리가 요구되는 난제 해결에 활용될 것으로 예상되는 기술로 꼽힌다. 양자내성암호는 양자컴퓨팅을 활용해 기존 암호 체계를 무력화시키는 공격으로부터 데이터를 보호하기 위한 암호 기술이다. 국내 금융권에서도 금융거래의 안전성 측면에서 양자내성암호에 대해 관심을 가지고 있다. 이에 금보원은 이번 보고서 배포를 통해 해외 금융권에서 양자컴퓨팅을 적극 활용하려는 동향에 주목하고 이와 관련된 내용도 비중 있게 조사·분석해 알린다는 방침이다. 보고서의 주요 내용을 살펴보면 글로벌 빅테크 기업을 중심으로 양자컴퓨팅 기술 경쟁이 본격화되면서 양자컴퓨팅 시장은 하드웨어를 넘어 응용 소프트웨어와 클라우드 기반 서비스(QCaaS)까지 빠르게 성장하는 중이다. 금융분야는 고난도 연산과 시뮬레이션 중심의 업무가 많은 만큼 양자컴퓨팅 활용 잠재력도 높은 분야로 손꼽히고 있다. 이에 해외 금융회사들은 영자컴퓨팅을 단순히 '지켜보는 단계'가 아닌 전략적으로 투자하고 실제적 준비를 진행하는 '대응 준비'(quantum-ready) 단계로 진입하고 있다고 보고서는 설명했다. 양자내성암호와 관련해 해외에서는 금융당국 및 중앙은행을 중심으로 양자컴퓨팅 환경에서 안전하게 암호 기술을 활용할 수 있는 양자내성암호로의 전환을 준비하고 있는 상황이다. 보고서에 따르면 실제로 해외 각국은 양자내성암호 전환의 필요성과 금융권 영향, 전환 시 고려사항 등에 대한 연구를 진행하고 여러 국가와 공통으로 양자내성암호 전환 테스트를 수행 중이다. 금보원은 해외 금융권을 중심으로 양자컴퓨팅, 양자내성암호 등 기술이 빠르게 확산하고 있는 만큼 이 기술들을 미래 금융 산업의 경쟁력을 좌우할 핵심 기술로 인식해 대비한다는 방침이다. 또한 다가올 양자컴퓨팅 시대에 금융 회사가 경쟁력과 보안성을 선제적으로 확보할 수 있도록 포럼 구성, 세미나 개최 등을 우선 추진하고, 금융회사 및 관련 전문기업 등과 함께 양자 개념 검증(PoC)도 단계적으로 진행할 예정이다. 박상원 금보원장은 "양자컴퓨팅은 금융권에 새로운 기회이자 위험으로, 이제는 관망할 때가 아니라 선택과 대비를 해야 할 시점"이라며 "금융보안원은 국내 금융권이 양자컴퓨팅 기술 경쟁력을 확보할 수 있도록 다각적인 지원을 이어나갈 계획"이라고 밝혔다.

2025.08.04 13:26김기찬 기자

  Prev 1 2 Next  

지금 뜨는 기사

이시각 헤드라인

[ZD브리핑] 최태원 회장이 밝히는 美 나스닥 ADR 상장 이후 청사진은

레드햇, RHEL 지원기간 사실상 무기한 연장…'롱라이프 애드온' 공개

디나미스 원, 서브컬처 해답은 '오가닉 아트'…"창작의 중심은 사람"

美, 프론티어 AI에 안보 고삐…"韓도 위험평가 체계 갖춰야"

ZDNet Power Center

Connect with us

ZDNET Korea is operated by Money Today Group under license from Ziff Davis. Global family site >>    CNET.com | ZDNet.com
  • 회사소개
  • 광고문의
  • DB마케팅문의
  • 제휴문의
  • 개인정보취급방침
  • 이용약관
  • 청소년 보호정책
  • 회사명 : (주)메가뉴스
  • 제호 : 지디넷코리아
  • 등록번호 : 서울아00665
  • 등록연월일 : 2008년 9월 23일
  • 사업자 등록번호 : 220-8-44355
  • 주호 : 서울시 마포구 양화로111 지은빌딩 3층
  • 대표전화 : (02)330-0100
  • 발행인 : 김경묵
  • 편집인 : 김태진
  • 개인정보관리 책임자·청소년보호책입자 : 김익현
  • COPYRIGHT © ZDNETKOREA ALL RIGHTS RESERVED.