검색 - IT세상을 바꾸는 힘 지디넷코리아

"금융 ISMS-P 인증 받으면 정보보호 평가 유리"

“금융 정보보호 및 개인정보보호 관리 체계(ISMS-P·Personal Information & Information Security Management system) 인증을 받으면 정보보호 상시 평가 75개 항목이 면제됩니다. 환경·사회·지배구조(ESG) 친화 경영 항목에도 ISMS-P가 포함돼 공공기관 사업에 입찰하면 가산점을 받습니다. 무엇보다 개인정보를 지킨다는 사실이 가장 중요하지만요.” 최지훈 금융보안원 선임심사원은 27일 서울 여의도 금융투자협회에서 열린 'ISMS-P 인증 설명회'에서 이같이 밝혔다. 금융보안원은 금융권에 알맞은 ISMS-P를 인증한다. 나머지 산업이나 전반적인 인증 품질은 한국인터넷진흥원(KISA)이 관리한다. 최 심사원은 “지난해 128건 심사하면서 결함을 평균 9건 발견했다”며 “기업은 결함 개수에 연연하지 말고, 이 결함이 나온 원인과 재발 방지 대책을 신경써야 한다”고 말했다. 개발자와 운영자, 개인정보 취급자 직무별로 시스템에 접속하는 방식이 다르면서도 시스템 흐름도를 보면 이런 사실을 알 수 없는 경우가 지적받았다. 정보보호 운영 인력이 정보보호 예외 정책을 스스로 승인해도 잘못이다. 개인정보 열람 요구서와 위임장 등에 주민등록번호를 요구해서도 안 된다. 최 심사원은 달라지는 제도를 안내했다. 그는 “과학기술정보통신부가 인증서 유효 기간을 3년에서 5년으로 늘릴지 검토하고 있다”며 “법령이 개정돼 금융회사는 자율적인 보안 활동을 하되 결과에 대한 책임은 무거워졌다”고 전했다. 인증 심사 기간은 대체로 6개월 걸린다. 오중효 금융보안원 상무는 “2015년 ISMS-P 인증을 27건으로 시작해 지난해 5배로 성장했다”며 “인공지능이나 가상자산 환경이 바뀌면서 인증 수요가 더 늘 것”이라고 기대했다. 최 심사원은 “금융권은 ISMS-P 인증이 의무가 아니다”라면서도 “디지털 금융과 자율 보안이 확산돼 인식 수준이 높아졌다”고 평가했다.

2025.03.28 10:50유혜진

금융보안원, 전 직원 10% 이상 AI전문가로 만든다

금융보안원(원장 박상원)이 올해를 'AI 보안 역량 고도화 원년'으로 정했다. 내부 직원을 AI 전문인력으로 집중 육성, 오는 2027년까지 전 직원의 10% 이상을 AI 전문가로 육성한다. 또 현재 2개 팀 8명 규모의 AI 전담 조직을 20여 명 수준으로 확대한다. 19일 금융보안원은 생성형 AI 활용을 위한 혁신금융서비스 지정이 가속화하고 AI 모델 보안성 검증이 중요해질 것으로 예상됨에 따라, 안전하고 신뢰할 수 있는 금융권 AI 활용 환경 조성이 시급하다고 지적했다. 이에, 금융보안원은 AI보안 전문성을 갖춘 내부 전문인력을 적극 양성, 금융 AI 시스템 안전성 검증 등의 업무를 선도하고 AI보안 전문기관으로서 금융권 지원을 강화해 나갈 예정이다. 단기적으로 연내 집중교육을 통해 10여 명의 AI 전문 인력을 양성하고, 2027년까지 전 직원의 10% 이상을 AI 전문가로 육성한다. 교육과정은 학습 데이터 분석, 딥러닝 프레임워크 활용, AI 모델 구축 등 실습 중심의 심화 커리큘럼(AX 부스트업 프로그램)으로 구성, 실제 금융 환경에서 발생할 수 있는 AI 보안 사례를 분석하고 해결하는 과정을 통해 현장 적용 능력을 높일 예정이다. 금융보안원은 금융보안전담기관으로서 다년간 축적한 정보보호 전문성과 AI 기술을 접목해 보안 역량을 고도화하고, 이를 AI 시스템의 보안성 검증에 십분 활용할 예정이다. 이와 함께 현재 2개 팀 8명 규모의 AI 전담 조직을 20여 명 수준으로 확대하고, 금융회사 AI 모델 보안성 검증 및 혁신금융서비스 보안대책 평가 등을 차질 없이 수행, 금융권 AI 기술의 성공적인 안착을 지원할 예정이다. 박상원 금융보안원 원장은 “AI 기술이 금융권에 빠르게 도입되고 있는 만큼 AI 보안에 대한 수요도 급격히 증가하고 있다”며 “전사적 역량을 집중해 AI 보안 전문인력을 육성함으로써 금융권의 AX(AI Transformation)를 빈틈없이 지원하겠다"고 밝혔다.

