검색 - IT세상을 바꾸는 힘 지디넷코리아

[현장] 구글클라우드 "신뢰할 수 없는 AI? 우리는 다르다"

"AI 시대에 금융 산업이 나아갈 길은 신뢰와 책임을 기반으로 한 혁신입니다. 우리는 모두를 위한 안전하고 프라이버시를 존중하는 AI를 만들어가고 있습니다." 지기성 구글클라우드 코리아 사장은 7일 여의도 콘래드서울 호텔에서 열린 'FISCON 2024'에서 금융 산업에서의 AI 도입에 있어 신뢰성과 윤리적 책임이 무엇보다 중요하다고 강조했다. 'FISCON 2024'는 금융보안원이 주최하고 국내 금융 및 IT 업계 전문가들이 참여해 최신 금융 보안 기술과 전략을 공유하는 국내 최대의 금융 정보보호 컨퍼런스다. 이날 행사에서 지 사장은 'AI 대전환의 시대, 금융의 새로운 길: 안전과 신뢰를 위한 미래 전략'을 주제로 발표하며 구글의 '책임 있는 AI(Responsible AI)' 접근 방식을 소개했다. 현재 구글은 '모두를 위한', '책임 있고 안전한', '프라이버시를 존중하는', '과학적 우수성에 기반한' AI를 모토로 삼아 기술이 인류와 사회에 해를 끼치지 않도록 책임감 있는 개발을 진행하고 있다. 지 사장은 "특히 금융 산업에서는 고객의 신뢰가 무엇보다 중요하다"며 "AI 도입 시에도 신뢰성과 안정성을 확보해야만 진정한 혁신을 이룰 수 있다"고 강조했다. 구글 클라우드가 금융 산업에서 AI 신뢰 확보에 주력하는 이유는 명확하다. AI가 스마트폰 이상의 혁신을 가져올 것으로 기대되기 때문이다. 실제로 아시아 태평양 지역 금융 회사 중 41%는 생성형 AI에 투자하고 있으며 88%는 AI 관련 교육에 집중하고 있다. 현재 금융 지형을 변화시키는 핵심 요소로는 디지털 금융 기술의 글로벌 활용 가능성, 비대면 모바일 거래와 플랫폼 금융의 성장, 빅데이터와 생성형 AI의 결합, 한국의 망분리 규제 완화가 있다. 그중 망분리 규제 완화는 국내 시장에 있어 중대한 파급력을 지닐 것으로 예측된다. 지 사장은 "특히 망분리 규제 완화는 금융기관들이 클라우드 기반의 혁신 서비스를 도입하는 데 큰 기회가 될 것"이라며 "우리는 이에 맞춰 데이터 접근 가이드와 기술적 보안 가이드를 제공하고 있다"고 설명했다. 이러한 혁신을 성공적으로 이루기 위해서는 AI 도입을 통해 어떻게 비즈니스 프로세스를 개선하고 생산성을 향상하는 것이 중요하다. AI를 통해 무엇을 실현할지와 어떤 가치를 창출할지를 알아야만 기업의 진정한 혁신이 가능하기 때문이다. 지 사장은 "혁신 목표를 충족하기 위해 구글은 유즈케이스를 설정하고 이를 구체화한다"며 "금융업의 요구 사항에 따라 맞춤형으로 AI 기술을 적용하는 접근 방식을 취하고 있다"고 설명했다. 이러한 구글클라우드의 노력은 금융업계에도 적용된다. 업계가 규제 준수와 효율성을 모두 확보하면서 AI를 도입할 수 있게 하기 위함이다. 일례로 구글클라우드는 최근 망분리 규제가 완화됨에 따라 국내 금융 기관들이 생성형 AI와 SaaS 기반의 혁신적인 서비스를 보다 쉽게 도입할 수 있도록 지원 방안을 마련하고 있다. 특히 대형 금융기관들이 클라우드 환경에서 주요 업무를 안전하게 수행할 수 있도록 '랜딩존(landing zone)' 구축을 지원하고 있다. 랜딩존은 기업들이 필요한 보안 요건과 규정을 갖춘 상태에서 클라우드를 활용할 수 있도록 설계된 구조로, 금융기관이 클라우드 상에서 주요 업무를 안전하게 처리하고 더 높은 효율성을 달성할 수 있도록 돕는다. 지 사장은 "우리의 노력은 금융기관들이 규제 정책을 준수하면서도 효율적으로 AI를 도입할 수 있게 하기 위한 것"이라며 "금융업계가 신뢰할 수 있는 AI를 바탕으로 혁신을 이루어 나갈 수 있도록 적극 지원할 것"이라고 강조했다.

2024.11.07 12:28조이환

금융보안원 '10대 이슈' 발표…디지털 금융 변화 속 보안 전략 '재편'

