검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'금융 보안'통합검색 결과 입니다. (81건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

금융보안원 '10대 이슈' 발표…디지털 금융 변화 속 보안 전략 '재편'

금융보안원이 디지털 금융의 급변에 대응하고 보안 가치를 재정립하기 위해 금융사와 소비자가 대비해야 할 이슈를 정리했다. 금융보안원은 오는 2025년을 대비해 금융사가 주목해야 할 '디지털 금융 및 사이버 보안 10대 이슈'를 선정했다고 6일 밝혔다. 이번 발표에는 금융사와 소비자 각각의 관점에서 중점적으로 대비해야 할 항목이 포함됐으며 현업 종사자와 전문가의 의견이 반영됐다. 금융사 측면에서 가장 주목할 사안으로는 '금융보안 가치의 재정립'이 강조됐다. 지난 10년간 해외에 비해 보안 투자가 부족했던 한국 금융사들이 망분리 규제 완화 등과 함께 자율 보안 체계를 강화하며 글로벌 수준으로의 도약을 목표로 하고 있기 때문이다. 또 인공지능(AI) 기술 도입과 클라우드 서비스 제공자(CSP)와의 협력도 중요 이슈로 떠올랐다. 금융사들은 AI 기반 금융서비스의 실효성을 검증하고 CSP와의 협력 관계를 강화해 보안 리스크를 줄이는 동시에 혁신을 꾀해야 할 필요성이 커졌다. 양자컴퓨팅의 발달로 인한 기존 암호 인프라의 무력화 가능성도 중요한 이슈로 제기됐다. 이에 금융사에게는 양자내성 암호 도입 등 미래 보안 위협에 대비한 전략을 마련해야 할 필요성이 생겼다. 금융소비자들에게는 QR코드 피싱, 디지털 페르소나 악용, 생체정보 탈취 등 신종 보안 위협이 커지고 있다. 특히 QR코드 기반 큐싱(Qshing) 공격과 모바일 집중화로 인한 보안 위협이 증가할 것으로 예상돼 소비자 주의가 요구된다. 김철웅 금융보안원 원장은 "망분리, 자율보안 등 디지털금융을 둘러싸고 있는 정책이나 기술이 빠르게 변화하면서 금융회사의 고민이 커졌다"며 "이번에 우리가 선정한 디지털금융 및 사이버보안 이슈가 금융회사와 금융소비자 모두에게 미래 금융 보안 위험에 선제적으로 대응할 수 있는 인사이트를 제공하기를 기대한다"고 밝혔다.