2025.03.19 16:26방은주

금융보안원, '금융 ISMS-P 인증' 세미나 27일 개최

금융권 특성에 맞는 맞춤형 ISMS-P 인증을 소개하는 세미나가 오는 27일 열린다. 18일 금융보안원(원장 박상원)은 금융권의 자율보안체계를 효과적으로 지원하고 정보보호 및 개인정보보호 관리체계(이하 ISMS-P) 인증제도에 대한 이해를 높이기 위한 '금융 ISMS-P 인증 세미나'를 오는 27일 여의도 불스홀에서 개최한다고 밝혔다. 금융보안원의 ISMS와 ISMS-P 인증 심사 건수는 매년 가파르게 증가하고 있다. ISMS의 경우 2015년 27건에서 2024년 128건으로 늘었고, ISMS-P는 시행 첫 해인 2019년 4건에서 2024년 59건으로 증가했다. 이번 세미나에서는 김·장 법률사무소 이정민 변호사, 금융감독원 이지연 선임조사역 등 법·제도 전문가들이 금융권 (개인)정보보호 관련 법·제도 주요 현황과 이해, 신용정보법 위반 및 제재 사례를 발표한다. 또 최근 클라우드 활용도가 높아지며 정보보호 관리가 중요해짐에 따라 AWS 신은수 아키텍트가 금융권 클라우드 정책 및 보안 관리 방향을 소개한다. 세미나 상세 내용은 금융보안원 홈페이지 'www.fsec.or.kr'를 참조하면 된다. 금융당국의 자율보안체계 확립 기조에 따라 금융권의 디지털 신기술 도입 및 활용이 유연해진 반면, 사고에 대한 책임은 강화돼 자율보안을 기반으로 하는 ISMS-P 인증제도의 중요성은 지속적으로 증가할 전망이다. 박상원 금융보안원장은 "금융서비스 디지털 혁신에 정보보호와 개인신용정보보호는 반드시 충족돼야 할 할 핵심 요건”이라면서 “금융보안원은 금융권에 적합한 보안인증 제도를 발전시키기 위해 꾸준히 노력해 왔고, 앞으로도 기존의 금융 서비스뿐만 아니라 중요성이 높아진 디지털 자산 서비스에 대해서도 효과적인 자율보안체계를 구축·운영할 수 있게 적극 지원해 나갈 것”이라고 밝혔다.

2025.03.18 09:56방은주

금융보안원, SW 취약점 신고자에 최대 1천만 원 포상

금융보안원이 2025년 금융권 소프트웨어 취약점 신고자에게 최대 1천만 원 포상금과 우대 혜택을 제공한다. 금융보안원이 전자금융 보안 강화를 위해 금융권 소프트웨어 취약점 신고 포상제(버그바운티)를 확대 운영한다고 18일 밝혔다. 디지털금융 전환이 확대되면서 전자금융 소프트웨어의 설계 오류 등을 악용한 해킹 공격으로 인한 금융소비자 피해가 증가하고 있다. 이에 금융보안원은 금융권 소프트웨어에 내재된 취약점을 선제적으로 찾아내어 제거하기 위해 버그바운티 제도를 운영할 계획이다. 2025년 버그바운티는 클라우드(SaaS) 기반 금융환경 등으로 신고 대상을 확대하고, 상시신고와 집중신고 체계로 운영된다. 상시신고는 클라우드, 빅데이터 등 다양한 금융 환경의 소프트웨어와 보안솔루션을 대상으로 연중 접수하며, 시큐브, 지니언스, 지란지교소프트, 휴네시온 등 참여사 제품의 취약점은 해당 참여사가 직접 평가하고 포상한다. 집중신고는 4월부터 참여 금융회사를 모집하고 6월부터 8월까지 3개월간 모바일 앱, HTS 등 전자금융 서비스 취약점을 집중 발굴한다. 참가 방법 등 세부 사항은 금융보안원 홈페이지에서 안내할 예정이다. 금융보안원은 올해 포상금 지급 규모를 확대해 최대 1천만 원 상당의 포상금을 지급하며, 우수 신고자에게는 금융보안원 입사 지원 시 우대 혜택과 명예의 전당 등록 기회를 제공한다. 금융보안원 박상원 원장은 "금융권 버그바운티를 통해 주요 보안 사고의 시작점인 소프트웨어 취약점을 선제적으로 발굴하고 발견된 취약점을 금융회사와 개발사 등이 신속히 조치하도록 일관되고 전반적인 지원을 하고 있다"며 "SW 취약점 관리, 패치 개발, 배포 등의 통합 관리를 위한 플랫폼을 구축하는 등 금융권 소프트웨어 공급망 보안 강화를 위한 노력을 아끼지 않을 것"이라고 밝혔다.

2025.02.18 17:09남혁우

[인사] 금융보안원

◇승진 △상무 ▲권기남 사이버대응본부장 ▲오중효 자율보안본부/디지털전략본부장 △부서장 ▲유재필 총무부장 ▲박종철 금융보안교육센터장 ▲서호진 보안연구부장 ▲홍시환 개인정보부장 ▲황준호 감사실장 △팀장 ▲고성민 커뮤니케이션팀장 ▲이도건 사옥전략TF장 ▲김호복 정보보호팀장 ▲조강유 침해위협대응팀장 ▲이준호 미래보안기술팀장 ▲이승봉 DT보안팀장 ▲최찬영 개인정보점검팀장 ◇전보 △부서장 ▲이찬웅 기획부장 ▲이병훈 보안평가부장 ▲이수미 금융인증부장 ▲김제광 클라우드대응부장 ▲정재철 데이터혁신센터장

2025.01.17 15:56조이환

금융보안원, 박상원 신임 원장 취임

금융보안원은 2일 박상원 전 금융감독원 부원장보가 5대 원장으로 취임했다. 박 원장은 지난 12월31일 대의원회를 통해 제5대 금융보안원장으로 선임됐다. 임기는 이날부터 3년이다. 박상원 원장은 1970년생으로 연세대 경제학과를 졸업하고 미국 아이오와대 MBA를 거쳤다. 1991년 한국은행 시작으로 금융권에서 경력을 쌓았다. 박 원장은 2000년부터 금융감독원 조사연구국·은행감독국·신용감독국·기업금융개선국·국제협력국·은행감독국·금융그룹감독실·기획조정국을 거쳐 2020년 금융그룹 감독실장으로 근무했다. 이후 2022년 부원장보로 승진, 기획경영·중소서민금융 부원장보를 역임했다.