금융보안원이 디지털 금융의 급변에 대응하고 보안 가치를 재정립하기 위해 금융사와 소비자가 대비해야 할 이슈를 정리했다. 금융보안원은 오는 2025년을 대비해 금융사가 주목해야 할 '디지털 금융 및 사이버 보안 10대 이슈'를 선정했다고 6일 밝혔다. 이번 발표에는 금융사와 소비자 각각의 관점에서 중점적으로 대비해야 할 항목이 포함됐으며 현업 종사자와 전문가의 의견이 반영됐다. 금융사 측면에서 가장 주목할 사안으로는 '금융보안 가치의 재정립'이 강조됐다. 지난 10년간 해외에 비해 보안 투자가 부족했던 한국 금융사들이 망분리 규제 완화 등과 함께 자율 보안 체계를 강화하며 글로벌 수준으로의 도약을 목표로 하고 있기 때문이다. 또 인공지능(AI) 기술 도입과 클라우드 서비스 제공자(CSP)와의 협력도 중요 이슈로 떠올랐다. 금융사들은 AI 기반 금융서비스의 실효성을 검증하고 CSP와의 협력 관계를 강화해 보안 리스크를 줄이는 동시에 혁신을 꾀해야 할 필요성이 커졌다. 양자컴퓨팅의 발달로 인한 기존 암호 인프라의 무력화 가능성도 중요한 이슈로 제기됐다. 이에 금융사에게는 양자내성 암호 도입 등 미래 보안 위협에 대비한 전략을 마련해야 할 필요성이 생겼다. 금융소비자들에게는 QR코드 피싱, 디지털 페르소나 악용, 생체정보 탈취 등 신종 보안 위협이 커지고 있다. 특히 QR코드 기반 큐싱(Qshing) 공격과 모바일 집중화로 인한 보안 위협이 증가할 것으로 예상돼 소비자 주의가 요구된다. 김철웅 금융보안원 원장은 "망분리, 자율보안 등 디지털금융을 둘러싸고 있는 정책이나 기술이 빠르게 변화하면서 금융회사의 고민이 커졌다"며 "이번에 우리가 선정한 디지털금융 및 사이버보안 이슈가 금융회사와 금융소비자 모두에게 미래 금융 보안 위험에 선제적으로 대응할 수 있는 인사이트를 제공하기를 기대한다"고 밝혔다.

2024.11.06 11:09조이환

"화이트해커 나선다"…금융보안원, 제2금융권 사이버 보안 강화 훈련 돌입

금융보안원이 진화하는 사이버 위협에 대응해 제2금융권의 사이버 보안 역량을 강화하기 위해 나섰다. 금융보안원은 오는 28일부터 다음달 8일까지 '블라인드 사이버 모의해킹(공격‧방어) 훈련'을 진행한다고 22일 밝혔다. 증권·보험·카드사 등 제2금융권을 대상으로 한 이번 훈련은 해킹 공격에 대한 금융권의 실질적인 대응 능력을 강화하기 위해 기획됐다. 사전 협의 없이 불시에 진행돼 금융회사는 해킹 일정에 대해 미리 통보받지 않는다. 이번 훈련에서는 금융보안원의 레드 아이리스(RED IRIS)팀이 가상의 공격자로 나서 서버 해킹과 디도스(DDoS) 공격을 시도하고 금융회사는 공격 탐지 및 방어 활동을 통해 대응 역량을 점검한다. 동시에 금융회사들이 가상의 디도스 공격을 탐지한 후 비상대응센터로 트래픽을 전환하는 훈련도 진행할 예정이다. 이 훈련을 통해 금융권은 비상 상황에서 금융 서비스의 연속성을 보장하는데 필요한 역량을 기를 수 있다. 또 이번 훈련에는 최근 발표된 '금융분야 망분리 개선 로드맵'에 포함된 생성 AI 관련 보안 대책 점검도 포함된다. 이는 신기술 도입으로 발생할 수 있는 사이버 위협에 대비해 금융 IT 환경의 안전성을 확보하려는 목적이다. 훈련을 통해 금융감독원과 금융보안원은 금융회사의 사이버 보안 시스템의 취약점을 파악하고 필요한 대응 절차를 개선할 예정이다. 특히 금융보안원은 훈련 이후 이행 점검을 통해 개선 사항을 지속적으로 모니터링할 계획이다. 김철웅 금융보안원장은 "디지털 시대의 금융 안전성은 철저한 사이버 보안 대비에서 시작된다"며 "이번 블라인드 모의해킹 훈련은 금융권의 사이버 복원력을 한층 더 강화하는 계기가 될 것"이라고 밝혔다.

2024.10.22 16:13조이환

금융보안원, 금융권 사이버 침해 방지 앞장선다

금융보안원이 금융회사들의 사이버 침해 위협을 방지하기 위해 팔을 걷어 부쳤다. 금융보안원은 금융권에서 발생한 사이버 침해사고 사례를 종합·분석한 금융권 침해대응 인텔리전스 플랫폼 구축 완료해 전 사원기관을 대상으로 본격적인 서비스를 시작했다고 21일 밝혔다. 인텔리전스 플랫폼은 금융보안원이 직접 조사한 침해사고 사례를 분석해 상호 통신, URL-IP 연결 등 침해지표 간의 관계를 시각적으로 제공한다. 침해지표(IoC)는 공격그룹, 악성코드, IP, URL 등으로 구성되며 각 지표 간 연관성을 분석하여 사내 보안정책 등에 적용할 수 있다. 이를 통해 보안담당자가 보안정책 및 대응체계를 강화할 수 있도록 기관별로 맞춤형 인사이트를 제시함으로써 유사 사고를 미리 예방하고 신속하게 대응할 수 있다. 데이터베이스화된 침해지표 등 모든 데이터는 STIX(Structured Threat Information expression) 표준 방식으로 관리되고 사고와 관련된 구체적인 정보는 모두 비식별화돼 참여하는 누구든 활용할 수 있다. 플랫폼 서비스는 그간 설명회와 시범운영을 통해 현장 의견을 적극 수렴해 기능을 최적화하는 과정을 거쳤다. 또 다양한 오픈소스를 활용해 금융권에 적합하게끔 신속하게 구축됐다. 금융보안원은 최신 위협에 대응하기 위해 플랫폼 서비스를 지속적으로 업데이트할 예정이다. 김철웅 금융보안원장은 "금융회사들이 인텔리전스 플랫폼을 적극 활용하면 사이버 침해 위협 발생 시 보다 용이하고 신속하게 대응할 수 있을 것"이라며 "앞으로 침해위협에 대한 분석을 국내외로 확장해 국가배후 해킹조직에 의한 고도화·지능화된 금융권 사이버 위협에도 선제적으로 대응하도록 만전을 기하겠다"고 밝혔다.

