검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'금융 보안'통합검색 결과 입니다. (90건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

지크립토, 삼성SDS와 영지식증명 보안 솔루션 고도화 협업

영지식증명(ZKP) 기반 보안 기술 전문 기업 지크립토(Zkrypto)가 삼성SDS와 손잡고 디지털자산 시장 신뢰 인프라 구축을 위한 본격적인 행보에 나선다. 지크립토는 핵심 보안 솔루션인 ▲zkWallet(디지털자산 지갑) ▲zkMPC(분산 키관리) ▲zkPoL(지급의무 확인제)에 대해 삼성SDS와 기술사용 협업에 착수했다고 4일 밝혔다. 이번 합의에 따라 지크립토는 향후 1년간 자사의 원천 기술을 삼성SDS에 제공하여 솔루션의 성능, 구성, 기능 적합성을 판단하기 위한 정밀 테스트를 진행한다. 양사는 삼성SDS 클라우드 환경에 해당 솔루션들을 연동하고, 가상자산 거래소·은행·증권사·빅테크 및 핀테크 기업을 대상으로 한 맞춤형 신뢰 인프라 모델을 공동으로 검증할 계획이다. 이번 협력의 핵심 솔루션 중 하나인 zkPoL(지급의무 확인제)은 최근 빗썸 오지급 사태를 해결하는 솔루션으로 주목받은 기술로, 거래소 및 발행사의 총 자산과 총 부채의 정합성을 수학과 암호학적으로 검증하는 기술이다. 이는 자산 보유 여부만 확인하던 기존 방식을 넘어, 지급 가능 범위를 초과하는 전송 요청을 사전에 차단함으로써 내부 통제 리스크를 획기적으로 낮출 수 있는 모델로 관심받고 있다. 지크립토는 삼성SDS와의 이번 협력을 발판 삼아 국내 시장에서의 성공적인 기술 검증을 거친 후, 규제 기반 디지털자산 시장이 급성장 중인 중동, 싱가포르, 홍콩 등 글로벌 시장으로의 진출을 공격적으로 확대할 방침이다. 삼성SDS 관계자는 “지크립토의 혁신적인 ZKP 기술을 삼성SDS의 클라우드 인프라와 결합하고자 한다”며, “글로벌 고객사들이 안심하고 디지털자산 비즈니스를 수행할 수 있도록 고보안 기술을 선택할 예정이다”고 밝혔다. 김봉규 지크립토 전무는 “디지털자산 시장은 이제 신뢰를 기술적으로 구조화하여 증명해야 하는 단계에 진입했다”며, “지난해 스테이블코인 프로젝트로 입증된 지크립토의 기술력이 이번 협업을 통해 글로벌 표준 인프라로 자리 잡는 중요한 계기가 될 것”이라고 강조했다. 지크립토는 스테이블코인의 발행 및 거래를 위한 전체 생애주기(생성, 폐기 등) 프로세스를 암호학적으로 설계한 바 있다. 특히 신원 확인·수탁·자금세탁방지 등 금융권 필수 인터페이스를 개발하고 있다.

2026.03.04 08:09손희연 기자

금보원, 금융권 SW 취약점 선제 발굴한다

금융보안원이 금융권 공통 소프트웨어에 대한 제로데이(0-day) 취약점을 선제적으로 발굴하고 대응하고자 버그바운티(취약점 신고 포상제)를 실시한다. 금융보안원은 27일 '금융권 소프트웨어 보안 취약점 신고 포상제'를 실시한다고 밝혔다. 대한민국 국민 누구나 화이트해커로 참가할 수 있으며, 취약점 수준에 따라 최대 1000만 원의 포상금을 지급한다. 위험도가 높고 파급력이 클수록 CVE(국제 취약점 식별 번호) 크레딧도 부여할 예정이다. 이 밖에도 우수 취약점 신고자는 금융보안원 입사 지원 시 우대하고, '취약점 발굴 명예의 전당'에 등재하는 등 다양한 인센티브도 제공된다. 금융보안원은 리액트투쉘(React2shell) 사태와 같이 소프트웨어 공급망 보안 위협이 금융권에 동시다발적인 영향을 줄 수 있는 만큼 선제적인 취약점을 탐색하는 것이 중요하다고 판단했다. 이에 금융회사 또는 가상자산사업자가 공통으로 사용하는 소프트웨어에 대한 보안 취약점은 연중 상시 접수하겠다는 방침이다. 특히 발굴된 취약점에 대한 지속·체계적인 대응을 지원하기 위해서는 금융권에 소프트웨어를 공급하는 제조사와 '공동운영' 협약을 체결하고 있으며, 올해 신규 협약 기업을 확대할 예정이다. 앞서 지난해에는 협약기업으로 4개 기업이 참가했으며, 올해에는 1개 기업이 추가 참여해 휴네시온, 지니언스, 시큐브, 지란지교소프트, 테르텐 등 5개 기업이 함께한다. 박상원 금융보안원장은 "보안 위협이 증가하고 공격 속도가 가속화됨에 따라 화이트해커를 활용한 선제적인 취약점 발굴의 중요성이 커지고 있다"며 "금융권 소프트웨어 공급망 보안 플랫폼과 취약점 신고 체계를 연계해 취약점 발굴부터 조정·완화 및 정보 공유까지 취약점 관리 전반을 체계적으로 지원하겠다"고 밝혔다.

2026.02.27 11:57김기찬 기자

한컴, AI 솔루션 수출 첫 물꼬…日 공적 인증 시장 진입

한글과컴퓨터(한컴)가 글로벌 인공지능(AI) 시장에서 첫 포문을 열었다. 한컴은 일본 사이버링크스와 AI 안면인식 솔루션 '한컴 오스' 공급 계약을 체결했다고 19일 밝혔다. 이번 계약은 한컴이 추진해 온 글로벌 AI 기술 확보 및 수출 전략이 해외 매출로 이어진 첫 사례다. 일본 도쿄증권거래소 스탠다드 시장 상장사인 사이버링크스는 일본 내 공공·유통 분야에 특화된 클라우드 서비스를 제공하는 중견 IT 기업이다. 일본 정부의 공적 신분증인 '마이넘버 카드'를 활용한 공적개인인증 서비스(JPKI) 플랫폼 사업자로, 일본 내 신원 인증 및 트러스트 사업 분야에서 입지를 구축 중이다. 이번 계약을 통해 사이버링크스는 한컴을 전략적 파트너로 선정하고 비대면 본인확인(eKYC) 서비스 고도화에 나선다. 사이버링크스는 한컴 기술을 도입해 자사 클라우드 서비스를 이용 중인 기존 기업과 지자체 고객들은 물론, 업무 프로세스 혁신을 추진하는 신규 고객사를 대상으로 적극적인 영업 활동을 전개해 일본 eKYC 시장 점유율을 확대한다는 계획이다. 일본 시장에 공급되는 한컴 오스는 한컴이 전략적 투자를 단행한 스페인 AI 생체인식 기업 페이스피의 기술력을 기반으로 개발한 솔루션이다. 한컴과 한컴위드가 함께 기술을 내재화하고 리브랜딩했다. 한컴 오스는 위·변조된 가짜 얼굴을 실시간으로 판별하는 라이브니스 기능 등 글로벌 수준의 안면인식 기술이 적용돼 날로 정교해지는 딥페이크 위협에 대응한다. 일본은 최근 심각한 인력난 해소와 아날로그 행정 탈피를 위해 사회 전반의 디지털 전환(DX)을 서두르며 금융·공공·유통 등 다양한 산업군에서 비대면 인증 및 보안 솔루션 수요가 급증하고 있다. 한컴은 일본의 공적 인증 사업자가 차세대 파트너로 한컴을 선택했다는 점을 앞세워 현지 시장 진출에 속도를 낼 예정이다. 이를 위해 한컴은 일본 법인 설립 이후 현재 추진 중인 일본 중견 금융 그룹인 키라보시 파이낸셜 그룹과의 합작법인(JV) 설립도 조속히 마무리할 계획이다. 향후 일본 시장 매출은 JV를 거점으로 관리하여 수익성을 극대화하고, 금융과 공공을 아우르는 전방위적인 수주 활동을 펼칠 방침이다. 김연수 한컴 대표는 "일본의 공적 인증 생태계를 이끄는 사이버링크스와의 협력은 우리 AI 기술력이 글로벌 보안 시장, 특히 신뢰가 최우선인 일본 시장에서 인정받았다는 방증이자 첫 결실"이라며 "페이스피의 글로벌 기술력과 우리 사업 노하우를 결합해 일본을 시작으로 글로벌 AI 보안 및 DX 시장을 적극적으로 공략해 나가겠다"고 밝혔다.