2025.01.02 15:02김미정

금융보안원, AI 시대 보안 '강화'…글로벌 경쟁력 '입증'

금융보안원이 인공지능(AI) 기술의 금융권 안착을 위해 보안 체계를 설계하고 디지털 전환 시대에 대비한 선제적 조치에 나섰다. 금융보안원은 올해 금융회사의 AI 활용을 지원하기 위해 보안성 검증체계와 금융보안 이해도 지표(FSKU)를 개발했다고 19일 밝혔다. 또 금융당국 및 주요 금융사와 협력해 AI 안전 프레임워크를 논의하며 제도적 기반을 다지고 있다. 특히 AI 관련 가이드라인의 후속 연구로 AI 거버넌스 체계를 정립하고 주요 금융사를 대상으로 보안성 검증을 시범적으로 시행했다. 이를 통해 금융 AI 모델의 위험 요소를 사전에 식별하고 이를 해결할 수 있는 체계를 구축했다. 금융보안원은 금융회사가 AI 모델의 성능을 비교해 최적의 모델을 선정할 수 있도록 '금융보안 이해도 지표(FSKU)'도 개발했다. 이를 통해 AI 모델의 신뢰성과 적합성을 높이며 금융 보안 체계의 효율성을 강화했다. 금융당국 및 금융사 간 협력도 활발히 진행 중이다. 금융보안원은 금융당국 주관의 '금융권 AI 협의회'에 참여해 금융보안 AI 워킹그룹을 출범시켰다. 워킹그룹은 AI 활용 방안과 보안 대책을 논의하며 'AI 안전 프레임워크' 개발을 목표로 하고 있다. 글로벌 AI 분야에서도 성과를 거뒀다. 금융보안원은 국제 금융 AI 대회에서 2위를 차지하고 국제 학회에 논문을 게재해 최우수 논문상을 수상하는 등 전문성을 입증했다. 내년에는 금융 AI 보안성 검증체계를 활용해 금융회사 AI 서비스에 대한 제3자 검증을 수행할 계획이다. 이와 더불어 이상거래 탐지 시스템(FDS) 연합학습, 합성데이터 등 프라이버시 강화기술(PET) 연구와 생성형 AI 사전 기능 테스트 환경 구축 등을 통해 금융보안을 한층 강화할 예정이다. 김철웅 금융보안원 원장은 "AI 기술 발전 속도와 금융권 활용 범위가 확대되는 상황에서 신뢰성 있는 기술 활용이 중요하다"며 "우리가 금융권의 AI 플랫폼을 적극 지원하며 안전한 금융 환경을 조성해 나가겠다"고 말했다.

2024.12.19 10:32조이환

"취약점, 더 이상 숨을 곳 없다"…금융보안원, 2024 버그바운티 성과 공개

금융보안원이 금융권 보안 사각지대 해소를 위해 버그바운티를 실시해 금융권 보안을 한층 강화했다. 화이트해커들의 활약을 바탕으로 금융회사·공통 소프트웨어 보안성을 크게 끌어올렸다는 평가다. 금융보안원은 '2024년 금융권 버그바운티 성과'를 발표하며 올해 총 222건의 취약점을 포상 대상에 선정했다고 18일 밝혔다. 집중신고와 상시신고로 투트랙 운영된 이번 제도에는 총 167명의 화이트해커가 참여해 금융권의 빈틈을 찾아냈다. 집중신고 부문은 금융위원회의 후원 아래 진행됐으며 총 150명의 화이트해커가 249건의 취약점을 발굴했다. 이는 지난해 대비 108% 증가한 수치다. 특히 올해 처음 도입된 상시신고에서는 17명의 화이트해커가 금융권 공통 소프트웨어와 솔루션에서 43건의 취약점을 찾아내 성과를 더했다. 금융보안원은 발굴된 취약점의 출현도, 영향도, 난이도 등을 종합 평가해 총 5천만원 상당의 포상금을 지급했다. 또 우수 신고자 4명에게는 금융보안원장 감사장을 수여했으며 상위 10명의 화이트해커는 새롭게 마련된 명예의 전당에 이름을 올렸다. 이와 함께 금융보안원은 금융회사와 소프트웨어 개발사들이 주체적으로 보안 강화를 추진할 수 있도록 공동운영 제도를 신설했다. 현재 지니언스, 시큐브, 지란지교소프트 등 3개 기업이 참여하고 있으며 앞으로 참여 기업을 확대할 계획이다. 김철웅 금융보안원 원장은 "버그바운티를 통해 능동적인 보안문화를 확산시키고 금융권 소프트웨어 공급망 보안 강화를 위해 지속적으로 노력하겠다"며 "국내외 협력을 통해 금융권 전반의 보안성을 높여 나가겠다"고 강조했다.

2024.12.18 10:10조이환

금융보안원, 글로벌 무대서 '사이버 보안 전문성' 공인

금융보안원이 최신 사이버 금융사기 수법에 대한 대응책을 제시함으로써 보안 역량을 국제적으로 인정 받았다. 금융보안원은 지난 11일 영국 런던에서 열린 '블랙햇 유럽 2024' 컨퍼런스에서 불법 해킹 범죄조직의 사기 수법을 심층 분석한 결과를 발표했다고 12일 밝혔다. 같은 해 4월에도 '블랙햇 아시아'에서 카드정보 탈취 및 부정결제 사기 수법에 대한 사례를 공개해 주목받은 바 있다. 이번 유럽 발표에서 금융보안원은 지난 1년간 불법 홈 트레이딩 시스템(HTS) 범죄조직을 추적한 과정을 공유하며 이를 통해 올해 초 검거에 성공한 사례를 소개했다. 이 사례는 금융사기 피해 예방의 대표적인 성과로 꼽힌다. 금융보안원은 유사한 활동을 통해 금융권 전반의 사이버 위협을 분석하고 대응하는 역할을 해왔다. 최근에는 통신사 및 백신업체 등과 협력해 보이스피싱 범죄를 지속적으로 추적하며 소비자 보호를 강화하고 있다. 또 금융보안원은 이번 달 내로 '2024 사이버 위협 인텔리전스 보고서'를 공개할 예정이다. 이 보고서는 금융 및 백신 앱으로 위장한 악성 앱의 정교화·다변화를 다룬 간행물로, 독립적으로 작동하는 앱들이 피해자를 지속적으로 노리는 방식을 분석해 정보를 제공할 예정이다. 김철웅 금융보안원 원장은 "금융권 사이버 위협에 대한 분석 결과를 국제 무대에서 발표한 것은 우리 전문성을 전 세계적으로 인정받은 사례"라며 "앞으로 인공지능(AI) 시대의 위협을 선제적으로 분석하고 대응책을 공유해 침해 사고를 예방하겠다"고 밝혔다.