2024.11.06 11:09조이환

에버스핀, '에버세이프·페이크파인더'로 아프리카 보안 시장 진출

인공지능(AI) 보안기업 에버스핀이 아프리카 사이버보안 시장에 진출한다. 에버스핀(대표 하영빈)은 지난 22일 남아프리카공화국 아프리코 홀딩스 PTY LTD와 파트너십 계약을 체결하고 에버스핀과 페이크파인더 등 보안 솔루션을 아프리카 전역에 공급하기로 합의했다고 24일 밝혔다. 에버스핀 관계자는 “이번 파트너십은 아프리카 대륙의 사이버보안 수요 증가와 에버스핀의 글로벌 확장 전략이 맞물려 성사됐다”고 설명했다. 아프리코는 요하네스버그에 본사를 둔 정보기술(IT) 솔루션 제공업체로, 남아공 정부·금융기관·의료기관 등 다양한 산업 분야에 걸쳐 빅데이터·사물인터넷(IoT)·네트워크 장비 등을 공급하고 있다. 아프리코는 남아공뿐만 아니라 아프리카 대륙 전체에 걸쳐 사업을 확대하는 한편, 이번 파트너십을 계기로 사이버보안 시장에도 진출할 수 있는 발판을 마련했다. 에버스핀은 이번 파트너십을 통해 에버세이프와 페이크파인더를 우선적으로 아프리카 시장에 공급할 예정이다. 안티해킹 솔루션 에버세이프는 MTD(Moving Target Defense) 기반 AI 기술을 적용해 실시간 위협 탐지와 차단을 제공한다. 웹과 모바일 환경 모두에 적용할 수 있다. 스스로 변화하는 보안모듈로 서비스를 보호하는 것이 핵심이다. 페이크파인더는 보이스피싱에 활용하는 악성앱을 탐지해 피해를 예방하는 솔루션이다. 피싱방지 분야에서 가장 고도화된 화이트리스트 기술로 국내 금융권 점유율 1위를 기록하고 있다. 에버스핀 관계자는 “최근 남아공을 비롯한 아프리카 대륙 전역에서 금융과 IT 인프라가 빠르게 발전하면서 사이버 위협도 함께 증가하고 있다”며 “에버스핀의 진출은 아프리카 현지 기업과 공공기관의 보안 강화에 중요한 역할을 할 것”으로 내다봤다. 이 관계자는 “아프리카 시장은 빠르게 디지털화하고 있고 사이버보안 수요도 급격히 증가하고 있다”며 “이번 파트너십을 통해 에버스핀의 글로벌 리더십을 강화하고, 현지 사정에 알맞은 보안을 제공할 계획”이라고 덧붙였다. 에버스핀은 앞으로 아프리코와 긴밀하게 협력해 아프리카 시장에서 입지를 다진다는 계획이다. 한편, 에버스핀은 ▲KB국민은행▲카카오뱅크 ▲NH농협은행▲IBK기업은행▲케이뱅크▲삼성카드▲삼성화재▲삼성생명▲한화손해보험▲한국투자증권▲KB증권▲저축은행중앙회▲손해보험협회▲생명보험협회 ▲코스콤 등 국내 80여 곳의 주요 금융사를 고객사로 두고 있으며 일본·인도네시아·베트남 등에도 보안 솔루션을 공급하고 있다.

2024.10.24 10:55주문정

웰로, 신한슈퍼SOL 앱에 정책데이터 제공한다

AI 기반 거브테크 스타트업 웰로(대표 김유리안나)가 신한금융그룹과 정책데이터API 연동 계약을 체결했다고 23일 밝혔다. 웰로는 신한슈퍼SOL 앱 사용자들이 맞춤형 정책정보를 확인할 수 있도록 신한금융그룹에 정책데이터를 제공한다. 웰로는 강력한 보안 인프라 운용 역량을 바탕으로 금융권 최대 규모의 정책데이터API 연동 계약을 성사시켰다. 웰로의 데이터API 연동 시스템은 신한금융그룹이 설정한 보안 요구사항을 충족하고 있다. 안전한 데이터 전송 체계를 갖춘 것은 물론, 대용량 데이터 처리를 효율적으로 수행할 수 있는 최적화된 환경을 제공한다. 솔루션의 차별화된 경쟁력도 인정받았다. 웰로 정책데이터API는 자체 검증 프로세스 거친 신뢰도 높은 분야별 정책정보를 실시간으로 전달할 뿐만 아니라, 자연어처리(NLP) 등 AI 기술을 활용해 고객 맞춤형 정책 추천 기능을 구현할 수 있도록 지원한다. 서비스 데이터베이스도 국내 최대 규모다. 웰로는 현재 전국 46개 중앙부처 및 593개 지방자치단체, 공익 재단, 민간 사회공헌기관 등 2천700여곳에서 업데이트되는 일평균 1만건 이상의 정책데이터를 자동으로 수집 및 분석 중이다. 이번 계약으로 핵심 금융기관을 신규 고객으로 유치함에 따라, 웰로의 정책데이터API 사업은 더욱 빠르게 확장될 전망이다. 웰로는 앞으로 금융사업자, 공공기관 등과의 파트너십을 적극 확대하며 국내 정책데이터 비즈니스 시장의 성장을 주도할 계획이다. 장기적으로는 글로벌 진출까지 염두에 두고 있다. 김유리안나 대표는 "오랜 기간 축적해온 정책 전문성을 비롯해, 보안 수준, 데이터 스케일 등 보유 역량 전반을 인정받아, 금융 혁신에 앞장서고 있는 신한금융그룹과 API 연동 파트너십을 맺게 됐다"며 "신한슈퍼SOL 생태계 사용자들에게 개인화된 정책 경험을 제공할 수 있도록 솔루션 고도화에 만전을 기하면서, 다채로운 페르소나 속성에 맞춰 정책데이터의 활용성을 제고할 수 있도록 보다 다양한 비즈니스 기회를 창출해 나가겠다"고 말했다.