2026.02.19 10:26한정호 기자

'제2 빗썸 사태' 방지위해, 실시간 기술 제도 필요성 거론돼

'빗썸 사태'로 국내 가상자산 거래소 내부통제 등에 관한 규제 허점이 드러났다. 앞으로 같은 사고를 방지하기 위해선 거래소가 실제 보유한 자산보다 더 많은 가상자산을 원천적으로 지급하지 못하게 하고 이를 실시간으로 파악할 수 있는 시스템 필요하다는 의견에 힘이 실린다. 13일 업계 안팎에서는 가상자산 거래소가 운영하는 준비금 제도만으로는 제2의 빗썸 사태를 막기 어렵다고 본다. 국내 가상자산 이용자 보호법에 따라 가상자산 거래소는 고객이 맡긴 가상자산과 현금을 실제로 보유하고 있는지 증명해야 하며, 분리 보관해야 한다. 또 가상자산 80%는 인터넷이 연결되지 않는 콜드 월렛에 보관해야 한다. 하지만 외부 기관을 통해 실제 보유한 가상자산과 분리 예탁 등을 확인해 공시하는 주기는 3개월에 한 번이 전부다. 특히 가상자산 거래소에서는 24시간·365일 거래가 이뤄져 은행처럼 마감 시재를 맞추는 별도의 시간도 없다. 그렇기에 준비금 증명(PoR·Proof of Reserve) 시스템을 각 회사별로 운영 중이다. 업비트는 5분마다 실제 가상자산 거래와 보유량의 정합성을 확인하며, 빗썸은 이 주기가 하루인 것으로 알려졌다. 거래소마다 주기에서 차이가 있는 데다, '실시간'으로 가상자산 보유량과 거래량이 일치하는 것을 규제당국이 확인할 수 없다 보니 같은 문제가 터질 수도 있다는 우려가 나온다. 민병덕 더불어민주당 의원은 지난 11일 국회 정무위원회 긴급 현안질의서 이 같은 문제를 지적하며 '지급 의무제(PoL·Proof of Liability)' 필요성을 역설했다. 지급 의무제는 부채(지급해야 할 가상자산)가 자산(보유한 가상자산)보다 적거나 같아야 한다는 것을 실시간으로 체크하고 부채가 더 많다면 강제로 차단하는 시스템이다. 현재 준비금 제도나 증명이 한 순간 상태만 보여주는 '스냅샷' 방식이라면 지급 의무제는 실시간으로 흐름을 연속적으로 검증하는 방식이다. 오현옥 한양대 공과대학 교수(지크립토 대표)는 "24시간 365일 자산 흐름을 CCTV처럼 연속적으로 모니터링하는 개념"이라며 "지급해야 할 돈이 보유한 돈보다 적거나 같다는 공식을 출금이나 정산 요청 시 자동 대조해 조건이 일치하지 않으면 지급 승인이 거부되거나 거래가 동결되도록 할 수 있다"고 설명했다. 이어 오 교수는 "영지식증명 기술로 총액의 건전성만 검증하고 개별 고객의 잔고나 거래 내역은 암호화해 정보 유출 면에서도 안전하다"며 "거래소의 복잡한 거래 엔진을 교체할 필요 없이, 그 위에 검증 레이어를 얹는 방식으로 신속한 도입도 가능하다"고 부연했다. 거래소뿐만 아니라 금융당국도 실시간으로 거래소 지급 능력을 모니터링할 수 있기 때문에 금융당국 역시 이 기술을 거래소 적용할 수 있도록 도입을 검토 중인 것으로 알려졌다.

2026.02.13 10:40손희연 기자

금보원, 금융권 SW 약점 찾아내는 플랫폼 가동

금융보안원이 이달 중으로 금융권 소프트웨어 공급망 보안 플랫폼을 본격 가동할 계획이다. SBOM(소프트웨어 자재 명세서) 기반으로 소프트웨어의 공급망 현황을 쉽게 파악해 공급망 공격으로부터 보안을 강화하겠다는 복안이다. 금융보안원은 지난달 30일 여의도 금융투자협회 불스홀에서 전 금융회사 보안 담당자가 참여한 '금융권 소프트웨어 공급망 보안 세미나'를 열고 '금융권 소프트웨어 공급망 보안 플랫폼'을 본격 가동할 계획이라고 2일 발표했다. 플랫폼은 소프트웨어 공급망 전반의 위협을 실시간으로 식별하는 보안 가시성을 확보하고, 선제적으로 위협에 대응할 수 있는 환경을 마련하겠다는 취지로 추진됐다. 플랫폼은 ▲금융권 취약점 통합관리 ▲SBOM 관리체계 ▲버그바운티(취약점 제보) 운영 효율화 기능 등을 제공한다. 먼저 소프트웨어 주요 취약점에 대해 보안 패치의 개발부터 적용까지 전 과정을 원스톱으로 지원한다. 플랫폼을 통해 통제된 방식으로 취약점 정보를 신속하게 공유하는 것이 가능해진다. SBOM 기반의 관리체계를 통해 새로운 취약점이 발견되면 금융권 영향을 신속하게 분석 및 대응할 수 있도록 지원하다. 취약점을 선제적으로 찾아내 조치하기 위해 버그바운티를 운영한다. 취약점 제보자에게 보상을 지급하고, 금융권 소프트웨어 '제로데이 취약점'도 식별하겠다는 구상이다. 이로써 보안 사각지대를 최소화하고 취약점 발굴 문화 활성화를 선도하겠다는 것이 금융보안원의 계획이다. 제로데이 취약점은 소프트웨어 개발사가 아직 인지하지 못했거나, 인지했더라도 패치나 해결책이 마련되기 이전인 상태의 취약점을 말한다. 공격자가 먼저 제로데이 취약점을 악용할 수 있기 때문에 위협적인 공격으로 꼽힌다. 한편 이날 개최된 세미나에서는 이정운 금융감독원 디지털리스크분석팀장이 '금융권 소프트웨어 취약점 관리 관련 감독 방향'을 주제로 발제에 나섰다. 이만희 한남대 컴퓨터공학과 교수는 생성형 인공지능(AI) 시대의 전반적인 공급망 보안 리스크에 대해 발표했다. 이 외에도 김규연 금융보안원 침해사고조사팀 수석이 '소프트웨어 공급망 침해사고 사례 및 대응 방안'을, 변진용 금융보안원 SW공급망보안팀 수석이 '금융권 소프트웨어 공급망 보안 플랫폼 소개'를 주제로 발표했다. 박상원 금융보안원장은 "플랫폼을 통해 금융회사는 자사 소프트웨어 취약점 현황 및 영향 범위를 한눈에 파악하고, 대응 우선 순위를 합리적으로 설정함으로써 취약점 관리의 효율성과 실효성을 한층 강화할 수 있을 것으로 기대한다"며 "향후에는 금융당국에서도 플랫폼을 통해 금융권 전반의 공급망 보안 현황을 종합적으로 파악하고 정책 수립 등에 활용할 수 있도록 플랫폼을 지속적으로 고도화해 나갈 것"이라고 밝혔다.