2024.12.12 15:52조이환

아카마이, 금융보안원 안전성 평가 승인…국내 금융권 진출 '청신호'

아카마이가 클라우드 안전성 평가에 통과해 국내 금융 시장 공략에 박차를 가한다. 아카마이코리아는 최근 금융보안원이 실시하는 클라우드 서비스 제공업체(CSP) 안전성 평가를 완료했다고 12일 밝혔다. 이로 인해 아카마이가 제공하는 클라우드 서비스가 국내 금융기관의 엄격한 보안 기준을 충족하게 됐다. 금융보안원 CSP 안전성 평가는 금융기관에 클라우드 서비스를 제공하기 위한 필수적인 절차로, 금융기관이 클라우드 서비스를 도입할 때 고려해야 하는 보안 및 운영 안정성 등을 검증한다. 아카마이는 이번 평가를 통해 국내 금융기관에 안전하고 신뢰할 수 있는 서비스를 제공할 수 있음을 입증했다. 아카마이는 '다이내믹 사이트 액셀러레이터', '아이온', '봇 매니저', '에지 DNS' 등 주요 솔루션에 대한 평가를 마쳤다. 이들 솔루션은 웹사이트·애플리케이션 성능 향상, 보안 강화, 디도스 공격 방어 등 다양한 기능을 제공한다. 아카마이는 이러한 솔루션을 통해 금융기관의 디지털 전환을 지원하고 안전하고 효율적인 운영 환경을 구축할 수 있도록 지원하게 된다. 이번 평가를 계기로 아카마이는 클라우드 네이티브 솔루션과 디지털 혁신 이니셔티브를 통해 금융 서비스 업계의 변화를 적극적으로 지원할 계획이다. 또 국내 금융기관과 협력하며 신뢰할 수 있는 서비스를 제공하는 데 집중할 방침이다. 이경준 아카마이코리아 대표는 "이번 평가 완료는 한국 금융 산업의 높은 기준을 충족할 수 있는 아카마이의 역량을 보여준다"며 "국내 금융기관의 고유한 요구사항에 맞춘 업계 최고 수준의 솔루션을 지원할 수 있기를 기대한다"고 덧붙였다.

2024.12.12 11:23조이환

금융보안원-금융감독원 '맞손'…사이버 모의훈련으로 은행 보안 체계 점검

금융보안원과 금융감독원이 국내 금융권 사이버 보안 강화를 위해 블라인드 방식의 모의훈련을 실시했다. 금융보안원은 올해 상반기와 하반기에 걸쳐 국내 금융사를 대상으로 총 두 차례의 블라인드 모의훈련을 실시했다고 3일 밝혔다. 이 훈련은 훈련 대상과 일정을 비공개로 진행해 금융사의 탐지 및 방어 체계를 실시간으로 점검하는 방식으로 이뤄졌다. 상반기에는 은행 19개사를 대상으로 실제 훈련 대상 6개사를 선정해 서버 해킹과 디도스 공격 등의 훈련을 실시했고 하반기에는 제2금융권과 거대언어모델 안정성을 중심으로 총 12개사를 점검했다. 특히 생성형 인공지능(AI)이 비정상적인 환경에서도 정상적으로 작동하는지 확인하며 금융소비자의 신뢰를 높이는 데 주력했다. 훈련 결과 대부분 금융사는 충분한 대응 역량을 갖췄으나 일부 웹서버 파일 업로드 취약점이나 디도스 공격 대응에서 취약점을 보였다. 이에 대해 금융사는 보안 통제를 강화하고 모바일 서비스 점검 절차를 추가하는 등 즉각적인 보완 조치를 취했다. 금융보안원은 이번 훈련을 통해 금융사의 기존 훈련 방식으로는 확인할 수 없었던 부족한 점을 보완할 수 있었다고 평가했다. 또 경영진과 임직원의 사이버보안 인식을 제고하는 계기가 됐다고 덧붙였다. 금융보안원 관계자는 "이번 훈련 성과를 정부 부처와 공유하며 타 산업으로의 확대 적용 방안을 논의했다"며 "진화하는 사이버 위협에 대응하기 위해 블라인드 방식의 훈련을 지속적으로 확대하고 고도화할 계획"이라고 밝혔다.

2024.12.03 15:47조이환

"해킹 위험 막자"…금융권, 내년부터 자체 침해대응 훈련 가능해진다

금융권의 침해사고 대응 역량을 강화하기 위한 새로운 플랫폼이 내년부터 운영된다. 금융보안원은 내년부터 '침해대응 훈련 플랫폼'을 정식 운영할 계획이라고 20일 밝혔다. 이 플랫폼에서 금융회사는 자체적으로 훈련 대상, 규모, 날짜를 선택할 수 있다. 또 훈련 상황을 실시간 모니터링하고 자동 결과보고서도 받아 볼 수 있다. 금융보안원이 이처럼 나선 것은 최근 금융권을 겨냥한 외부 침입사고와 침해 사고 위험이 높아졌기 때문이다. 최근 인공지능(AI) 기술과 서비스형 소프트웨어(SaaS)에 대한 수요가 높아지면서 자체적인 방어 전략을 세우는 것도 중요해졌다. 금융보안원은 현재 약 100여 개의 침해대응 훈련 콘텐츠를 고도화해 플랫폼에 적용한 상태로, 금융회사의 내부 환경에 맞춘 다양한 시나리오를 제공하고 있다. 특히 서버 해킹과 악성메일 대응 훈련 등 실제 침해 사례에 기반한 실전형 훈련이 가능하도록 설계됐다. 서버 해킹 대응 훈련은 서버 취약점을 활용한 고위험 공격에 신속히 대응하는 방식을 익히도록 구성됐다. 이와 함께 악성메일 대응 훈련은 금융회사 임직원이 피싱 메일 등 실제 공격 사례를 처리하는 능력을 강화하는 데 중점을 둔다. 금융보안원은 내년부터 플랫폼을 통해 연간 최대 1천800회 이상의 정규 훈련을 지원할 계획이다. 올해 실시된 632회의 훈련보다 3배 늘어나 금융권 사이버 위협에 대한 선제적 대응을 전폭적으로 지원할 수 있을 것으로 보인다. 오는 28일에는 여의도 금융투자협회에서 열리는 '소프트웨어 공급망 보안 강화 전략 세미나'에서 훈련 플랫폼의 구체적 내용을 공개할 예정이다. 세미나 참석 신청은 금융보안원 공식 홈페이지를 통해 가능하다. 김철웅 금융보안원장은 "금융권에 특화된 침해대응 훈련 플랫폼을 지속적으로 발전시킬 계획"이라며 "국내외 신규 침해사고 사례를 분석해 콘텐츠를 강화하고 금융회사 수요를 반영해 고도화된 사이버 위협에 선제적으로 대응하겠다"고 밝혔다.