2024.10.21 16:39장유미

금보원이 제시한 생성형 AI 시대 금융보안 트렌드는

정부가 생성형 인공지능(AI) 시대의 금융환경 변화와 대응방안을 모색하는 장을 마련했다. 금융보안원은 내달 7일 여의도 콘래드서울 호텔에서 금융정보보호 컨퍼런스(FISCON) 2024'를 개최한다고 15일 밝혔다. FISCON 2024는 디지털 기술 발전과 규제 환경 등 혁신 속에서 안전과 신뢰를 기반으로 한 지속 가능한 비즈니스 전략을 모색하는 자리다. 디지털금융과 금융보안에 관심 있는 누구나 이달 15일부터 금보원 홈페이지에서 사전등록 하거나 당일 현장에서 신청하면 된다. FISCON 2024는 ▲오프닝 행사 ▲주제강연・비공개세션 ▲시상식 ▲정보보호 산업 전시로 구성된다. 이날 황성우 삼성SDS 대표가 기조강연을 진행한다. 생성형 AI 시대에 기술혁신이 가져올 금융환경 변화와 대응방안을 살필 방침이다. 미국·일본 금융 정보통신기반시설보호(ISAC) 전문가도 행사에 참석한다. 국제 사이버 보안 공조 강화를 위해 최신 정보보안 이슈, 각국 사이버 위협 동향 정보 등을 공유하는 시간을 가진다. 주제강연은 디지털금융을 비롯한 금융보안 전략·기술·대응 분야 3개 트랙으로 이뤄졌다. 총 15개의 주제 강연이 진행된다. 전략 부문 트랙은 금융보안의 원칙중심 규제를 위해 도입한 책무구조도, 자율보안 프레임워크를 통한 금융보안 선진화 전략 등 금융 비즈니스 환경 변화에 따른 보안전략을 다룬다. 기술 트랙은 금융 제로트러스트, 양자내성암호 전환 동향 등 금융권에 도입되는 디지털금융 혁신 기술의 현황과 트렌드를 다룬다. 대응 트랙은 AI기반 취약점 탐지, 금융 클라우드 보안 대응 등 고도화되는 디지털금융 위협에 대한 대응방안을 논의한다. 비공개 세션에서는 금보원 대의원사 보안담당자 대상으로 모의해킹 주요 취약점 사례 등 금융보안 주요 현안·이슈를 공유한다. 이 외에도 금보원은 '제8회 금융보안원 논문공모전'을 비롯한 '금융권 사이버 침해위협 분석대회' 'AI 경진대회 및 아이디어 공모전' 수상작 시상식과 전시도 연다. 김철웅 금보원 원장은 "어느 때보다 큰 변화가 일어나고 있는 IT 및 금융 비즈니스 환경에서 적응하기 위해 글로벌 금융보안 트렌드를 살펴보며 새로운 대응 전략을 마련할 필요가 있다"면서 "이번 행사가 거대한 변화 속에서 지속가능한 금융보안 전략을 모색하고, 빠르게 진화하는 사이버 위협에 대한 해결방안을 함께 나눌 수 있는 교류의 장이 되길 바란다"고 밝혔다.

2024.10.15 17:35김미정

SAP 코리아, 금융권 망 분리 발맞춰 CSP 대상 안전성 평가 완료

SAP 코리아가 클라우드 서비스 제공 업체(CSP)들을 대상으로 안전성을 평가했다. 지난 5월 금융위원회가 '클라우드 기반 서비스형 소프트웨어(SaaS)의 내부망 이용'을 혁신금융서비스로 새로 지정하며 금융권 망 분리 완화 움직임이 본격화됐기 때문이다. SAP 코리아는 금융 보안원이 실시하는 CSP 대상 안전성 대표 평가를 완료했다고 30일 밝혔다. SAP 코리아는 금융 보안원의 확인 평가를 앞두고 있으며 오는 11월 내 평가를 최종 완료할 계획이다. 이번 평가는 SAP S/4하나(HANA) 클라우드 프라이빗 에디션을 대상으로 이뤄졌다. SAP S/4하나 클라우드 프라이빗 에디션은 라이즈 위드 SAP의 일부인 클라우드 기반 전사적 자원관리 시스템(ERP)으로 기업의 요구에 맞춰 ERP 소프트웨어(SW)를 조정할 수 있다. 또 SaaS 형태의 구독 서비스로 시장 변화에 유연하게 적응할 수 있다. SAP코리아는 향후 금융사가 SAP S/4하나 클라우드 프라이빗 에디션을 도입하게 될 경우 금융 보안원의 대표평가 결과를 이용해 빠른 안전성 파악과 신속한 클라우드 전환이 가능하다고 바라봤다. 국내 금융회사는 상용 클라우드 컴퓨팅 서비스를 이용하고자 할 때 감독 규정 항목에 대해 CSP 안전성을 평가해야 한다. 금융보안원은 금융사를 대신해 CSP 안전성 평가를 수행하며 금융사는 해당 결과를 활용할 수 있다. 신은영 SAP 코리아 대표는 "한국 경제에 영향을 미치는 기업 중 43%가 라이즈 위드 SAP의 클라우드 기술을 사용해 비즈니스 트랜스포메이션을 실현했을 정도로 SAP S/4하나 클라우드 프라이빗 에디션은 국내 주요 기업들이 쓰는 ERP 중 하나"라며 "이번 금융 보안원 평가를 통해 금융사 고객들이 안심하고 클라우드 ERP로 전환할 수 있게 뒷받침하고 운영 효율성 증대를 경험하도록 지원하겠다"고 말했다.