2026.02.02 15:28김기찬 기자

이사회에 보고해야 할 금융보안은 무엇?...금융보안포럼, 안내서 발간

금융보안포럼(회장 박상원)은 금융회사의 금융보안 중요 사항에 대한 이사회 보고 의무 이행을 지원하고, 경영진의 보안 거버넌스를 강화하기 위해 '금융보안 관련 이사회 보고사항 안내서'를 발간했다고 6일 밝혔다. 금융보안포럼은 금융보안 관련 이슈에 대해 민간 전문가 및 금융회사 CISO 간 의견 교류와 논의를 위해 2010년에 설립한 협의체다. 회장은 박상원 금융보안원장이다. 전자금융감독규정 개정에 따라 금융회사 정보보호최고책임자(CISO)는 2025년 8월부터 개인정보보호위원회가 심의·의결한 사항 중 전자금융거래의 안전성 및 신뢰성에 중대한 영향을 미치는 사항에 대해 이사회에 보고할 의무가 있다. 이는, 최고경영자에게만 보고했던 기존 규정에서 나아가, 이사회에서도 금융보안 중요 사항을 경영 차원에서 인지하고 대응토록 함으로써 금융회사 전반에 걸쳐 자율보안 역량을 강화하기 위한 것이다. '금융보안 관련 이사회 보고사항 안내서'는 금융회사가 이사회 보고 의무를 원활히 이행할 수 있게 ▲보고 대상 ▲보고 체계 ▲보고 절차 등을 구체적으로 안내하는 한편 보고 대상별로 참고할 수 있는 보고서 샘플을 함께 제공, 실무 활용도를 높였다. 또 보고 대상별로 이사회에서 확인해야 할 사항을 체크리스트 형태로 제공, 이사회 보고 의무 제도가 실효성 있게 운영될 수 있게 지원한다. 이번에 발간한 안내서는 금융보안원 홈페이지(자료마당→가이드)와 레그테크 포털 'regtech.fsec.or.kr'에서 볼 수 있다. 금융보안원 박상원 원장은 “금융보안의 중요성이 커지면서 이사회 등 경영진이 보안 이슈를 경영 리스크 차원에서 인식하고, 책임 있는 위험관리 거버넌스 체계 수립이 필수 과제로 부각했다"면서 "이번 안내서가 이사회 보고를 준비하는 금융회사의 실무 부담을 완화하는 동시에, 실효적인 금융보안 거버넌스 체계를 확립해 나가는 데 실질적인 참고가 되기를 기대한다.”고 밝혔다.

2026.01.06 15:40방은주 기자

KB금융, 24시간 위협 분석·대응하는 '사이버보안센터' 출범

KB금융그룹이 국내 금융그룹 최초로 '그룹 사이버보안센터'를 공식 출범했다고 6일 밝혔다. 사이버보안센터는 KB국민은행 여의도전산센터 동관에 마련됐다. ▲12개 계열사의 외부 침해 위협에 대한 공동대응 체계 확립 ▲그룹 공통 보안 프레임워크·표준 보안정책 수립 ▲인공지능(AI)·가상자산 등 신기술 보안 위협 연구·분석을 통한 선제적 대응 체계 강화 업무를 수행한다. 특히 KB금융은 사이버보안센터를 '레드팀(사이버보안팀)'과 '블루팀(그룹 통합보안관제)'을 동시에 운영한다. 레드팀은 각 계열사의 화이트해커 인력을 투입해 비대면 앱·웹에 대한 모의 해킹과 침투 테스트를 반복, 그룹 내 보안 취약점을 사전에 발굴한다. 블루팀은 KB데이타시스템과 협업해 24시간·365일 상시 모니터링하며, 이상 징후 발생 시 즉각적인 보고·대응 프로세스를 수행한다. KB금융은 신규 서비스 출시 전 단계부터 핵심 서비스의 운영 과정 전반에 이르기까지 주요 서비스에 대한 상시 점검 체계를 가동한다. 잠재적인 보안 위협을 사전 차단하고 서비스 안정성을 한층 강화한다는 계획이다. KB금융 관계자는 “보안은 금융서비스의 근간이자 고객과의 신뢰를 지키는 최우선 가치이고, 사이버 위협은 더 이상 개별 회사 차원의 문제가 아니라 금융산업 전체의 신뢰를 좌우하는 핵심 과제”라며, “앞으로도 KB금융은 AI 등 디지털 신기술을 적극적으로 활용한 선제적이고 체계적인 보안 체계를 구축하여 금융권 보안의 모범사례가 될 수 있도록 최선을 다할 것”이라고 말했다.

2026.01.06 11:05손희연 기자

에버스핀, '에버세이프 웹' 국정원 보안기능확인서 획득…공공 시장 저변 확대

인공지능(AI) 보안기업 에버스핀(대표 하영빈)은 웹 보안 솔루션 '에버세이프 웹(EverSafe Web)'이 국가정보원이 요구하는 보안기능확인서를 획득했다고 24일 밝혔다. 에버세이프 웹은 이번 인증으로 공공기관·공공 기준을 준용하는 금융·공기업 환경에서 보안성과 안정성을 공식적으로 검증받았다. 보안기능확인서는 국가정보원이 지정한 시험기관이 보안 기능과 운영 안정성을 사전에 심사·검증해 발급하는 인증이다. 확인서를 획득한 제품은 국정원 '안정성 검증 필수 제품 목록'에 등재된다. 목록에 포함된 솔루션은 공공기관이 별도 보안적합성 검증 절차 없이 즉시 도입할 수 있어, 도입 과정에서 발생하는 행정 부담과 검증 기간을 크게 줄일 수 있다. 에버세이프 웹은 에버스핀이 자체 개발한 AI-동정표적방어(MTD·Moving Target Defense) 기술을 기반으로 한 웹 보안 솔루션이다. AI가 스스로 보안 요소를 지속적으로 변화시키는 동적 방어 방식으로, 공격자가 분석을 시도하더라도 결국 성공에 이를 수 없도록 설계됐다. 웹 해킹·비인가 스크래핑·자동화 공격·크레덴셜스터핑 등 최근 급증하는 공격 시나리오를 선제적으로 차단한다. 에버세이프 웹은 에버스핀이 자체 개발한 AI-MTD 기술을 기반으로 한 웹 보안 솔루션이다. 에버스핀 관계자는 ”최근 화두로 떠오르고 있는 AI발 보안위협으로 부터 안전하기 위해서는 해커의 공격을 탐지하는 보안 요소를 지속적으로 변화시키는 지능화된 동적 방어 방식이 필요하다“며 ”에버세이프 웹은 이러한 유형에 착안해 공격자가 분석을 시도하더라도 결국 성공에 이를 수 없도록 설계해 웹 해킹·비인가 스크래핑·자동화 공격·크레덴셜스터핑 등 최근 급증하는 공격 시나리오를 선제적으로 차단한다“고 설명했다. 에버세이프 웹은 금융권과 공공기관, 대규모 트래픽이 집중되는 서비스 환경에서 실제 운영을 통해 효과를 검증받아 왔다. 금융사를 중심으로 웹·앱 기반 서비스 위·변조 방지, 자동화 공격 차단, 사용자 단 보안 강화를 위한 핵심 보안 인프라로 활용되고 있다. 에버스핀의 보안기능확인서 획득으로 에버세이프 웹을 도입하는 기관과 기업은 실질적인 이점을 얻게 된다. 공공기관은 별도 보안적합성 검증 절차 없이 즉시 도입할 수 있고 금융기관과 공기업, 공공 기준을 준용하는 민간 기업 역시 보안 솔루션 도입에 따른 내부 감사·책임 부담을 완화할 수 있다. 동시에 AI-MTD 기반 동적 보안 구조를 통해 고도화되는 웹 공격에 실질적인 방어력을 확보할 수 있다. 에버스핀 관계자는 “보안기능확인서 획득은 에버세이프 웹이 기술적 성능뿐 아니라 공공 환경에서 요구되는 안정성과 운영 적합성까지 공식적으로 검증받았다는 의미”라며 “웹 보안에 대한 요구 수준이 높아지는 상황에서, 에버스핀은 금융권 보안을 주도하고 있는 만큼 공공과 민간 모두가 금융권 수준으로 보안을 끌어올리는데 에버세이프 웹을 통해 이바지하겠다”고 전했다. 한편, 에버스핀은 AI-MTD 기반 보안 기술로 고정된 방어가 아닌 '해커보다 먼저 움직이는 선제적 보안'으로 최근 '2025 대한민국 SW대상' 대통령상 수상에 이어 일본 SBI그룹 대규모 통합계약을 체결했다.