2024.11.20 10:47조이환

유니온커뮤니티, 금융보안원장상 수상…안전혁신성 인정

유니온커뮤니티가 금융 업계의 효율성과 보안성을 강화를 위한 노력이 인정받았다. 유니온커뮤니티는 스마트금융 콘퍼런스에서 '금융권 스마트 디지털 전환 서비스'로 제4회 스마트금융 대상에서 최우수상으로 금융보안원장상을 수상했다고 19일 밝혔다. 14일 서울 여의도 FKI타워에서 열린 스마트금융대상은 분야별 금융권 디지털 혁신 성과를 치하하기 위해 개최했으며 금융위원회 등 금융 관계기관이 후원했다. 유니온커뮤니티는 통합생체인증 융합 플랫폼 유바이오 이지패스(UBio-ezPass)와 인감 관리·대사 솔루션인 유바이오 트루스탬프(UBio-TrueStamp)로 최우수상의 수상했다. 금융 업무의 효율성과 보안성을 강화했다는 평가다. 유바이오 이지패스는 서버 인증 기반의 통합 생체인증 플랫폼이다. 금융권에서 지문, 얼굴, 홍채 등 다양한 생체 인식을 활용해 간편하고 안전한 로그인 서비스를 도입할 수 있다. 별도의 인프라 구축없이 다양한 생체인증 통합 로그인 서비스를 지원하여 보안수준과 사용자 관리 효율성을 제공한다. 또한 생체인증을 활용한 행내 디바이스 및 데이터 보안 통제를 강화함으로 금융사고를 사전에 방지할 수 있다. 유바이오 트루스탬프는 금융권에서의 주요 인감 관리와 거래 및 결재 도장 대사 프로세스를 디지털화한 솔루션이다. 유니온커뮤니티가 가지고 있는 인감 인식 기술력과 신뢰성을 바탕으로 금융권 내 주요 도장 관리 및 대사의 정확성을 확보하고 정확한 인식률을 통해 높은 안정성을 제공한다. 신요식 유니온커뮤니티 대표는 "금융권 디지털 전환에 맞춰 더욱 안전하고 효율적인 업무 관리를 제공하기 위한 노력이 인정받은 것 같아 매우 기쁘다"며 "유니온커뮤니티의 전문성과 신기술을 활용한 금융권 맞춤 솔루션을 지속적으로 선보이겠다"고 전했다.

2024.11.19 14:22남혁우

정부, 금융권 SW 공급망 자율점검 가이드 공개

금융보안원이 금융권 소프트웨어(SW) 보안 강화를 위한 가이드라인을 마련했다. 금보원은 'SW공급망 자율점검 체크리스트'를 공개했다고 14일 밝혔다. 이번 체크리스트는 금융회사가 활용할 수 있는 리스트로 총 30개 세부항목으로 이뤄졌다. 개발사용 체크리스트는 내년 중 마련된다. 금보원은 올해 4월부터 금융권 SW공급망 보안 실무협의체를 구성하고, 제3자 SW에 대한 위험관리 강화와 보안위협 사전 식별·대응 목적으로 참여 주체별 체크리스트를 개발해 왔다. 또 오는 28일 '금융권 SW공급망보안 강화 전략' 세미나를 금융투자협회 3층 불스홀에서 개최한다. 이 자리에서 은행·증권·보험·카드 등 200여 개 금융회사를 대상으로 체크리스트를 설명한다. 이날 SW공급망에 대한 실제 침해사고 사례와 대응방안, 금융회사의 선진 SW공급망 보안 사례도 공유한다. 내년부터 운영 예정인 자동화 침해대응 훈련 플랫폼도 소개한다. 김철웅 금융보안원 원장은 "최근 SW공급망 공격이 증가함에 따라, 금융권은 위협을 적시에 대응하고 예방할 수 있도록 준비해야 한다"며 "이번 체크리스트는 금융권 SW공급망보안을 위한 첫걸음으로, 앞으로도 제3자 리스크 완화 및 SW공급망보안 강화를 위해 노력하겠다"고 밝혔다.