2024.09.30 17:36양정민

금보원 "카톡으로 모바일 신분증 발급하세요"

앞으로 카카오톡이나 네이버 등 민간 플랫폼으로 모바일 신분증 발급이 가능해진다. 금융보안원은 행정안전부, 한국정보통신기술협회(TTA)와 손잡고 모바일 신분증 민간개방을 위한 평가체계를 구축한다고 13일 밝혔다. 모바일 신분증이란 블록체인, 암호화 등 기술로 스마트폰에 발급되는 신분증이다. 현행 플라스틱 신분증과 동일한 법적 효력을 가진다. 모바일 신분증 민간개방은 기존에 정부 앱에서 발급할 수 있었던 모바일 신분증을 일반 시민이 평소 자주 접하는 민간 플랫폼에서도 발급할 수 있게 개방하는 정책이다. 이에 따라 KB국민은행, NH농협은행, 카카오·카카오뱅크, 네이버, 비바리퍼블리카(토스) 모바일 앱을 통해 모바일 신분증을 발급받아 신분 확인이 필요한 금융거래 등에 활용할 수 있다. 이번 업무협약은 국민이 안전하고 편리하게 민간 플랫폼의 모바일 신분증을 사용할 수 있도록 서비스에 대한 적합성·안전성 평가 체계를 마련하기 위해 체결됐다. 금보원은 평가기관으로서 모바일 신분증 서비스 발급부터 보관, 제출, 삭제 등 일련 과정에 대한 기능 구현 적합성과 보안 수준 등 전반에 대해 평가한다. 금보원은 '정보보호 및 개인정보보호 관리체계 인증기관' '전자서명인증 평가기관' 등 보안전문 기관으로서 수행경험 및 전문역량 토대로 모바일 신분증이 민간 플랫폼에 성공적으로 안착할 수 있도록 차질없이 평가를 수행할 방침이다. 김철웅 금보원 원장은 "민간 플랫폼의 모바일 신분증이 안전하고 편리한 신원확인 방식으로 도입되면 금융권 비대면 계좌 개설 활성화 등 국민의 일상 혁신에 크게 기여할 것"이라며 "금융보안원의 전문적인 보안 역량을 바탕으로 전 국민이 안전하게 모바일 신분증을 활용할 수 있도록 적극 지원하겠다"고 밝혔다.

2024.09.14 17:35김미정

"안전성 OK"…보안업계, 금융권 망분리 완화 호평

금융권의 망분리 규제가 순차적으로 완화된다. 이를 통해 인공지능(AI) 도입 등 디지털전환(DX)이 본격화되며 금융업계 혁신도 본격화될 전망이다. 다만 일부에서는 최근 사이버위협 등이 급증하고 IT장애을 재난으로 지정하는 상황에서 망분리 도입 완화에 대해 우려를 표하기도 한다. 이에 대해 보안 업계에선 금융위원회의 이번 정책에 대해 긍정적인 반응이다. 주요 데이터를 보호하기 위해 보수적으로 접근하면서도 시대의 흐름에 맞춰 적절한 변화를 시도하고 있다는 평가다. 20일 관련 보안업계에서는 금융위원회에서 마련한 '금융 분야 망분리 개선 로드맵'의 보안 수준에 대해 호평했다. 로드맵을 살펴본 보안업계는 시대의 변화에 따라 망분리 완화를 시도함과 동시에 잠재적으로 발생할 수 있는 보안 위협을 최소화하기 위한 조심스러운 접근을 파악할 수 있었다고 분석했다. 한 보안전문기업 이사는 금융 환경에 맞는 보수적인 자세를 유지하는 동시에 시대의 흐름에 맞춰 적절한 변화를 시도하고 있다고 평가했다. 망분리 개선 로드맵은 생성형 인공지능(AI) 도입 등 클라우드를 중심으로 빠르게 발전하는 IT기술 활용을 저해하고 연구·개발이 어려운 망분리 환경을 개선하기 위해 마련됐다. 금융당국은 낡은 규제를 개선하고 중·장기적으로 금융 보안 법·제도를 전면 개편하는 등 혁신과 보안의 새로운 균형을 확보한다는 방침이다. 다만, 현행 금융보안체계가 오랜 기간동안 인터넷 등 외부통신과 분리된 환경을 전제로 구성되어 온 점을 고려해, 급격한 규제 완화보다는 상황에 따른 단계적 개선을 추진할 계획이다. 특히 보안 업계는 계좌 정보나 개인 정보 등 민감한 금융 정보를 보호하기 위해 규제 샌드박스 등의 제도를 활용하는 방안에 대해 긍정적인 반응을 보였다. 규제 샌드박스는 특정 기간 동안 규제를 유예하거나 완화하여 새로운 기술이나 서비스가 시험될 수 있도록 하는 제도다. 이를 통해 특정 연구 및 개발 영역에서 망 분리를 완화하고, 그에 따른 보안 위험을 평가 및 관리하면서 기술 발전을 도모한다. 금융 당국은 IT 환경 변화로 인해 신속한 대응이 필요한 과제는 샌드박스 등을 활용해 빠른 기간 내에 해소한다. 다만 자율보안체계 확립까지는 시간이 소요되므로 보안상의 문제가 없도록 별도의 보안대책 등을 마련할 예정이다. 더불어 이 과정에서 예상되는 리스크에 대한 보안대책을 조건으로 부과하고 금융감독원·금융보안원이 신청 기업별 보안 점검·컨설팅을 실시하는 등 충분한 안전장치를 마련할 계획이다. 또한 금융감독원과 금융보안원은 자체적으로 보안 시스템을 구축하기 어려운 기업들의 신청을 받아 보안 점검·컨설팅도 지원한다. 동국대학교 국제정보대학원 황석진 교수는 "그동안에는 민감 데이터 보호를 위해 망분리를 활용하는 것이 합리적이라고 생각했지만 클라우드를 비롯한 여러 기술의 발전으로 더 이상 효율적이라고 말하기 어려운 면이 있다"며 "보안 역시 기술의 발전으로 클라우드에서 더 나은 보안 환경을 갖출 수 있게 된 만큼 크게 우려할 부분은 거의 없다고 본다"고 설명했다. 금융보안원 혁신지원팀의 서호진 팀장은 "금융업계의 DX를 통한 산업의 발전을 위해 많은 노력을 기울이고 있다"며 "DX과정에서 어려움을 느끼는 금융 기업들이 도움을 요청한다면 언제든 최선을 다해 지원하겠다"고 말했다.