2025.12.24 15:48주문정 기자

금보원, 중소 금융사 AI 기반 보이스피싱 대응 지원한다

금융보안원은 중소형 금융회사의 인공지능(AI) 기반 보이스피싱 대응 역량 강화를 위해 다른 기관과 협력을 추진한다. 보이스피싱이 AI 기능을 악용하면서 점차 고도화됨에 따라 위협이 커진 만큼 대응이 필요한 중소형 금융회사에 대한 보안 지원에 나선 것이다. 금융보안원은 지난 18일 인터넷은행, 상호금융업권중앙회, 저축은행중앙회, 우정사업본부와 함께 보이스피싱 대응 역량 강화를 위한 양해각서(MOU)를 체결했다고 밝혔다. 이번 협력 체결은 AI 기반 이상거래 탐지 시스템(FDS) 운영 등 보이스피싱 대응 고도화에 사고 어려움을 겪고 있는 중소 금융회사를 위해 금융보안원과 인터넷은행이 AI 모델 공동 개발 등을 지원하는 것을 골자로 하고 있다. 아울러 금융보안원이 운영 중인 '보이스피싱 정보공유·분석 AI 플랫폼(ASAP)'과 연계함으로써 중소 금융업권의 보이스피싱 대응 수준 강화를 목적으로 추진됐다. 김태훈 금융위원회 금융안전과장은 "보이스피싱 수법이 날로 지능화·고도화됨에 따라 전 금융권의 공조가 필수적"이라며 "인터넷은행의 기술적 노하우를 상호금융 및 저축은행업권 등에 공유함으로써, 민간이 주도해 금융권 전체의 대응 역량을 상향시키는 모범 사례가 될 것"이라고 말했다. 이혁준 금융보안원 AI기술팀장은 보이스피싱 플랫폼에서의 AI 분석 기능 개발 현황을 주제로 발표를 진행했다. 지난해부터 금융보안원과 인터넷은행 3사가 연합학습 기술을 활용해 보이스피싱 탐지 AI 공동 모델 개발을 추진해 온 결과, 올해 11월 1차 개발을 완료한 것으로 나타났다. 이에 이 팀장은 향후 성능 테스트 및 고도화 등을 거쳐 다른 은행 및 업권으로 확산할 예정이라고 밝혔다. 카카오뱅크 이종태 AI 기술전략팀장은 보이스피싱 대응 AI 기술 할용 사례 발표에서 보이스피싱 의심 거래를 AI가 선별하도록 해 업무 부담을 낮추고, 탐지 효과는 높였다고 관련 사례에 대해 발표했다. 박상원 금융보안원장은 "금융보안원과 인터넷은행이 개발한'보이스피싱 탐지 AI 공동 모델'을 확산시켜 금융권 전반의 보이스 피싱 대응 역량을 함께 강화하는 것이 중요하다"며 "전반적 역량을 강화하지 못하면 금융사기는 대응 역량이 높은 금융회사에서 낮은 금융회사로 옮겨가는 전이효과가 나타날 수 있다"고 설명했다. 박 원장은 이어 "이번 MOU는 중소 금융회사의 AI 공동 모델 활용을 미리 준비하는 것이며, 향후 실질적 협력을 추진함으로써 금융권 전반의 보이스피싱 대응 수준 향상을 위해 노력하겠다"고 밝혔다.

2025.12.19 13:33김기찬 기자

금보원, 개인·신용정보 수탁자 공동 점검 세미나 성료

금융보안원은 지난 12일 여의도 금융투자협회 불스홀에서 전 금융권 위·수탁자가 참여한 '2025년도 개인 (신용)정보 수탁자 공동 점검 세미나'를 성황리에 개최했다고 17일 밝혔다. 이번 세미나는 개인(신용)정보 리스크 관리를 위한 선제적 준비의 일환으로 130명 이상의 금권 위·수탁자 담당자들이 참석해 수탁자 리스크 관리 역량을 강화하고 2026년 공동점검 방향을 공유하기 위해 마련됐다. 앞서 금융보안원은 2017년부터 금융회사 개별로 수행하던 개인(신용)정보 수탁자 점검을 공동점검 방식으로 통합 운영하기 시작했다. 대형보험대리점(GA)에 대해 특별 현장점검을 실시하는 등 개인(신용)정보 리스크 관리를 중요하게 인식한 데 따른 것이다. 이날 김도엽 김&장 법률사무소 변호사는 '개인(신용)정보 최신 이슈 및 법적 의무 사항'을 주제로 발표했다. 그는 최근 법령 개정 동향, 분쟁 및 사고 사례를 공유하며, 신기술 활용 확대로 신규 리스크가 생겨나고 있다고 강조했다. 이어 최찬영 금융보안원 개인정보점검팀장은 '2025년 수탁자 공동 점검 결과와 내년 점검 방향'을 주제로 ▲공동점검 추진 현황 ▲공동점검 종합 및 업종별 결과 ▲공동점검 개선 사항 등에 대해 공유했다. 금융보안원은 향후 수탁자의 사후관리 강화를 위해 현장점검을 내년부터 확대 실시할 방침이다. 아울러 점검 결과를 위수탁 관계에 투명하게 공유해 보안 수준을 높일 계획이다. 또한 수탁자 업종이 다양해지고 업무 외연이 확대되고 있는 만큼 제3자 리스크에 대비해 전담 조직도 신설한다. 위수탁 시 제3자 보안 관리를 체계적으로 수행할 수 있도록 추진할 방침이다. 박상원 금융보안원장은 "개인정보보호의 중요성이 그 어느 때보다 강조되는 현시점에서, 보호 체계의 최종 단계에 있는 수탁자의 보호 역량이 제고될수록 금융권 신뢰도 한층 공고해진다"며 "금융보안원은 수탁자의 개인(신용) 정보 보호 수준이 한층 더 견고하게 확립될 수 있도록 필요한 지원과 관리 기반을 지속적으로 강화해 나가겠다"고 밝혔다.

2025.12.17 15:24김기찬 기자

에버스핀, 日 SBI 금융그룹 보안 책임진다

에버스핀이 일본 초대형 금융그룹사 보안을 책임진다. AI 보안기업 에버스핀 (대표 하영빈)은 일본 SBI홀딩스(대표이사 겸 회장 기타오 요시타카)와 두 회사의 합작법인인 SBI에버스핀(대표 윤자명)과 함께 SBI그룹의 보안 강화를 위한 3자 글로벌 보안 협력 강화를 선언했다고 15일 밝혔다. 이번 협력 선언은 에버스핀이 해외 시장에서 본격적인 사업 확장 단계에 진입했음을 보여주는 중요한 이정표로 평가된다. 이번 협력 강화 선언은 에버스핀 솔루션을 SBI 금융그룹 전사 보안체계에 공식 적용하기 위해 SBI홀딩스와 SBI에버스핀이 체결한 대규모 통합 보안 계약을 기반으로 마련됐다. 에버스핀은 프로젝트 핵심 보안 기술 제공사로 공식적인 역할을 수행하게 된다. 에버스핀 기술이 해외 대형 금융그룹 보안 아키텍처에 전사적으로 적용되는 것은 이번이 처음이다. 국내 AI 보안 기술이 글로벌 금융권에서 실질적 경쟁력을 인정받은 사례다. SBI홀딩스와 SBI에버스핀은 SBI그룹 내 금융·투자·플랫폼 서비스 전반의 보안 거버넌스 체계 강화를 위한 포괄적 보안계약을 체결했다. 에버스핀 AI보안 기술은 이 아키텍처의 주요 구성 요소로써 그룹 각사에 도입된다. 또 SBI에버스핀 지분율 30%를 보유하고 있는 에버스핀 측은 SBI에버스핀을 통해 지급받는 로열티 수익 이외에도 지분법 이익을 인식할 수 있어서, 에버스핀 이익에도 선순환을 가져오게 된다고 전했다. 이번 사례는 단순 기술 공급을 넘어 에버스핀의 해외 사업 모델이 본격적으로 확장되는 중요한 계기가 될 전망이다. 하영빈 에버스핀 대표는 “이번 3자 협력은 에버스핀 기술력이 글로벌 금융권에서 공식적으로 인정받은 첫 사례이며, 해외 사업 확장의 출발점이 될 것”이라며 “향후 일본 시장뿐 아니라 아시아·북미 등 주요 해외 시장으로 기술 공급을 확대하고 글로벌 파트너십을 강화하겠다”고 밝혔다. 업계에서는 이번 협력이 해외 대형 금융그룹 대상 기술 도입 사례 확보, 글로벌 수준의 레퍼런스 구축, 향후 해외 금융권 협력 확대 기반 마련등의 측면에서 에버스핀에 중요한 의미를 갖는 것으로 보고 있다. 에버스핀은 이번 프로젝트를 기반으로 일본 금융권 내 확산, 아시아 주요 금융기관 협력 추진, 선제적 보안 기술의 글로벌화 등 해외시장 확장 전략을 단계적으로 가속할 계획이다. 한편, 에버스핀은 이달초 AI-동적표적방어(MTD) 기반 웹·앱 보안 솔루션 '에버세이프'로 기술력을 인정받아 '2025 대한민국 소프트웨어대상'에서 대통령상을 수상한 바 있다. 이는 공격 이후 대응이 아닌 공격 자체를 사전에 무력화하는 선제적 보안 기술의 실효성을 국가 차원에서 공식적으로 인정받은 사례로, 최근 빈발하는 대형 해킹 사고에 대한 현실적인 해법을 제시했다는 평가를 받고 있다.