2024.10.23 11:29백봉삼

"화이트해커 나선다"…금융보안원, 제2금융권 사이버 보안 강화 훈련 돌입

금융보안원이 진화하는 사이버 위협에 대응해 제2금융권의 사이버 보안 역량을 강화하기 위해 나섰다. 금융보안원은 오는 28일부터 다음달 8일까지 '블라인드 사이버 모의해킹(공격‧방어) 훈련'을 진행한다고 22일 밝혔다. 증권·보험·카드사 등 제2금융권을 대상으로 한 이번 훈련은 해킹 공격에 대한 금융권의 실질적인 대응 능력을 강화하기 위해 기획됐다. 사전 협의 없이 불시에 진행돼 금융회사는 해킹 일정에 대해 미리 통보받지 않는다. 이번 훈련에서는 금융보안원의 레드 아이리스(RED IRIS)팀이 가상의 공격자로 나서 서버 해킹과 디도스(DDoS) 공격을 시도하고 금융회사는 공격 탐지 및 방어 활동을 통해 대응 역량을 점검한다. 동시에 금융회사들이 가상의 디도스 공격을 탐지한 후 비상대응센터로 트래픽을 전환하는 훈련도 진행할 예정이다. 이 훈련을 통해 금융권은 비상 상황에서 금융 서비스의 연속성을 보장하는데 필요한 역량을 기를 수 있다. 또 이번 훈련에는 최근 발표된 '금융분야 망분리 개선 로드맵'에 포함된 생성 AI 관련 보안 대책 점검도 포함된다. 이는 신기술 도입으로 발생할 수 있는 사이버 위협에 대비해 금융 IT 환경의 안전성을 확보하려는 목적이다. 훈련을 통해 금융감독원과 금융보안원은 금융회사의 사이버 보안 시스템의 취약점을 파악하고 필요한 대응 절차를 개선할 예정이다. 특히 금융보안원은 훈련 이후 이행 점검을 통해 개선 사항을 지속적으로 모니터링할 계획이다. 김철웅 금융보안원장은 "디지털 시대의 금융 안전성은 철저한 사이버 보안 대비에서 시작된다"며 "이번 블라인드 모의해킹 훈련은 금융권의 사이버 복원력을 한층 더 강화하는 계기가 될 것"이라고 밝혔다.