2024.08.20 15:59남혁우

금보원 해커팀, 美 데프콘서 AI 보안 기술력 입증

한국 정부 소속 기술개발팀이 미국에서 글로벌 해커들 상대로 사이버보안 기술력을 입증했다. 금융보안원은 자체 화이트해커팀 '레드IRIS'가 미국 라스베이거스에서 열린 국제 해킹대회 '2024 데프콘(DEFCON CTF 32)'에서 최종 3위를 차지했다고 13일 밝혔다. 데프콘은 사이버보안 분야에서 가장 권위 있는 세계 보안 대회로 알려졌다. 참가자들은 레드IRIS와 산하 테크보드 소속이다. 이번 대회에서 미국 등 여러 국가 보안 전문가들로 구성된 국제연합팀(SuperDiceCode) 일원으로 참여해 해킹 실력을 선보였다. 이들은 금융권의 보안 수준을 한 단계 높이기 위해 다양한 업무를 수행하고 있다. 지난 2월 은행권 대상으로 블라인드 사이버 모의해킹 훈련을 수행했다. 3월에는 서드파티 솔루션을 이용한 공급망 공격기법을 해커 관점에서 심층 분석해 방어 대책을 포함한 보고서를 발간하기도 했다. 올해 데프콘에선 거대언어모델(LLM)을 활용한 문제가 출제되는 등 최신 트렌드인 인공지능(AI)이 핵심 주제로 나왔다. 실제 최근 AI 이용이 활성화되면서 안전한 AI 중요성을 인식한 글로벌 빅테크 기업들은 AI 전담 레드팀이나 퍼플팀을 구성하는 등 AI 위협 대응을 강화하는 추세다. 금보원도 금융권 AI 활성화에 발맞춰 신뢰할 수 있는 AI 활용을 지원하고자 AI를 대상으로 하는 악의적인 공격·방어 역량을 강화하고 있으며 인력 보강을 병행한다는 점을 밝혔다. 김철웅 금보원 원장은 "높은 전문성과 정보보호 역량 갖춘 직원들이 국제 해킹대회에서 우수한 성과를 거둬 금융보안 전담기관 위상을 높였다"며 "글로벌 이슈인 AI 보안 수준을 높일 수 있도록 AI 대상으로 기존 모의 공격과 방어 업무를 차질 없이 확대해 나갈 계획"이라고 말했다.

2024.08.13 16:33김미정

[현장] '글로벌 IT 대란' 언급한 금보원..."금융SW도 대비해야"

"크라우드스트라이크 사태는 긴밀히 연결된 정보사회의 위험성을 보여줍니다. 금융회사는 국민생활에 부정적인 영향을 끼칠 수 있는 사태를 방지하기 위해 안정적인 금융시스템을 구축해야 합니다." 금융보안원 임구락 사이버본부장은 5일 여의도에서 열린 '한국 금융보안의 현주소와 나아갈 방향' 세미나에서 크라우드스트라이크 사태와 같은 사이버 위협의 위험성을 강조했다. 지난달 19일 크라우드스트라이크의 보안소프트웨어 '팔콘' 업데이트 문제로 윈도 운영체제에 블루스크린이 발생했다. 이로 인해 전세계적으로 사회기반 시설이 다운돼 항공, 교통, 방송, 금융 등 다양한 서비스에 피해가 발생한 바 있다. 임 본부장은 "국내 금융권은 이번 사태로 인한 피해를 입지 않았지만 그 원인이 무엇이었는지에 대한 철저한 논의가 필요하다"며 "유사한 소프트웨어(SW) 공격이 발생할 가능성을 염두에 두고 구체적인 대응 전략을 수립해야 한다"고 밝혔다. 이어서 진행된 패널 토론에는 국민대 윤명근 교수, KB국민은행 이재용 최고정보보안책임자(CISO), 토스증권 지정호 CISO, 엔키화이트햇 이성권 대표 등 다양한 전문가들이 참석했다. 이들은 IT 장애의 원인·영향과 소프트웨어 공급망 보안체계에 대한 논의를 진행했다. 지정호 CISO는 이번 사고의 해법으로 규제 강화보다는 문제의 본질적 원인을 찾아 IT 환경을 관리할 것을 촉구했다. 그는 토스 증권의 사례를 설명하며 "패치를 인터넷 PC에 먼저 배포한 후 업무용 PC에 배포한다"며 "이와 같은 점진적 배포 방식은 업무환경에 대한 리스크를 최소화할 수 있다"고 설명했다. 일각에서는 크라우드스트라이크 패치 업데이트가 품질검증 절차 없이 진행된 것이 문제의 핵심이라고 지적했다. SW 중요성이 커지고 있음에도 금융권의 대비는 여전히 부족한 상태다는 설명이다. 윤 교수는 "금융권은 전통적인 하드웨어의 이중화와 삼중화는 잘 돼 있지만 SW 대비가 부족하다"며 "SW 업계도 철저한 대비가 필요하다"고 주장했다.