2024.11.14 10:30김미정

[현장] "AI 시대의 금융 보안 패러다임"…삼성SDS, 보안 대응 전략 공개

"생성형 인공지능(AI) 시대가 도래하면서 금융 시스템은 근본적인 변화를 맞이하고 있습니다. 해커들이 AI를 해킹에 활용하는 상황에서 '제로트러스트' 보안 모델은 선택이 아닌 필수입니다." 황성우 삼성SDS 대표는 7일 여의도 콘래드 서울 호텔에서 열린 'FISCON 2024' 개막 행사에서 이같이 말했다. '어드밴스 위드 빅웨이브(Advance with Big Waves)'라는 주제로 열린 이번 행사는 금융보안원이 주최하는 국내 최대 금융 정보보호 컨퍼런스로, 디지털 기술 발전과 규제 환경 변화 속에서 안전과 신뢰를 기반으로 한 지속 가능한 비즈니스 전략을 모색하는 자리였다. 이날 기조 강연에서 황 대표는 생성형 AI와 거대 언어 모델(LLM)의 발전이 금융 산업에 가져올 혁신과 이에 따른 보안 대응 방안에 대해 상세히 설명했다. 그는 "AI는 이제 더 이상 룰 기반 시스템이 아닌 딥러닝을 통해 퀀텀 점프를 이뤘다"며 "수조 개의 매개변수로 이루어진 LLM은 사람 수준의 질의응답이 가능하고 방대한 지식을 보유하고 있다"고 설명했다. 금융 분야에서도 생성형 AI와 클라우드 도입이 활발히 진행되고 있다. 이는 디지털 혁신을 통한 경쟁력 강화 시도다. 이를 위해 지난 8월 금융 망분리 완화 조치가 시행돼 금융 기관들이 AI와 클라우드를 보다 적극적으로 도입할 수 있는 환경이 조성됐다. 그럼에도 금융과 같이 민감한 데이터를 다루는 분야에서 이러한 기술을 안전하게 활용하기 위해서는 기존 체계를 넘어서는 보안 강화 노력이 필수적이다. 이러한 상황 속에서 황 대표는 생성형 AI 시대에 맞춘 보안 전략으로 제로트러스트 보안의 중요성을 강조했다. 그는 "기존의 네트워크 차단 방식이 지닌 한계가 명확하다"며 "보안 역시 수동적 방어에서 벗어나 실시간 감시와 대응을 통한 시스템 전체의 보호로 나아가야 한다"고 설명했다. 그러면서 "안시성의 사례를 되새기며 성을 틀어막기만 하는 대신 적극적으로 적의 움직임을 살피고 실시간으로 대응했던 조상들의 지혜를 되새길 필요가 있다"고 강조했다. 이날 행사의 개회사에서는 김철웅 금융보안원 원장이 디지털 금융 환경의 변화와 보안의 중요성을 강조했다. 그는 금융 소비자의 인식 변화를 언급하며 디지털 금융에서의 보안 강화 필요성을 설명했다. 금융 소비자들은 기존에는 편의성을 중시했으나 최근 보이스피싱과 개인정보 유출 사건이 늘어나면서 점점 더 안전과 신뢰를 중시하는 방향으로 변화하고 있다. 또 기술 발전이 빠르게 가속화되는 가운데 AI·클라우드·양자 컴퓨팅이 발달하고 규제 환경도 대전환을 맞이하고 있다. 김 원장은 "이러한 변화에 따라 금융 산업은 예측 가능하고 통제 가능한 보안 체계를 강화해야 할 필요가 커지고 있다"고 설명했다. 또 김 원장은 상상력의 실패를 경계하고 창의력을 발휘할 것을 금융기관들에 주문했다. 이는 예측이 힘든 사이버 위협에 대비한 여러 가능성을 파악하는 데 있어 필수적인 역량이다. 이에 그는 "이번에 우리가 마련한 'FISCON 2024'가 지속 가능한 금융 보안 전략을 모색하는 교류의 장이 되길 바란다"고 밝혔다.

2024.11.07 12:29조이환

[현장] 구글클라우드 "신뢰할 수 없는 AI? 우리는 다르다"

"AI 시대에 금융 산업이 나아갈 길은 신뢰와 책임을 기반으로 한 혁신입니다. 우리는 모두를 위한 안전하고 프라이버시를 존중하는 AI를 만들어가고 있습니다." 지기성 구글클라우드 코리아 사장은 7일 여의도 콘래드서울 호텔에서 열린 'FISCON 2024'에서 금융 산업에서의 AI 도입에 있어 신뢰성과 윤리적 책임이 무엇보다 중요하다고 강조했다. 'FISCON 2024'는 금융보안원이 주최하고 국내 금융 및 IT 업계 전문가들이 참여해 최신 금융 보안 기술과 전략을 공유하는 국내 최대의 금융 정보보호 컨퍼런스다. 이날 행사에서 지 사장은 'AI 대전환의 시대, 금융의 새로운 길: 안전과 신뢰를 위한 미래 전략'을 주제로 발표하며 구글의 '책임 있는 AI(Responsible AI)' 접근 방식을 소개했다. 현재 구글은 '모두를 위한', '책임 있고 안전한', '프라이버시를 존중하는', '과학적 우수성에 기반한' AI를 모토로 삼아 기술이 인류와 사회에 해를 끼치지 않도록 책임감 있는 개발을 진행하고 있다. 지 사장은 "특히 금융 산업에서는 고객의 신뢰가 무엇보다 중요하다"며 "AI 도입 시에도 신뢰성과 안정성을 확보해야만 진정한 혁신을 이룰 수 있다"고 강조했다. 구글 클라우드가 금융 산업에서 AI 신뢰 확보에 주력하는 이유는 명확하다. AI가 스마트폰 이상의 혁신을 가져올 것으로 기대되기 때문이다. 실제로 아시아 태평양 지역 금융 회사 중 41%는 생성형 AI에 투자하고 있으며 88%는 AI 관련 교육에 집중하고 있다. 현재 금융 지형을 변화시키는 핵심 요소로는 디지털 금융 기술의 글로벌 활용 가능성, 비대면 모바일 거래와 플랫폼 금융의 성장, 빅데이터와 생성형 AI의 결합, 한국의 망분리 규제 완화가 있다. 그중 망분리 규제 완화는 국내 시장에 있어 중대한 파급력을 지닐 것으로 예측된다. 지 사장은 "특히 망분리 규제 완화는 금융기관들이 클라우드 기반의 혁신 서비스를 도입하는 데 큰 기회가 될 것"이라며 "우리는 이에 맞춰 데이터 접근 가이드와 기술적 보안 가이드를 제공하고 있다"고 설명했다. 이러한 혁신을 성공적으로 이루기 위해서는 AI 도입을 통해 어떻게 비즈니스 프로세스를 개선하고 생산성을 향상하는 것이 중요하다. AI를 통해 무엇을 실현할지와 어떤 가치를 창출할지를 알아야만 기업의 진정한 혁신이 가능하기 때문이다. 지 사장은 "혁신 목표를 충족하기 위해 구글은 유즈케이스를 설정하고 이를 구체화한다"며 "금융업의 요구 사항에 따라 맞춤형으로 AI 기술을 적용하는 접근 방식을 취하고 있다"고 설명했다. 이러한 구글클라우드의 노력은 금융업계에도 적용된다. 업계가 규제 준수와 효율성을 모두 확보하면서 AI를 도입할 수 있게 하기 위함이다. 일례로 구글클라우드는 최근 망분리 규제가 완화됨에 따라 국내 금융 기관들이 생성형 AI와 SaaS 기반의 혁신적인 서비스를 보다 쉽게 도입할 수 있도록 지원 방안을 마련하고 있다. 특히 대형 금융기관들이 클라우드 환경에서 주요 업무를 안전하게 수행할 수 있도록 '랜딩존(landing zone)' 구축을 지원하고 있다. 랜딩존은 기업들이 필요한 보안 요건과 규정을 갖춘 상태에서 클라우드를 활용할 수 있도록 설계된 구조로, 금융기관이 클라우드 상에서 주요 업무를 안전하게 처리하고 더 높은 효율성을 달성할 수 있도록 돕는다. 지 사장은 "우리의 노력은 금융기관들이 규제 정책을 준수하면서도 효율적으로 AI를 도입할 수 있게 하기 위한 것"이라며 "금융업계가 신뢰할 수 있는 AI를 바탕으로 혁신을 이루어 나갈 수 있도록 적극 지원할 것"이라고 강조했다.