2024.10.22 16:13조이환

금융보안원, 금융권 사이버 침해 방지 앞장선다

금융보안원이 금융회사들의 사이버 침해 위협을 방지하기 위해 팔을 걷어 부쳤다. 금융보안원은 금융권에서 발생한 사이버 침해사고 사례를 종합·분석한 금융권 침해대응 인텔리전스 플랫폼 구축 완료해 전 사원기관을 대상으로 본격적인 서비스를 시작했다고 21일 밝혔다. 인텔리전스 플랫폼은 금융보안원이 직접 조사한 침해사고 사례를 분석해 상호 통신, URL-IP 연결 등 침해지표 간의 관계를 시각적으로 제공한다. 침해지표(IoC)는 공격그룹, 악성코드, IP, URL 등으로 구성되며 각 지표 간 연관성을 분석하여 사내 보안정책 등에 적용할 수 있다. 이를 통해 보안담당자가 보안정책 및 대응체계를 강화할 수 있도록 기관별로 맞춤형 인사이트를 제시함으로써 유사 사고를 미리 예방하고 신속하게 대응할 수 있다. 데이터베이스화된 침해지표 등 모든 데이터는 STIX(Structured Threat Information expression) 표준 방식으로 관리되고 사고와 관련된 구체적인 정보는 모두 비식별화돼 참여하는 누구든 활용할 수 있다. 플랫폼 서비스는 그간 설명회와 시범운영을 통해 현장 의견을 적극 수렴해 기능을 최적화하는 과정을 거쳤다. 또 다양한 오픈소스를 활용해 금융권에 적합하게끔 신속하게 구축됐다. 금융보안원은 최신 위협에 대응하기 위해 플랫폼 서비스를 지속적으로 업데이트할 예정이다. 김철웅 금융보안원장은 "금융회사들이 인텔리전스 플랫폼을 적극 활용하면 사이버 침해 위협 발생 시 보다 용이하고 신속하게 대응할 수 있을 것"이라며 "앞으로 침해위협에 대한 분석을 국내외로 확장해 국가배후 해킹조직에 의한 고도화·지능화된 금융권 사이버 위협에도 선제적으로 대응하도록 만전을 기하겠다"고 밝혔다.

2024.10.21 16:39장유미

금보원이 제시한 생성형 AI 시대 금융보안 트렌드는

정부가 생성형 인공지능(AI) 시대의 금융환경 변화와 대응방안을 모색하는 장을 마련했다. 금융보안원은 내달 7일 여의도 콘래드서울 호텔에서 금융정보보호 컨퍼런스(FISCON) 2024'를 개최한다고 15일 밝혔다. FISCON 2024는 디지털 기술 발전과 규제 환경 등 혁신 속에서 안전과 신뢰를 기반으로 한 지속 가능한 비즈니스 전략을 모색하는 자리다. 디지털금융과 금융보안에 관심 있는 누구나 이달 15일부터 금보원 홈페이지에서 사전등록 하거나 당일 현장에서 신청하면 된다. FISCON 2024는 ▲오프닝 행사 ▲주제강연・비공개세션 ▲시상식 ▲정보보호 산업 전시로 구성된다. 이날 황성우 삼성SDS 대표가 기조강연을 진행한다. 생성형 AI 시대에 기술혁신이 가져올 금융환경 변화와 대응방안을 살필 방침이다. 미국·일본 금융 정보통신기반시설보호(ISAC) 전문가도 행사에 참석한다. 국제 사이버 보안 공조 강화를 위해 최신 정보보안 이슈, 각국 사이버 위협 동향 정보 등을 공유하는 시간을 가진다. 주제강연은 디지털금융을 비롯한 금융보안 전략·기술·대응 분야 3개 트랙으로 이뤄졌다. 총 15개의 주제 강연이 진행된다. 전략 부문 트랙은 금융보안의 원칙중심 규제를 위해 도입한 책무구조도, 자율보안 프레임워크를 통한 금융보안 선진화 전략 등 금융 비즈니스 환경 변화에 따른 보안전략을 다룬다. 기술 트랙은 금융 제로트러스트, 양자내성암호 전환 동향 등 금융권에 도입되는 디지털금융 혁신 기술의 현황과 트렌드를 다룬다. 대응 트랙은 AI기반 취약점 탐지, 금융 클라우드 보안 대응 등 고도화되는 디지털금융 위협에 대한 대응방안을 논의한다. 비공개 세션에서는 금보원 대의원사 보안담당자 대상으로 모의해킹 주요 취약점 사례 등 금융보안 주요 현안·이슈를 공유한다. 이 외에도 금보원은 '제8회 금융보안원 논문공모전'을 비롯한 '금융권 사이버 침해위협 분석대회' 'AI 경진대회 및 아이디어 공모전' 수상작 시상식과 전시도 연다. 김철웅 금보원 원장은 "어느 때보다 큰 변화가 일어나고 있는 IT 및 금융 비즈니스 환경에서 적응하기 위해 글로벌 금융보안 트렌드를 살펴보며 새로운 대응 전략을 마련할 필요가 있다"면서 "이번 행사가 거대한 변화 속에서 지속가능한 금융보안 전략을 모색하고, 빠르게 진화하는 사이버 위협에 대한 해결방안을 함께 나눌 수 있는 교류의 장이 되길 바란다"고 밝혔다.