2024.08.05 17:00조이환

금융보안원, 금융권 보안대책 마련 나선다

금융보안원이 금융권 소프트웨어 공급망 보안체계에 대한 철저한 대비책 마련을 위해 행동에 나섰다. 금융보안원은 다음달 5일 여의도에서 '한국 금융보안의 현 주소와 나아갈 방향'을 주제로 세미나를 개최한다. 이번 세미나는 소프트웨어 공급망 보안체계의 중요성을 강조하고 정책·기술적 대응 방안을 논의하기 위해 마련됐다. 세미나에는 윤명근 국민대학교 교수, 이재용 KB국민은행 최고정보보안책임자(CISO), 지정호 토스증권 CISO, 이성권 엔키화이트햇 대표 등 다양한 전문가들이 참여한다. 이들은 패널 토론을 통해 IT 장애의 원인·영향과 소프트웨어 공급망 보안체계의 취약점을 검토할 예정이다. 참가 희망자는 금융보안원 홈페이지 사전등록을 통해 세미나에 참석할 수 있다. 사전등록은 31일부터 가능하며 현장등록도 허용된다. 김철웅 금융보안원장은 "세미나를 통해 금융권 전체가 소프트웨어 공급망 보안체계의 중요성을 인식하고 철저한 대비책을 마련하기를 기대한다"고 밝혔다.

2024.07.31 16:35조이환

금융보안원 "안전한 금융 AI 선도한다"

안전한 금융 인공지능(AI) 활용을 선도하기 위해 금융보안원이 '금융보안 AI 워킹그룹'을 출범한다. 금융보안원은 여의도 사무소에서 19개 금융기관과 함께 AI 보안 정보 공유·공동과제 발굴을 위한 첫 회의를 개최했다고 25일 밝혔다. 이번 워킹그룹은 금융회사 보안·AI 담당자들의 협력을 통해 마련됐다. 이로써 AI 안전성과 신뢰성을 저해할 수 있는 다양한 보안 위협에 신속하게 대응할 계획이다. 또 이들은 금융회사의 의견을 수렴해 금융당국에 건의할 예정이다. 더불어 금융위원회 주관 '금융권 AI 협의회' 논의사항을 워킹그룹에 전파해 금융당국과의 연계를 강화할 계획이다. 첫 회의에서는 국내·외 AI 안전 프레임워크(AI Safety FRAMEwork) 동향, 금융 AI 모델 보안성 검증 체계, 금융분야 연합학습 활용방안 등 다양한 주제에 대한 활발한 논의가 진행됐다. 참석자들은 향후 금융권의 AI 기술 활용에 대한 관심과 투자가 증가할 것으로 전망했다. 김철웅 금융보안원장은 "기술 활용 전반에 걸쳐 안전성과 신뢰성을 확보하는 것이 매우 중요하다"며 "AI 활용에 따른 다양한 문제를 금융권이 함께 해결할 수 있도록 적극 지원하겠다"고 강조했다.

2024.07.25 18:34조이환

LGU+, 금융보안원과 보이스피싱 막는다

LG유플러스와 금융보안원이 신종 보이스피싱 악성앱 정보를 실시간으로 공유해 접속을 차단해 국민들의 피해를 막는 활동에 힘을 모으기로 했다. LG유플러스는 18일 서울시 강서구 마곡 LG사이언스파크에서 금융보안원과 '보이스피싱 예방 및 대응을 위한 업무협약(MOU)'을 체결했다. 업무협약에 따라 금융보안원은 365일, 24시간 운영 중인 '피싱사이트 보이스피싱 악성앱 탐지시스템'을 통해 얻은 정보를 실시간으로 LG유플러스에 공유할 예정이다. LG유플러스는 제공 받은 정보를 토대로 피싱사이트 및 보이스피싱 악성앱 유포지 접속을 원천적으로 차단, 국민 피해 예방에 나선다. 양 기관은 또 스미싱, 전화번호 가로채기 등 신종 보이스피싱에 대한 다양한 정보를 공유하고 관련 분야의 기술협력을 강화해 신종 사기 피해 대해서도 선제적으로 대응해 나가기로 했다. 금융보안원은 나날이 지능화되고 복잡해지는 보이스피싱에 효과적으로 대응하기 위해 '범금융권 보이스피싱 사기정보 공유체계'를 운영하고 있다. 이를 통해 금융, 공공, 통신, 보안 등 다양한 분야의 전문기관들과 보이스피싱 관련 정보를 실시간으로 공유하고 있다. 이번 업무협약을 통해 국내 3대 통신사 중 하나인 LG유플러스도 체계에 참여함으로써 보이스피싱 피해 예방 효과가 더욱 증대될 것으로 기대된다. 홍관희 LG유플러스 사이버보안센터장은 "갈수록 보이스피싱 공격의 피해가 심각해지고 있는 만큼, 이에 대응하기 위해 모든 기관이 힘을 모아야 할 시점”이라며 “앞으로 금융보안원과 긴밀한 협력을 이어가는 것은 물론이고, 전사적으로 노력을 기울여 '고객 피해 제로'를 달성해 나가겠다”고 말했다.

2024.06.19 09:50최지연

'금융사 앱·HTS 보안 취약점 찾아라'…버그바운티 운영

금융사 애플리케이션(앱)·홈트레이딩시스템(HTS)·웹사이트의 알려지지 않거나 조치방안이 없는 보안 취약점을 해결하기 위해 화이트해커 등을 대상으로 버그바운티를 운영한다. 금융감독원은 금융보안원과 오는 6월부터 8월 31일까지 대한민국 거주자 대상으로 집중신고 기간을 운영한다고 28일 밝혔다. 취약점 탐지 대상으로 은행·증권·보험 등 총 21개 금융회사가 참가하며 취약점을 찾는 공격자는 화이트해커·학생·그 외 일반인 등 대한민국 국민 누구나 참가 신청 및 승인 후에 참여할 수 있다. 신고된 취약점은 전문위원들의 평가를 거쳐 최대 1천만원의 포상금이 지급될 예정이며, 위험도가 높고 파급력이 큰 취약점의 경우 금융회사에 신속하게 전파해 보완할 계획이다. 금감원과 금보원은 앞으로 버그바운티를 지속 확대해 나간다. 보다 많은 금융회사들이 참여할 수 있도록 취약점 분석평가 업무 시 인센티브 부여 등 관련 내용도 함께 검토한다는 계획이다. 금감원 이복현 원장은 “버그바운티는 나날이 고도화 되어가는 사이버 위협에 대비할 수 있는 새로운 형태의 보안역량 강화 프로그램"이라며 "이번 기회를 통해 금융권의 보안 수준이 한층 더 강화되는 계기가 됐으면 한다"고 말했다.