2024.11.07 12:28조이환

금융보안원 '10대 이슈' 발표…디지털 금융 변화 속 보안 전략 '재편'

금융보안원이 디지털 금융의 급변에 대응하고 보안 가치를 재정립하기 위해 금융사와 소비자가 대비해야 할 이슈를 정리했다. 금융보안원은 오는 2025년을 대비해 금융사가 주목해야 할 '디지털 금융 및 사이버 보안 10대 이슈'를 선정했다고 6일 밝혔다. 이번 발표에는 금융사와 소비자 각각의 관점에서 중점적으로 대비해야 할 항목이 포함됐으며 현업 종사자와 전문가의 의견이 반영됐다. 금융사 측면에서 가장 주목할 사안으로는 '금융보안 가치의 재정립'이 강조됐다. 지난 10년간 해외에 비해 보안 투자가 부족했던 한국 금융사들이 망분리 규제 완화 등과 함께 자율 보안 체계를 강화하며 글로벌 수준으로의 도약을 목표로 하고 있기 때문이다. 또 인공지능(AI) 기술 도입과 클라우드 서비스 제공자(CSP)와의 협력도 중요 이슈로 떠올랐다. 금융사들은 AI 기반 금융서비스의 실효성을 검증하고 CSP와의 협력 관계를 강화해 보안 리스크를 줄이는 동시에 혁신을 꾀해야 할 필요성이 커졌다. 양자컴퓨팅의 발달로 인한 기존 암호 인프라의 무력화 가능성도 중요한 이슈로 제기됐다. 이에 금융사에게는 양자내성 암호 도입 등 미래 보안 위협에 대비한 전략을 마련해야 할 필요성이 생겼다. 금융소비자들에게는 QR코드 피싱, 디지털 페르소나 악용, 생체정보 탈취 등 신종 보안 위협이 커지고 있다. 특히 QR코드 기반 큐싱(Qshing) 공격과 모바일 집중화로 인한 보안 위협이 증가할 것으로 예상돼 소비자 주의가 요구된다. 김철웅 금융보안원 원장은 "망분리, 자율보안 등 디지털금융을 둘러싸고 있는 정책이나 기술이 빠르게 변화하면서 금융회사의 고민이 커졌다"며 "이번에 우리가 선정한 디지털금융 및 사이버보안 이슈가 금융회사와 금융소비자 모두에게 미래 금융 보안 위험에 선제적으로 대응할 수 있는 인사이트를 제공하기를 기대한다"고 밝혔다.

2024.11.06 11:09조이환

"화이트해커 나선다"…금융보안원, 제2금융권 사이버 보안 강화 훈련 돌입

금융보안원이 진화하는 사이버 위협에 대응해 제2금융권의 사이버 보안 역량을 강화하기 위해 나섰다. 금융보안원은 오는 28일부터 다음달 8일까지 '블라인드 사이버 모의해킹(공격‧방어) 훈련'을 진행한다고 22일 밝혔다. 증권·보험·카드사 등 제2금융권을 대상으로 한 이번 훈련은 해킹 공격에 대한 금융권의 실질적인 대응 능력을 강화하기 위해 기획됐다. 사전 협의 없이 불시에 진행돼 금융회사는 해킹 일정에 대해 미리 통보받지 않는다. 이번 훈련에서는 금융보안원의 레드 아이리스(RED IRIS)팀이 가상의 공격자로 나서 서버 해킹과 디도스(DDoS) 공격을 시도하고 금융회사는 공격 탐지 및 방어 활동을 통해 대응 역량을 점검한다. 동시에 금융회사들이 가상의 디도스 공격을 탐지한 후 비상대응센터로 트래픽을 전환하는 훈련도 진행할 예정이다. 이 훈련을 통해 금융권은 비상 상황에서 금융 서비스의 연속성을 보장하는데 필요한 역량을 기를 수 있다. 또 이번 훈련에는 최근 발표된 '금융분야 망분리 개선 로드맵'에 포함된 생성 AI 관련 보안 대책 점검도 포함된다. 이는 신기술 도입으로 발생할 수 있는 사이버 위협에 대비해 금융 IT 환경의 안전성을 확보하려는 목적이다. 훈련을 통해 금융감독원과 금융보안원은 금융회사의 사이버 보안 시스템의 취약점을 파악하고 필요한 대응 절차를 개선할 예정이다. 특히 금융보안원은 훈련 이후 이행 점검을 통해 개선 사항을 지속적으로 모니터링할 계획이다. 김철웅 금융보안원장은 "디지털 시대의 금융 안전성은 철저한 사이버 보안 대비에서 시작된다"며 "이번 블라인드 모의해킹 훈련은 금융권의 사이버 복원력을 한층 더 강화하는 계기가 될 것"이라고 밝혔다.