2024.10.15 17:35김미정

SAP 코리아, 금융권 망 분리 발맞춰 CSP 대상 안전성 평가 완료

SAP 코리아가 클라우드 서비스 제공 업체(CSP)들을 대상으로 안전성을 평가했다. 지난 5월 금융위원회가 '클라우드 기반 서비스형 소프트웨어(SaaS)의 내부망 이용'을 혁신금융서비스로 새로 지정하며 금융권 망 분리 완화 움직임이 본격화됐기 때문이다. SAP 코리아는 금융 보안원이 실시하는 CSP 대상 안전성 대표 평가를 완료했다고 30일 밝혔다. SAP 코리아는 금융 보안원의 확인 평가를 앞두고 있으며 오는 11월 내 평가를 최종 완료할 계획이다. 이번 평가는 SAP S/4하나(HANA) 클라우드 프라이빗 에디션을 대상으로 이뤄졌다. SAP S/4하나 클라우드 프라이빗 에디션은 라이즈 위드 SAP의 일부인 클라우드 기반 전사적 자원관리 시스템(ERP)으로 기업의 요구에 맞춰 ERP 소프트웨어(SW)를 조정할 수 있다. 또 SaaS 형태의 구독 서비스로 시장 변화에 유연하게 적응할 수 있다. SAP코리아는 향후 금융사가 SAP S/4하나 클라우드 프라이빗 에디션을 도입하게 될 경우 금융 보안원의 대표평가 결과를 이용해 빠른 안전성 파악과 신속한 클라우드 전환이 가능하다고 바라봤다. 국내 금융회사는 상용 클라우드 컴퓨팅 서비스를 이용하고자 할 때 감독 규정 항목에 대해 CSP 안전성을 평가해야 한다. 금융보안원은 금융사를 대신해 CSP 안전성 평가를 수행하며 금융사는 해당 결과를 활용할 수 있다. 신은영 SAP 코리아 대표는 "한국 경제에 영향을 미치는 기업 중 43%가 라이즈 위드 SAP의 클라우드 기술을 사용해 비즈니스 트랜스포메이션을 실현했을 정도로 SAP S/4하나 클라우드 프라이빗 에디션은 국내 주요 기업들이 쓰는 ERP 중 하나"라며 "이번 금융 보안원 평가를 통해 금융사 고객들이 안심하고 클라우드 ERP로 전환할 수 있게 뒷받침하고 운영 효율성 증대를 경험하도록 지원하겠다"고 말했다.

2024.09.30 17:36양정민

S2W "금융권 노리는 사이버 위협, 매년 85% 증가"