2024.05.28 09:20손희연

금융보안원-KISA, 금융 사이버 침해사고 대응 맞손

정부가 금융 서비스 관련 사이버 위협 대응을 본격화한다. 금융보안원은 한국인터넷진흥원(KISA)과 손잡고 금융 분야 사이버 침해사고 대응 협력을 위한 업무협약을 체결했다고 14일 밝혔다. 최근 보안인증 소프트웨어(SW) 취약점을 악용한 PC해킹 및 악성코드 유포 사고 발생 등 금융 서비스와 관련한 사이버 위협이 증가하고 있다. 특히 지난해 해커가 온라인 쇼핑몰에 무단 로그인해 포인트 등을 탈취하는 크리덴셜 스터핑 공격이 다수 발생했다. 민간 기업의 침해사고가 사용자의 금전적 피해를 유발하는 등 다양한 분야에 걸친 침해사고로 광범위한 피해 사례가 확인되고 있다. 금융 분야 해킹사고는 국민들의 금전피해를 유발하는 민감한 사안으로, 담당 기관 간의 공조 및 유기적인 협력을 통해 철저한 대응이 요구된다. 이에 금융 분야 침해사고 대응 기관인 금융보안원은 인터넷·정보보호 전문기관인 KISA와 함께 금융권의 사이버 위협에 공동으로 대응하기 위해 업무협약을 추진했다. 두 기관은 앞으로 금융분야 관련 ▲신규 보안 취약점 발굴 협력 및 상시 정보 공유 ▲침해사고 합동 조사 및 원인 분석‧대응 공조 ▲사이버 위협 정보 상호 공유 등을 위해 협력한다. 올해 2월 금융보안원이 금융분야 SW 글로벌 취약점 관리번호(CVE) 번호 발급기관(CNA, CVE)으로 신규 지정됨에 따라 18년부터 CNA로 활동해온 KISA와 취약점 분석‧평가 및 데이터베이스(DB) 운영 등 취약점 관리 체계 구축 전반에서 협력을 강화할 예정이다. 이번 협약을 계기로 두 기관은 국가 취약점을 관리하는 대표기관으로서 국제적 위상을 높일 방침이다. 최신 악성코드 및 주요 해킹조직의 활동 추적 등 위협정보도 상시 공유한다. 가상자산 등 금융 분야 해킹사고 발생 시 두 기관의 전문성을 결합한 합동조사를 통해 신속하고 정확한 원인 분석 대응 등 국민 피해 방지를 위해 최선을 다할 것이라고 밝혔다. 김철웅 금융보안원 원장은 "이번 협약을 통해 국경을 초월하는 사이버 침해위협에 선제적으로 대응할 수 있는 공조 체계가 만들어질 것"이라며 "국가 사이버 안보를 한층 더 강화하는데 기여할 수 있을 것"이라고 밝혔다. 이상중 KISA 원장은 "최근 금융 산업의 발전과 함께 진화하는 다양한 사이버 위협에 효과적으로 대응하기 위해서는 무엇보다 산업 간의 협력이 중요하다"며 "이번 업무협약을 통해 금융 분야 사이버 위협 대응 공조 등 국민의 안전한 금융서비스 이용을 위해 유관기관과 협력을 지속적으로 강화해 나가겠다"고 말했다.

2024.05.14 17:21김미정

"AI 활용 보안 문제 혁신적 해결"…금보원, AI 아이디어랩 공모전

금융보안원과 코드게이트보안포럼이 창의적인 인공지능(AI) 아이디어 발굴에 나선다. 금융보안원은 '코드게이트 AI 아이디어랩 공모전'을 개최한다고 30일 밝혔다. 이번 공모전은 보이스피싱, 딥페이크·딥보이스, 전자상거래, SNS 투자 사기, 디지털 범죄, 웜GPT와 같이 산업, 문화, 경제 등 사회 전반에 걸쳐 발생할 수 있는 보안 문제를 해결하는 데 필요한 AI 활용 기술이나 서비스 아이디어를 받는다. 참가 자격에 대한 제한은 없으며, 개인 또는 4인 이하의 팀을 구성해 참가할 수 있다. 심사는 1차(서류 및 기획서 평가), 2차(예선), 3차(본선)로 나눠지며, 정보보호 및 AI 분야 전문가들이 심사위원으로 참여해 우수 아이디어를 선별한다. 김철웅 금융보안원 원장은 "금융 분야에 AI 기술 접목이 지속 확대되는 만큼 이번 공모전이 AI가 금융혁신뿐만 아니라 소비자 보호 수준도 높일 수 있음을 보여주는 계기가 되기를 바란다"고 밝혔다.