2025.12.15 09:18주문정 기자

메가존클라우드, 우리은행 '그룹공동 클라우드 플랫폼' 구축…금융권 공략 박차

메가존클라우드가 맞춤형 클라우드 서비스 구축 역량을 입증하며 국내 금융권 사업 확산을 가속한다. 메가존클라우드는 우리은행의 '그룹공동 클라우드 플랫폼 구축' 사업을 완료했다고 27일 밝혔다. 우리은행의 그룹공동 클라우드 플랫폼 구축은 내부 개발·운영을 지원하는 서비스형 플랫폼(PaaS)과 외부 인프라 및 신기술을 활용하는 퍼블릭 클라우드를 통합 운영할 수 있는 환경을 구축하는 사업이다. 우리은행은 2019년부터 우리금융그룹 전반에 클라우드 환경을 단계적으로 구축해왔으며 현재 우리WON지갑과 오픈API 서비스 등 약 130여 개의 업무를 클라우드 기반에서 운영 중이다. 메가존클라우드는 이번 프로젝트에서 클라우드 플랫폼 구축의 최종 단계를 담당해 PaaS 환경을 구축하고 퍼블릭 클라우드 활용을 위한 거버넌스 체계를 확립했다. 이번 프로젝트는 지난해 9월부터 1년간 진행됐으며 메가존클라우드는 금융업에 요구되는 엄격한 보안 요건을 충족하면서도 디지털 서비스를 빠르게 개발하고 운영할 수 있도록 클라우드 환경을 구축했다. 설계부터 구축, 운영관리 체계 수립까지 전 과정을 총괄하며 클라우드 자원을 손쉽게 활용할 수 있는 플랫폼 포털을 구축했으며 거버넌스 체계 마련 등 우리은행의 디지털 전환을 위한 핵심 기반을 마련했다. PaaS 환경은 글로벌 기준으로 안정성이 입증된 레드햇의 오픈시프트를 기반으로 구현됐으며 이를 관리할 수 있는 포털과 개발·배포를 위한 자동화 환경까지 포함해 완전한 플랫폼 체계를 완성했다. 또 메가존클라우드는 이번 프로젝트에 시중은행 최초로 금융감독기관의 요건에 충족하는 지속적 통합·배포(CI·CD)를 구축했다. CI·CD는 소프트웨어(SW)를 개발하고 배포하는 전 과정을 자동화하는 기술로, 개발자가 코드를 작성하면 테스트·승인·배포까지 자동으로 처리한다. 이를 통해 서비스 배포 속도를 단축하고 오류나 보안 문제는 사전에 차단할 수 있게 됐다. 아울러 메가존클라우드는 금융권의 까다로운 보안·규제 요건을 충족하기 위해 퍼블릭 클라우드 기반의 거버넌스 체계를 직접 설계·구축했다. 우리은행의 표준 보안 정책은 물론 ISMS-P, ISO 27001 등 국내외 인증 기준을 반영해 은행이 안심하고 서비스를 운영할 수 있는 최적화된 보안·운영 관리 체계를 마련했다. 우리은행 관계자는 "이번 그룹공동 클라우드 플랫폼 구축은 단순한 IT 인프라 도입이 아니라 디지털 금융 서비스를 한층 빠르고 안정적으로 제공할 수 있는 토대를 마련한 중요한 전환점"이라며 "메가존클라우드의 전문적인 지원을 통해 개발과 운영의 효율성을 높였고 이를 바탕으로 그룹 차원의 디지털 혁신을 가속화하며 금융 시장에서의 경쟁력을 강화해 나가겠다"고 말했다. 메가존클라우드 황인철 최고수익책임자(CRO)는 "이번 프로젝트를 통해 우리은행이 우리금융 계열사의 다양한 요구에 유연하게 대응할 수 있는 클라우드 환경을 구축할 수 있도록 지원했다"며 "우리은행의 디지털 전환 과정에 함께하며 쌓은 경험을 토대로 앞으로도 금융권 고객이 안정성과 민첩성을 동시에 확보할 수 있도록 최적의 클라우드 기술과 서비스를 제공하겠다"고 밝혔다.

2025.11.27 17:13한정호 기자

금보원 "데이터 규모 늘어 보안 위험↑…PET 활용해야"

금융보안원은 개인정보 보호 강화 기술(PET)의 특성과 금융권 적용 분야 분석, 개선 과제 등을 체계적으로 정리한 연구보고서를 공개했다고 24일 밝혔다. 최근 데이터 규모가 늘어남에 따라 개인정보 유출 등 보안 위험이 커지는 만큼 안전한 데이터 활용을 위해서다. PET는 개인정보 원본을 공개하지 않은 상태에서 개인정보를 활용해 계산·분석 등 정보 처리를 하는 기술로, 데이터 활용화 프라이버시 보호의 균형을 달성할 기술로 알려져 있다. 예를 들어 합성데이터, 차분프라이버시, 동형암호, 영지식 증명 등이 PET에 해당한다. 구체적으로 재식별 위험을 완화하기 위해 개인 식별성 축소, 은닉, 데이터 분할 등의 방식으로 PET를 도입해 침해 위험을 낮추고 안전한 데이터 활용이 가능하다. 금융보안원이 발간한 보고서에 따르면 PET 기술 성숙도는 최근 높아지면서 전 세계적으로 의료, 제조 등 개인정보를 취급하는 모든 데이터 공유 환경에서 활용되고 있다. 특히 금융업의 경우 특성상 다량의 개인(신용)정보를 취급하고 있는 만큼 이상 거래 탐지(FDS) 등 목적으로 적극 활용하는 추세다. 그러나 보고서는 금융데이터 공유·활용 유형이 다양해지면서 상황별로 요구하는 보호 수준이 달라지고 있어 공유·활용 방식에 따라 적절한 PET 기술이 필요하다고 제언했다. 적절한 PET 기술을 적용함으로써 데이터 과보호 또는 과소 보호를 줄이고, 도입 이후에도 발생할 수 있는 재식별 위험을 지속적으로 점검해야 한다는 것이다. 또 법적 준거성과 검증 가능성을 확인할 수 있는 표준화된 관리 절차를 확보하는 데 활용돼야 한다고 보고서는 강조했다. 아울러 보고서는 금융권의 효과적인 PET 도입을 위해 ▲기술 표준화 등 기술 활성을 위한 생태계 조성 ▲PET 친화적인 규제 수립 ▲금융권 공통 검증 지표 정립을 통해 실증 연구 및 활용 기반 마련이 필요하다고 주문했다. 이에 금융보안원은 PET 도입의 일환으로 금융권 합성데이터 상용화를 위해 합성데이터 익명성 평가 방안을 마련하고 있다. 또 은행권 공동 FDS 모델 구축을 목적으로 연합학습 및 차분프라이버시를 활용해 각 금융사가 보유한 정보를 공개 없이 이용 가능하도록 추진 중이다. 향후에도 금융보안원은 개인(신용)정보보호 및 데이터 보호 업무를 기반으로 PET 활용을 위한 실증 연구를 단계적으로 진행하고, 제도·기술적으로 지원할 계획이다. 박상원 금융보안원장은 "인공지능(AI) 활용이 본격화되는 금융환경에서 데이터 활용 과정에서도 프라이버시 침해를 최소화할 수 있는 PET의 중요성이 한층 커질 것"이라며 "금융보안원은 PET의 실무 적용을 통해 금융권의 신뢰 기반의 데이터 공유 환경을 구축할 수 있도록 적극 지원하겠다"고 밝혔다.