2024.10.22 16:13조이환

금융보안원, 금융권 사이버 침해 방지 앞장선다

금융보안원이 금융회사들의 사이버 침해 위협을 방지하기 위해 팔을 걷어 부쳤다. 금융보안원은 금융권에서 발생한 사이버 침해사고 사례를 종합·분석한 금융권 침해대응 인텔리전스 플랫폼 구축 완료해 전 사원기관을 대상으로 본격적인 서비스를 시작했다고 21일 밝혔다. 인텔리전스 플랫폼은 금융보안원이 직접 조사한 침해사고 사례를 분석해 상호 통신, URL-IP 연결 등 침해지표 간의 관계를 시각적으로 제공한다. 침해지표(IoC)는 공격그룹, 악성코드, IP, URL 등으로 구성되며 각 지표 간 연관성을 분석하여 사내 보안정책 등에 적용할 수 있다. 이를 통해 보안담당자가 보안정책 및 대응체계를 강화할 수 있도록 기관별로 맞춤형 인사이트를 제시함으로써 유사 사고를 미리 예방하고 신속하게 대응할 수 있다. 데이터베이스화된 침해지표 등 모든 데이터는 STIX(Structured Threat Information expression) 표준 방식으로 관리되고 사고와 관련된 구체적인 정보는 모두 비식별화돼 참여하는 누구든 활용할 수 있다. 플랫폼 서비스는 그간 설명회와 시범운영을 통해 현장 의견을 적극 수렴해 기능을 최적화하는 과정을 거쳤다. 또 다양한 오픈소스를 활용해 금융권에 적합하게끔 신속하게 구축됐다. 금융보안원은 최신 위협에 대응하기 위해 플랫폼 서비스를 지속적으로 업데이트할 예정이다. 김철웅 금융보안원장은 "금융회사들이 인텔리전스 플랫폼을 적극 활용하면 사이버 침해 위협 발생 시 보다 용이하고 신속하게 대응할 수 있을 것"이라며 "앞으로 침해위협에 대한 분석을 국내외로 확장해 국가배후 해킹조직에 의한 고도화·지능화된 금융권 사이버 위협에도 선제적으로 대응하도록 만전을 기하겠다"고 밝혔다.

2024.10.21 16:39장유미

금보원이 제시한 생성형 AI 시대 금융보안 트렌드는

정부가 생성형 인공지능(AI) 시대의 금융환경 변화와 대응방안을 모색하는 장을 마련했다. 금융보안원은 내달 7일 여의도 콘래드서울 호텔에서 금융정보보호 컨퍼런스(FISCON) 2024'를 개최한다고 15일 밝혔다. FISCON 2024는 디지털 기술 발전과 규제 환경 등 혁신 속에서 안전과 신뢰를 기반으로 한 지속 가능한 비즈니스 전략을 모색하는 자리다. 디지털금융과 금융보안에 관심 있는 누구나 이달 15일부터 금보원 홈페이지에서 사전등록 하거나 당일 현장에서 신청하면 된다. FISCON 2024는 ▲오프닝 행사 ▲주제강연・비공개세션 ▲시상식 ▲정보보호 산업 전시로 구성된다. 이날 황성우 삼성SDS 대표가 기조강연을 진행한다. 생성형 AI 시대에 기술혁신이 가져올 금융환경 변화와 대응방안을 살필 방침이다. 미국·일본 금융 정보통신기반시설보호(ISAC) 전문가도 행사에 참석한다. 국제 사이버 보안 공조 강화를 위해 최신 정보보안 이슈, 각국 사이버 위협 동향 정보 등을 공유하는 시간을 가진다. 주제강연은 디지털금융을 비롯한 금융보안 전략·기술·대응 분야 3개 트랙으로 이뤄졌다. 총 15개의 주제 강연이 진행된다. 전략 부문 트랙은 금융보안의 원칙중심 규제를 위해 도입한 책무구조도, 자율보안 프레임워크를 통한 금융보안 선진화 전략 등 금융 비즈니스 환경 변화에 따른 보안전략을 다룬다. 기술 트랙은 금융 제로트러스트, 양자내성암호 전환 동향 등 금융권에 도입되는 디지털금융 혁신 기술의 현황과 트렌드를 다룬다. 대응 트랙은 AI기반 취약점 탐지, 금융 클라우드 보안 대응 등 고도화되는 디지털금융 위협에 대한 대응방안을 논의한다. 비공개 세션에서는 금보원 대의원사 보안담당자 대상으로 모의해킹 주요 취약점 사례 등 금융보안 주요 현안·이슈를 공유한다. 이 외에도 금보원은 '제8회 금융보안원 논문공모전'을 비롯한 '금융권 사이버 침해위협 분석대회' 'AI 경진대회 및 아이디어 공모전' 수상작 시상식과 전시도 연다. 김철웅 금보원 원장은 "어느 때보다 큰 변화가 일어나고 있는 IT 및 금융 비즈니스 환경에서 적응하기 위해 글로벌 금융보안 트렌드를 살펴보며 새로운 대응 전략을 마련할 필요가 있다"면서 "이번 행사가 거대한 변화 속에서 지속가능한 금융보안 전략을 모색하고, 빠르게 진화하는 사이버 위협에 대한 해결방안을 함께 나눌 수 있는 교류의 장이 되길 바란다"고 밝혔다.

2024.10.15 17:35김미정

ZDNet 검색 페이지

'금융보안원'통합검색 결과 입니다. (37건)