2024.04.30 13:55이한얼

금융보안원, '락드쉴즈 2024' 참가…국제 사이버戰서 역량 뽐내

금융보안원이 지난 22일부터 북대서양조약기구(NATO)가 개최한 '락드쉴즈 2024'에서 높은 수준의 사이버 공격 역량을 뽐냈다. 금융보안원은 '락드쉴즈 2024'에 3년 연속 참여해 유의미한 성과를 얻었다고 29일 밝혔다. 락드쉴즈 훈련은 나토 회원국 간의 사이버 위기 대응 능력을 강화하기 위해 매년 개최하고 있다. 우리나라는 올해 국가정보원을 중심으로 금융보안원을 포함한 국방부·한국전력공사 등 민·관·군 11개 기관, 80여 명이 훈련에 참여했다. 금융보안원은 이번 훈련 참여를 위해 사이버공격 방어 전문가로 구성된 17명의 최정예 직원을 선발해 참가했다. 이번 훈련에서는 공세적 방어 전략에 방점을 둬 최정예 화이트해커로 구성된 RED IRIS 소속 직원들이 취약점을 찾아 선제적으로 대응했다. 또 디지털 포렌식 챌린지 등 공격 경로 및 방식 등을 살펴 다양하게 시도된 사이버 공격에 대해서 주도적으로 방어했다. 공격팀으로부터 가상의 디지털정부플랫폼 등 주요 민간 인프라를 대상으로 홈페이지 위변조, 악성코드 전파 공격 등을 실시간으로 대응했다. 침해지표 등을 활용해 위협대상을 식별하는 등 전문적인 사이버공격 방어 역량을 선보였다.

2024.04.29 11:45이한얼

금융보안원, 금융사기 수법 심층 분석…인텔리전스 보고서 공개

금융보안원은국내 신용카드 정보가 탈취되고 부정결제까지 이어지는 신종사기를 면밀히 분석한 보고서를 발간했다. 금융보안원은 이같은 내용을 담은 사이버위협 인텔리전스 보고서 2편을 22일 공개했다. 오퍼레이션 마이다스는 120여 종의 불법 HTS(홈트레이딩시스템) 프로그램 및 인프라를 분석했다. 불법 HTS 사기조직의 투자자 유인 수법부터 거액의 투자금 편취까지 이어진 범죄수법의 전반을 밝혀냈다. '오퍼레이션 포이즌애플'은 피싱페이지가 삽입된 국내 중·소규모 쇼핑몰 50여 곳을 통해 신용카드 정보가 탈취되고 부정결제까지 이어지는 신종사기를 면밀히 분석했다. 김철웅 금융보안원 원장은 "이번 분석은 검·경 등 유관 기관과의 긴밀한 협조를 통해 범죄조직 검거까지 이뤄낸 좋은 사례"라면서 "앞으로도 금융소비자 피해를 최소화하기 위해 금융사기 관련 위협을 지속적으로 모니터링하고 분석하여 이를 신속히 금융회사와 유관 기관에 공유할 것"이라고 밝혔다.

2024.04.22 12:18이한얼

금보원, 1차 금융보안자문위 회의 개최

금융보안원이 금융보안 현안 사항 공유와 선진 정책 도출을 모색하는 자리를 가졌다. 금융보안원은 2024년 금융보안자문위원회를 구성해 제1차 전체회의를 개최했다고 8일 밝혔다. 회의에서는 금융권의 주요 현안 사항인 ▲금융보안 규제 선진화 ▲금융권 소프트웨어(SW) 공급망 보안 ▲AI 활용 활성화 등에 대해 다양한 시각에서 조언할 수 있는 신규 위원 6명을 위촉했다. 위촉된 신규 위원은 ▲임종인 대통령실 사이버특별보좌관 임종인 특보 ▲김한성 (前)사이버작전사령부 사령관 ▲윤성범 (前)미래에셋증권 전무 ▲이원태 (前)한국인터넷진흥원장 ▲하재철 한국정보보호학회장 ▲조영철 한국정보보호산업협회장 등이다. 이날 회의는 ▲금융보안 규제 선진화 ▲금융권 S/W 공급망 보안 대응 ▲AI 활용 활성화 정책 지원 등과 관련한 현안과 향후 전략 등이 심도 깊게 논의됐다. 김철웅 금융보안원 원장은 "안전한 금융환경 조성을 위한 미래전략 수립 시 금융보안원이 올바른 방향으로 나아갈수 있도록 금융보안자문위원들이 나침반 역할을 해줄 것으로 기대한다"고 밝혔다.

2024.04.08 15:33이한얼

"금융보안 분야 증진"...제8회 금융보안원 논문공모전 개최

금융보안원이 디지털 금융과 금융 보안 분야를 증진하기 위해 우수 논문 발굴에 나선다. 금융보안원은 금융위원회, 금융감독원 등 정보보호 유관기관과 함께 '제8회 금융보안원 논문공모전'을 개최한다고 1일 밝혔다. 공모전은 지난 2017년 이래 매년 논문공모전을 개최(총 7회)해 총 45편의 우수 논문을 선정·시상했다. 수상 논문은 금융회사 및 유관기관이 관련 업무 추진 시 연구자료로 활용할 수 있도록 관리 및 공유되고 있다. '제8회 금융보안원 논문공모전'은 4월부터 8월까지 전 국민을 대상으로 다양한 시각과 인사이트를 담은 논문을 공모한다. 창의적, 학술적 가치, 금융정책 기여 및 금융산업 적용 가능성이 높은 논문 8편을 선정해 총 2천200만원 규모의 상금과 금융위원장상, 금융감독원장상, 금융보안원장상 등의 특전을 수여할 계획이다. 김철웅 금융보안원 원장은 "논문공모전을 통해 금융보안 현장에 접목될 수 있는 다양한 연구주제가 발굴되기를 기대한다"며 "이번 공모전이 디지털금융에 대한 이해를 높이고 금융보안 연구를 촉진하는 계기가 될 수 있도록 많은 이들의 적극적인 관심과 참여를 바란다"고 밝혔다.

2024.04.01 14:39이한얼

ZDNet 검색 페이지

'금융보안원'통합검색 결과 입니다. (42건)