2025.11.24 09:54김기찬 기자

"금융권, AI 더 확산되기 전에 보안 체계 갖춰야"

인공지능(AI) 모델에 대한 공격자 관점의 보안 위협 분석이 중요하다는 제언이 나왔다. AI 모델 공격은 시스템 조작을 통해 시장을 왜곡하거나 공공 시스템 전체를 위협할 수 있기 때문이다. 송은지 금융보안원 수석은 20일 개최된 국내 최대 금융 정보보호 컨퍼런스인 'FISCON 2025'에서 이같은 내용을 중심으로 한 세션 발표를 진행했다. 이날 송 수석은 '금융분야 AI 레드티밍 동향과 미래'를 주제로 발표했다. 보안업계에 따르면 레드티밍, 즉 레드팀은 공격자 관점에서 기업이나 기관의 취약점이나 미흡한 보안 사항을 선제적으로 찾아내 조치할 수 있도록 알려주는 역할을 한다. 송 수석은 기업이나 기관의 취약점이 아니라 AI 시스템에도 이같은 공격자 관점의 취약점 분석이 필요하다고 강조했다. 그는 "금융권에서 AI는 이미 핵심 의사결정에 깊이 관여하고, 그 결정 하나하나가 고객의 자산과 부결된다"며 "특히 금융산업의 특성상 잘못된 투자 조언이나 사기, 펀드 시스템 오작동 등은 개인 자산 손실로도 이어질 수 있고, AI 챗봇의 오작동은 금융회사의 실패로 이어져 그 파장도 더욱 크다"고 진단했다. 이에 송 수석은 "아직 금융권에서 AI를 백오피스에서만 활용하는 수준으로 도입하고 있는 만큼 AI가 제한된 서비스에 머무르는 동안 보안 체계를 구축하고, 조직의 대응 능력을 향상해야 한다"며 "AI가 핵심 금융 서비스 전반으로 확대된 후에 보안 체계를 갖추기엔 너무 늦었다"고 지적했다. 따라서 "AI 모델에 대한 공격 시도들이 정교화되고 있는 만큼 어떤 공격 유형이 있는지 선제적으로 파악하고, 취약점을 조치할 수 있어야 한다"고 역설했다. 한편 송 수석은 이날 AI 시스템을 대상으로 한 주요 공격 기법 등에 대해 소개하고, 대응 전략에 대해서도 구체적으로 설명하는 시간을 가졌다.

2025.11.20 20:11김기찬 기자

내년 금융권 보안 이슈는?…"LEAD CHANGE"

내년 디지털 금융보안 전망 키워드로 'LEAD CHANGE'가 꼽혔다. 디지털 자산을 둘러싼 미비된 법제도, 인공지능(AI)의 금융시장 진입, 고도화하는 공격자들 등 내년 금융권을 둘러싼 보안 이슈 10가지를 금융보안원이 선정한 것이다. 조주영 금융보안원 책임은 20일 개최된 금융 정보보안 컨퍼런스 'FISCON 2025'에서 '2026년 디지털 금융보안 이슈 전망'을 주제로 발표했다. 조 책임은 내년 디지털 금융보안 전망 키워드로 FISCON 2025의 슬로건인 'LEAD CHANGE'를 지목했다. 금융회사 임원과 실무진을 대상으로 설문조사를 실시해 종합한 결과다. "보안 사고가 금융사 존폐 좌우한다" 조 책임은 첫 번째 금융권 보안 이슈로 "보안 위험이 금융 회사가 문을 닫을 수도 있는 핵심 리스크로 부상했다"며 "금융회사 자체의 보안 역량 강화 요구도 높아지고 있다"고 진단했다. 조 책임은 2023년 말 미국의 금융 회사인 내셔널 퍼블릭의 데이터가 해킹을 당해 2억7천만명의 개인정보가 유출됐고, 결국 회사가 파산을 신청하게 된 사례를 강조했다. 그만큼 한 번의 보안 사고가 기업의 존폐를 좌우할 수 있다는 경고인 셈이다. 조 책임은 "국내외로 보안 사고가 늘면서 정책적으로도 금융 회사의 보안 책임이 한층 강조되고 있다"며 "IMF(국제통화기금)의 금융안정 보고서를 보면 보안 사고 발생 시 금융 안정성을 직접적으로 위협한다고 분석하고 있다"고 강조했다. 이에 조 책임은 금융보안 주체 간 역할을 재정립하고, 금융회사 자체의 보안 역량 강화에 힘써야 한다고 주문했다. "보안은 특정 조직 역할 아냐…전사적 책임 부여 필요" 다음으로 '전사적 보안문화 구축'이 내년 보안 이슈로 꼽혔다. 조 책임은 이사회 등 경영진의 보안에 대한 인식이 너무 낮으며, 전사적으로도 보안을 특정 조직의 역할로만 여기는 문화가 여전하다고 지적했다. 이에 그는 "모든 임직원에게 보안에 대한 역할 및 책임을 부여해야 한다"며 "경영진 역시 전략적 사고와 보안 내재화가 필요하다"고 강조했다. 이어 조 책임은 "영국이나 호주와 같은 해외 주요국들은 보안조직뿐 아니라 비즈니스 부서나 외부 감사 조직까지 역할을 부여하는 편성 보안 방어 체계를 도입하고 있다"며 "보안을 특정 부서의 문제로만 인식하면 아무리 기술을 강화한다고 해도 사고는 반복될 수밖에 없다"고 짚었다. "AI發 금융 보안 위기…대책 마련해야" AI의 금융시장 진입도 주목할 대목이다. 조 책임은 "AI 에이전트에 대한 금융권 관심이 늘어나고 있다. 이에 따른 새로운 보안 위험도 커지는 추세"라고 진단했다. 조 책임 발표에 따르면 AI 에이전트 시장 규모는 연평균 45.4%의 성장세를 보일 것으로 관측된다. 시장 성장세가 가파른 만큼 AI 에이전트 도입을 서두르고 있는 금융권 역시 AI 활용에 있어 거버넌스 체계를 확립해야 한다는 것이 조 책임의 주장이다. 아울러 조 책임은 "아전한 AI 에이전트 활용을 위해 엄격한 인증 및 권한 관리, 공급망 및 전이 공격 대비 등 AI 에이전트 보안 대책을 마련해야 할 것"이라고 역설했다. "디지털 자산 관련 제도 구체화 필수" 스테이블코인이 촉발한 디지털자산 시대가 다가오고 있는 가운데 미비된 법제도로 인한 위험도 금융권 최대 보안 이슈 중 하나다. 조 책임은 "법제화 추진으로 디지털 자산이 금융 제도권에 편입됐으나, 디지털 자산 보안 규제에 대한 구체적인 내용은 부재한 상황"이라며 "이런 제도의 공백 속에서 디지털 자산을 노린 해킹이나 보안 사고가 발생하면 시장 신뢰나 활성화에 큰 타격을 줄 수밖에 없다"고 강조했다. 이에 그는 "안정성 확보를 위해 디지털 자산 발행 및 유통 등에 대한 보안 강화가 필요한 시점"이라고 주문했다. "디지털 신원 확인 복잡해져 위험 늘었다" 모바일 신분증 도입이 빨라지고 있는 만큼 디지털 신원 확인 방식도 다양해지고 있다. 조 책임은 내년부터 디지털 신원의 복잡화로 위험도 증가할 것으로 예상했다. 조 책임은 "디지털 신원의 복잡화와 더불어 비인간신원 보안에 따른 위험도 상존하고 있다"며 "통합 신원 관리 프레임 워크를 구축해야 한다"고 강조했다. 그는 "분산되고 다층화된 신원 확인 환경은 관리 허점이 생기기 쉽고 권한 남용이나 계정 탈취가 발생하면 조직 전체의 피해로 이어질 수 있기 때문에 관리가 필요하다"고 주문했다. "보이스피싱은 이제 기업 내부 리스크로 발전" 단순히 전화 사기에 그쳤던 보이스피싱 범죄도 최근 급격하게 정교해지면서 피해를 확산하고 있다. 이에 조 책임은 보이스피싱에 대한 기술적 대응 역량을 갖춰야 한다고 제언했다. 그는 "보이스피싱은 최근 AI 기반 맞춤형 조직화된 범죄로 진화하고 있다"며 "피해 대상도 개인을 넘어서 기업 내부 직원까지 확산되고 있어 소비자 보호뿐 아니라 기업 내부 리스크 관리 측면에서도 중요한 이슈"라고 진단했다. 이어 조 책임은 "AI 기술이 더해져 구분하기 어려운 합성 음성을 통한 사기 사례도 늘어나고 있다"며 "보이스피싱 근절을 위한 범국가적 협력체계를 확립해야 한다"고 밝혔다. "3중·4중 협박 랜섬웨어…내년도 이어질 것" 기업이나 기관의 정보를 탈취해 암호화하고 금전을 요구하는 '랜섬웨어' 공격도 내년 주요 보안 이슈로 꼽힌다. 조 책임은 "랜섬웨어 공격은 피해가 빠르게 확산되고 복구 비용과 서비스 중단 피해가 매우 크기 때문에 내년에도 발생할 위험이 크다"며 "더욱이 랜섬웨어 공격자들이 백업 데이터까지도 암호화해 복구 자체를 불가능하게 만드는 사례가 늘고 있다"고 말했다. 그는 "랜섬웨어 집단들이 3중, 4중으로 협박을 가하고 있는 만큼 랜섬웨어 피해를 줄이기 위해 공격표면 관리 및 회복력 확보에 주력해야 한다"며 "변조가 불가능한 백업과, 오프사이트(오프라인 장치) 백업도 필수"라고 진단했다. 클라우드 '구성관리' 핵심…제로트러스트도 점진적 확대 필요 이 외에도 소프트웨어 공급망 사고가 금융 회사로 전이되는 해외 사례도 공급망 공격 사례도 포착된 만큼 SBOM을 통해 보안을 강화해야 한다는 제언도 잇따랐다. 또 금융권에서 클라우드 이용이 확산하고 있는 만큼 자동화 도구와 전문 인력을 통한 클라우드 구성 관리 강화에 주력해야 한다고 조 책임은 강조했다. 끝으로 금융 분야에서도 제로트러스트(Zero Trust) 구현을 통해 위협에 대응해야 한다는 제언이 나왔다. 조 책임은 우선 재택근무 등 보안이 취약한 환경에 제로트러스트를 도입하고, 전사에 일괄 적용하는 식으로 점차 제로트러스트 보안 전략을 확대해야 한다고 역설했다.