S2W가 금융권을 노리는 사이버 위협의 급증에 대한 주의를 촉구하고 대응책을 공유했다. S2W는 26일 자사 공식 홈페이지를 통해 발간한 '금융 보안 보고서'를 통해 다크웹과 텔레그램에서 거래되는 위협 정보를 분석하고 금융기관의 보안 취약점을 경고했다. 이 보고서는 최근 3년간 금융권을 노리는 딥다크웹 위협 포스팅이 연평균 85% 증가했음을 강조했다. S2W는 이번 보고서에서 금융권 데이터를 노리는 해커들이 히든 채널을 통해 위협 정보를 거래하고 있다고 밝혔다. 특히 다크웹의 '브리치포럼'에서 활발히 활동하는 해커들의 동향을 주시해야 한다고 경고했다. 보고서에 따르면 금융권을 겨냥한 데이터 탈취형 악성코드인 '스틸러(Stealer)'의 사용이 급증하고 있다. 특히 레드라인(Redline), 라쿤(Raccoon) 등 6종의 스틸러가 가장 활발히 활동 중이다. 또 보고서는 금융 기관들이 다크웹과 같은 히든 채널에 대한 모니터링을 강화하고 '스틸러' 악성코드의 생태계를 파악해 사전 대응해야 한다고 권고했다. 특히 악성코드 초기 진입 단계에서의 방어와 제어 단계에서의 대응을 구분할 필요성을 강조했다. 김재기 S2W 금융 보안 TF 센터장은 "사이버 공격의 상당수가 금융권을 목표로 하고 있다"며 "금융사뿐만 아니라 협력사와 서드파티까지 보안 대책을 마련해야 한다"고 밝혔다.

2024.09.26 17:29조이환

아-태 지역 금융, 디도스 공격 가장 취약…"사이버 보안 조치 미흡"

아시아-태평양 및 일본 지역의 금융 서비스 업계가 '디도스(DDoS·분산서비스거부)' 공격에 가장 취약한 것으로 나타났다. 디지털 및 최신 기술 도입에 적극 나서고 있지만 유럽, 미국에 비해선 사이버 보안 조치가 미흡한 것으로 파악됐다. 24일 아카마이테크놀로지스가 공개한 신규 인터넷 현황 보고서 '높은 파고를 헤쳐 나가는 방법 : 금융 서비스 업계의 공격 트렌드'에 따르면 금융 서비스 산업은 2년 연속 세계에서 가장 빈번하게 레이어(Layer) 3, 4 디도스 공격의 표적이 된 것으로 나타났다. 금융 서비스 업계는 전체 디도스 공격의 34%로 비중이 가장 컸다. 게임업(18%), 첨단기술업(15%)은 뒤를 이었다. 금융 서비스 기관은 방대한 양의 민감 데이터와 고가 거래를 관리하기 때문에 디도스 공격자들의 주요 표적이 되고 있다. 레이어 3, 4 디도스 공격은 네트워크 및 전송 레이어를 표적으로 삼아 네트워크 인프라를 압도하고 서버 리소스와 대역폭을 고갈시키는 것이 특징이다. 성공적인 공격은 고객 신뢰에 악영향을 미치고 규제 위반을 초래하는 등 심각한 결과를 초래할 수 있다. 아카마이는 "공격자들은 잠재적 피해를 극대화하고 위험 부담이 큰 환경을 활용하기 위해 금융 서비스 기관을 표적으로 삼고 있다"고 설명했다. 아카마이는 보고서를 통해 디도스 공격이 증가하는 또 다른 이유로 지정학적 긴장 상황을 꼽았다. 러시아-우크라이나 전쟁과 관련된 활동으로 유명한 레빌(REvil)을 비롯해 블랙캣(ALPHV), 어나니머스 수단(Anonymous Sudan), 킬넷(KillNet), 노네임057(NoName057) 등 유명 해커 그룹이 금융 기관을 타깃으로 한 공격을 강화하고 있는 것이 대표적 예다. 아카마이는 "최근 이스라엘-하마스 분쟁 이후에도 글로벌 금융 기관에 대한 대규모 사이버 공격이 발생하고 있다"고 밝혔다. 금융 서비스 업계는 브랜드 사칭 및 남용의 피해를 가장 많이 입고 있는 것으로 나타났다. 피싱 공격에서도 높은 비중을 차지하고 했다. 금융 기관을 겨냥한 위조 도메인은 전체 피싱 사례의 68%를 차지하고 있으며 브랜드 사칭은 24%에 달했다. 또 API를 통한 애플리케이션 표적 공격이 급증하고 있는 동시에 문서화되지 않은 섀도 API로 인한 보안 취약점 문제로 떠오르고 있다. 아카마이는 "디도스 발생 빈도가 공격 강도와 늘 상관관계가 있는 것은 아니다"며 "공격이 거의 발생하지 않았지만 해당 데이터가 상당 트래픽 급증을 나타낸 기간이 관착된 것과 같이 디도스 공격을 평가할 때 공격 빈도와 양을 모두 고려해야 한다"고 설명했다. 또 금융 서비스 업계를 향한 공격은 아-태 및 일본 지역에서 가장 활발한 것으로 파악됐다. 높은 인터넷 보급률이 영향을 미쳤다는 분석이다. 또 디지털화가 빠르게 진행된 데다 활발한 소셜 미디어 활동도 주요 원인으로 지적됐다. 아카마이는 이 지역의 금융 기관이 자산 및 데이터 보호, 컴플라이언스, 최신 피싱 및 사기 기법에 대한 고객 교육이라는 세 가지 과제에 직면해 있다고 봤다. 기존의 보안 메커니즘은 랜섬웨어나 API 악용과 같은 정교한 위협을 탐지하는 데 부족한 경우가 많아 기업을 더 잘 보호하고 새로운 규제 기준을 충족하며 고객 신뢰를 보호하기 위해 최신 AI 기반 보안 기술이 필요하다고 강조했다. 스티브 윈터펠드 아카마이 자문 최고정보보호책임자(CISO)는 "사이버 범죄는 광범위한 혼란과 심각한 경제적 피해를 야기하기 때문에 금융 서비스 업계에 심각한 위협이 되고 있다"며 "이 보고서는 전 세계 금융 서비스 업계에 종사하는 사이버 보안 전문가들이 점점 더 복잡해지는 위협 환경과 고객 보호를 위한 모범 사례를 이해하는 데 도움이 될 것"이라고 말했다. 루벤 코 아카마이 APJ 지역 보안 기술 및 전략 디렉터는 "금융 서비스는 웹 애플리케이션 및 API 사이버 공격의 가장 큰 표적이 되는 업계"라며 "최고 정보 보안 책임자 등과 같은 의사 결정권자는 자동화, 위임, 아웃소싱을 신중하게 결정해 점점 더 디지털화되는 세상에서 자산을 보호할 뿐 아니라 고객 충성도를 유지할 수 있는 확장 가능한 보안 솔루션을 확보해야 한다"고 밝혔다.