2025.11.20 20:03김기찬 기자

이호성 하나銀 "금융 보안 선진화"

하나은행은 20일 오전 서울 여의도 콘래드 호텔에서 금융보안원이 주최한 '금융정보보호 컨퍼런스 2025'에서 금융위원장 정보보호 유공자 표창을 수상했다고 밝혔다. 하나은행은 ▲비대면 및 사이버 금융환경의 안정성 확보와 변화 대응 ▲소통과 협업으로 만들어낸 정보보호 가치 확산 ▲다계층 보안 방어체계 마련을 통한 사이버보안 위협 관리 ▲국내외 정보보호 관리 체계 인증 취득 및 유지관리 ▲보안 위협 사전 대응을 위한 정보보호 영향도 평가 방법론 수립 등 다양한 부문에서의 정보보호 강화 노력을 인정받았다. 이날 컨퍼런스에 참석한 이호성 하나은행장은 “이번 수상은 정보보호 침해 사고에 대응하는 당행의 강화된 정보보호 관리 체계의 우수성이 높은 평가를 받았다는 점에서 의미가 크다”며, “하나은행은 자율보안 중심의 금융보안 선진화를 바탕으로 정보보안 전반의 안정성 증대, 사이버 위협 대응, 지속 가능한 정보보호 문화 확산 등을 위한 노력을 지속할 방침이다”고 밝혔다. 한편, 하나은행은 금융보안 전담 기구인 금융보안원과 협업을 통해 사이버 위협 대응, 자율보안 체계 마련, 금융보안 정책 연구 등 금융소비자를 위한 안전한 금융 보안 환경 구축에 앞장서고 있다.

2025.11.20 14:32손희연 기자

금보원, 최대 금융보안 컨퍼런스 'FISCON 2025' 개막

금융보안원은 20일 서울 여의도 콘래드 호텔에서 'Leading the Change'를 주제로 국내 최대 금융정보보호 컨퍼런스인 'FISCON 2025'를 성공적으로 개최했다고 밝혔다. 이날 행사에는 금융회사를 비롯해 금융보안 전문가 등 1600여명이 참석했다. 이날 행사는 기조강연 및 특별 강연과 더불어 각 세션별로 세션 발표가 준비됐다. 주제 강연은 ▲디지털 금융 전략 ▲기술 혁신 트렌드 ▲위협 대응 3개 분야 총 18개 주제로 금융보안 최신 동향 및 이슈를 공유했다. 또한 SGA솔루션즈, 엔키화이트햇 등 유수 보안 기업들의 전시 부스도 마련됐다. 금융회사 보안담당자를 대상으로 진행된 비공개세션에서는 최근 이슈가 되고 있는 랜섬웨어의 공격 전략 및 전술 등을 분석하고, 2025년에 발생한 주요 IT 사고에 대한 대응방안도 깊이 있게 논의했다. 기조 강연은 임우형 LG AI연구원장이 진행했다. 임 원장은 국가대표 AI 5대 기업 선정 과정과 디지털금융에서의 AI 혁신 전략에 대해 발표했다. 이어진 특별강연에서는 최재붕 성균관대 교수와 서병윤 DSRV 이사가 금융 AI, 스테이블코인 등을 주제로 발표를 진행했다. 박상원 금융보안원장은 "AI는 인간의 개입 없이 스스로 판단하는 AI 에이전트로 진화하고 있으며, 디지털자산은 기존 금융 질서를 재편하고 있다"며 "이러한 변화만큼 보안 위협도 함께 커지고 있습니다. AI 악용, 피싱, 신원도용, 디지털자산 보안 문제 등 새로운 위험이 현실화 되고 있다"고 진단했다. 박 원장은 이어 "보안은 더 이상 비용이 아닌 미래를 위한 전략적 투자"라며 "보안은 금융회사의 운영, 평판, 재무 전반에 직결되는 핵심 리스크이자 경쟁력의 근간"이라고 강조했다.