2024.09.24 11:24장유미

금융권 노린 네이버클라우드, '하이퍼클로바X' 소형 LLM 구축 박차

네이버클라우드가 금융권의 보안 우려를 해소하면서도 생성 AI를 안전하게 도입할 방안을 제시했다. 네이버클라우드는 자체적으로 개발한 거대언어모델(LLM)의 경량화 버전인 '하이퍼클로바X 대시'를 기반으로 금융권 전용 소형언어모델(sLLM)을 구축했다고 19일 밝혔다. 이 모델은 미래에셋증권의 온프레미스 환경에 최초로 적용된다. 앞서 네이버클라우드는 보안 이슈로 인해 생성 AI 도입을 부담스러워하는 공공·금융 분야 기업들을 위한 LLM 구축 사업을 시작한 바 있다. 미래에셋증권과의 협력은 기업이 온프레미스 환경에서 생성 AI를 활용하도록 네이버클라우드가 지원하는 첫 사례다. 네이버클라우드는 '하이퍼클로바X 대시' 외에도 미래에셋증권이 데이터를 학습시키도록 클래스 코드와 기술 지원을 제공했다. 미래에셋증권은 이를 기반으로 사내 데이터를 훈련시켜 금융 업무에 최적화된 sLLM을 구축했다. 미래에셋증권 관계자는 "금융 규제를 준수하면서도 AI 전환을 이루기 위해서는 '온프레미스 LLM'이 최선의 선택이었다"며 "업무별로 특화된 sLLM 구축에 최적화된 '하이퍼클로바X 대시'를 도입해 사내 시스템에 활용하게 됐다"고 밝혔다. 임태건 네이버클라우드 전무는 "자사 클라우드 서비스는 이제 기업 인프라에 설치해 사용할 수 있는 '온프레미스 LLM'까지 갖추게 됐다"며 "보안 문제로 인해 클라우드 기반 LLM 사용이 어려웠던 공공·금융 기업들이 생성 AI를 활용할 수 있게 됐다"고 강조했다.