2025.11.20 13:18김기찬 기자

피싱방지 앱 1위 에버스핀 '페이크파인더', ISMS로 공급망 보안 강화 해법 부상

인공지능(AI) 기반 사이버 보안 기업 에버스핀(대표 하영빈)의 피싱방지 솔루션 '페이크파인더'가 지난달 정부의 '범부처 정보보호 종합대책' 발표 이후 공급망 보안 강화를 위한 해법으로 또 한 번 주목받고 있다. KB국민은행·카카오뱅크 등 60여 개 금융기관이 사용하며 점유율 1위를 기록 중인 페이크파인더가 다시 주목받는 이유는 정보보호 관리체계(ISMS) 인증 때문이다. 정부는 최근 범부처 정보보호 종합대책에서 공공·금융·통신·플랫폼 등 핵심 IT 시스템에 대한 대대적인 보안 점검과 함께 정보보호 관리체계(ISMS·ISMS-P) 실효성 강화, 소프트웨어·서비스 공급망 전반 보안 수준 제고, 정보보호 서비스 산업 육성 등을 주요 방향으로 제시했다. ISMS 인증을 취득한 페이크파인더는 이같은 정책 기조 속에서 금융사·통신사·공공기관 등 고객사가 자체 시스템뿐 아니라 도입하는 외부 보안 솔루션까지 포함한 전체 디지털 공급망 보안의 강화기반으로 자리매김할 수 있게 됐다. 에버스핀은 과거 자회사 시큐차트가 최초 획득한 페이크파인더 ISMS 인증을, 합병 이후 새로운 기준에 맞춰 다시 전체 관리체계를 검증받아 ISMS를 취득했다. 페이크파인더는 세계 최초로 화이트리스트 방식 악성앱 탐지 기술을 적용했다. 전 세계에서 정상적으로 출시된 앱 2천200만 개 이상을 실시간으로 수집, DB화 한 고유 시스템을 바탕으로, 사용자 스마트폰에 설치된 앱이 정상 앱을 위장한 위조 앱인지, 정상 앱이 변조된 형태인지, 원격제어 앱이 악용되고 있는지 등을 정밀 분석해 피싱·스미싱·원격조작 기반 금융사기 공격을 사전에 차단한다. 기존 블랙리스트 방식처럼 '사고를 일으킨 앱'만 찾는 것이 아니라 정상 앱의 원형을 기준으로 조금이라도 어긋난 앱을 찾아내는 선제방어·사전예방형 구조다. 페이크파인더는 KB국민은행·카카오뱅크·한국투자증권·신한투자증권·KB국민카드·우리카드·DB손해보험·SBI저축은행·저축은행중앙회 등 60여 고객사에서 적용하는 등 국내 시장 점유율 1위를 달리고 있다. 에버스핀은 ISMS 인증 과정에서 페이크파인더 서비스 전반에 대해 ▲정보보호 정책 및 조직 체계 ▲위험 관리 프로세스 ▲접근통제·암호화·로그 관리 ▲서비스 운영 안정성 등 주요 항목에 대해 검증을 받았다. 그 결과 페이크파인더는 피싱·악성앱 탐지 성능뿐 아니라, 서비스 운영과 정보보호 관리 측면에서도 ISMS 기준에 부합하는 체계를 갖춘 솔루션으로 공식 인정받아 왔다. 에버스핀의 ISMS 인증으로 페이크파인더를 도입하는 금융·통신사·공공기관 등이 자체 서비스 내부 보안을 강화할 수 있음은 물론, 외부 보안 솔루션까지 포함한 디지털 공급망 전체에서의 컴플라이언스 요구를 더욱 안정적으로 충족할 수 있게 됐다. 최근 발생하는 보안사고는 단일 시스템의 취약점뿐 아니라 연동된 시스템·외부 솔루션·단말 환경 등 공급망 전반의 관리 책임이 함께 논의되는 상황이기 때문에, 관리 체계가 검증된 보안 솔루션을 활용하는 것은 공급망 보안 리스크를 줄이는 실질적인 수단이 될 수 있다. 하영빈 에버스핀 대표는 “정부의 범부처 정보보호 종합대책은 보안을 이제 개별 시스템의 문제가 아니라 연결된 전체 생태계와 공급망의 문제로 보겠다는 선언이라고 본다”며 “페이크파인더 ISMS 인증은 에버스핀이 피싱·악성앱 탐지 기술뿐 아니라, 관리 체계 측면에서도 고객사의 강화된 기준을 함께 맞춰 나갈 수 있는 준비를 갖췄다는 신호”라고 말했다.

2025.11.20 09:25주문정 기자

아톤, 과기정통부 장관 표창 수상…K-디지털 위상 높여

핀테크 보안 기업 아톤(대표 김종서, 우길수)은 지난 14일 서울 강남구 슈피겐홀에서 열린 '2025 대한민국 디지털 이노베이션 어워드' 시상식에서 부총리 겸 과학기술정보통신부(과기정통부) 장관 표창을 수상했다고 17일 밝혔다. 모바일OTP, 간편인증, PASS인증서 등 핀테크 인증 기술로 국내 디지털 금융 시장에 혁신을 가져오고 솔루션의 해외 공급을 통해 K-디지털 위상 제고에 기여한 점을 높이 평가받았다. 아톤은 2017년 KB국민은행에 국내 최초로 민간인증서를 공급하며 간편인증 시대의 포문을 열었다. 이후 신한은행, IBK기업은행, NH농협은행 등 주요 대형은행과 증권사에 사설인증서를 확대 공급하며 안전하고 편리한 간편인증 서비스 구축을 주도했다. 특히 2019년 통신 3사(SKT, KT, LGU+)와 함께 선보인 패스(PASS) 인증서는 현재까지 누적 발급 건수 1억건을 돌파하며 국민 인증서로 자리매김했다. 스마트폰 내에서 간편한 본인 인증과 전자서명이 가능해 2천600개에 달하는 민간 및 공공기관에서 폭넓게 활용되고 있다. 아톤의 모바일OTP는 국내 시장 발급 건수 5천만 건을 넘어 해외 시장에서도 주목받고 있다. 2017년 베트남을 시작으로 일본, 인도네시아, 인도, 캄보디아, 캐나다, 미국 등 7개국 현지 은행 및 증권사에 공급을 확장했다. 또한 아톤은 디지털 금융 환경 변화에 맞춰 차세대 보안 솔루션 개발에도 앞장서고 있다. 양자컴퓨팅 시대에 대응하기 위해 양자내성암호(PQC) 기반 인증•보안 솔루션 4종을 개발해 2025년 상용화했다. 이외에도 아톤은 올해 한국은행 주도의 중앙은행디지털화폐(CBDC) 실증사업에 참여해 민간 은행 대응 시스템을 구축했으며, 최근 NH농협은행 및 뮤직카우와 협력해 K-POP 콘텐츠 기반의 문화투자 상품과 원화 스테이블코인의 융합모델 개발을 추진하는 등 디지털자산 관련 비즈니스를 대응하고 있다. . 우길수 아톤 대표이사는 "이번 수상은 아톤이 국내 디지털 금융 인증 기술 혁신을 선도해 온 노력을 인정받았다는 점에서 큰 의미가 있다"며 "앞으로도 AI 기반 클라우드 보안, 양자보안 등 차세대 인증•보안 기술의 시장 공급에 집중하고, 글로벌 시장 진출을 가속화해 디지털 금융 생태계 발전에 기여하는 기업으로 성장해 나가겠다"고 말했다.

2025.11.17 14:11김기찬 기자

금보원, 금융위 핀테크 박람회서 세미나 개최한다

금융보안원은 금융위원회가 주최하는 글로벌 핀테크 박람회 '코리아 핀테크 위크 2025'에서 'AI 시대, 핀테크 보안의 오늘과 내일'을 주제로 금융보안 세미나를 개최한다고 17일 밝혔다. 코리아 핀테크 위크는 26일부터 28일까지 사흘간 개최된다. 금융보안 세미나는 27일 개최되며, AI확산에 따른 핀테크 보안 과제와 대응 방향을 논의한다. 구체적으로 금융보안원의 세션 발표 주제는 '금융권 AI 레드티밍 동향 및 항후 계획, '핀테크 서비스 모의해킹이란?-인증 우회 사례를 중심으로' 등 두 세션으로 구성된다. AI레드티밍은 AI 모델에 대한 보안점검 방식으로, 실제 공격자 관점에서 유해한 답변 생성, 민감정보 유출 등을 시도해 봄으로써 취약성과 편향성을 평가하는 활동을 말한다. 공격자의 관점에서 시스템의 취약점을 찾아내는 '레드팀'과 AI를 합쳐 생긴 말이다. 첫 번째 세션 발표에서 송은지 금융보안원 수석은 글로벌 AI 레드티밍 동향 및 취약점, 개선과제 등에 대해 공유하는 시간을 가진다. 또한 급변하는 AI 보안 환경에서 선제적으로 취해야 할 대응 전략을 제시한다. 두 번째 세션에서는 핀테크 서비스의 인증 우회 취약점에 대한 공격 시나리오를 실사례 기반으로 재구성해 위험성을 강조하고, 취약점의 원인 및 대응 방안을 공유할 예정이다. 박상원 금융보안원장은 "생성형 AI와 핀테크의 결합은 금융 산업의 혁신을 이끌고 있지만, AI 서비스를 공격하는 새로운 보안 위협도 그에 따라 증가하고 있다"며 "AI 레드티밍, 모의해킹과 같은 선제적 보안 점검을 통해 금융권이 안전하고 신뢰할 수 있는 핀테크 서비스를 제공할 수 있도록 적극 지원할 것"이라고 밝혔다.

2025.11.17 14:00김기찬 기자

Prev 1 2 3 4 5 Next