2024.09.19 10:59조이환

금보원 "카톡으로 모바일 신분증 발급하세요"

앞으로 카카오톡이나 네이버 등 민간 플랫폼으로 모바일 신분증 발급이 가능해진다. 금융보안원은 행정안전부, 한국정보통신기술협회(TTA)와 손잡고 모바일 신분증 민간개방을 위한 평가체계를 구축한다고 13일 밝혔다. 모바일 신분증이란 블록체인, 암호화 등 기술로 스마트폰에 발급되는 신분증이다. 현행 플라스틱 신분증과 동일한 법적 효력을 가진다. 모바일 신분증 민간개방은 기존에 정부 앱에서 발급할 수 있었던 모바일 신분증을 일반 시민이 평소 자주 접하는 민간 플랫폼에서도 발급할 수 있게 개방하는 정책이다. 이에 따라 KB국민은행, NH농협은행, 카카오·카카오뱅크, 네이버, 비바리퍼블리카(토스) 모바일 앱을 통해 모바일 신분증을 발급받아 신분 확인이 필요한 금융거래 등에 활용할 수 있다. 이번 업무협약은 국민이 안전하고 편리하게 민간 플랫폼의 모바일 신분증을 사용할 수 있도록 서비스에 대한 적합성·안전성 평가 체계를 마련하기 위해 체결됐다. 금보원은 평가기관으로서 모바일 신분증 서비스 발급부터 보관, 제출, 삭제 등 일련 과정에 대한 기능 구현 적합성과 보안 수준 등 전반에 대해 평가한다. 금보원은 '정보보호 및 개인정보보호 관리체계 인증기관' '전자서명인증 평가기관' 등 보안전문 기관으로서 수행경험 및 전문역량 토대로 모바일 신분증이 민간 플랫폼에 성공적으로 안착할 수 있도록 차질없이 평가를 수행할 방침이다. 김철웅 금보원 원장은 "민간 플랫폼의 모바일 신분증이 안전하고 편리한 신원확인 방식으로 도입되면 금융권 비대면 계좌 개설 활성화 등 국민의 일상 혁신에 크게 기여할 것"이라며 "금융보안원의 전문적인 보안 역량을 바탕으로 전 국민이 안전하게 모바일 신분증을 활용할 수 있도록 적극 지원하겠다"고 밝혔다.

2024.09.14 17:35김미정

[ZD SW 투데이] 메타포렌식, AI 기반 악성코드 분석 '메타 시멘틱스' 데모 공개 外

지디넷코리아가 소프트웨어(SW) 업계의 다양한 소식을 한 눈에 볼 수 있는 'ZD SW 투데이'를 새롭게 마련했습니다. SW뿐 아니라 클라우드, 보안, 인공지능(AI) 등 여러 분야에서 활발히 활동하고 있는 기업들의 소식을 담은 만큼 좀 더 쉽고 편하게 이슈를 확인해 보시기 바랍니다. [편집자주] ◆메타포렌식, AI 기반 악성코드 분석 '메타 시멘틱스' 데모 공개 메타포렌식이 AI 기반 플랫폼 '메타 시멘틱스(Meta Semantics)' 데모를 공개하며 악성코드 탐지·분석·리포트 작성과정을 완전 자동화하는 기술을 선보였다. 이 기술은 보안 전문가 수준의 분석을 제공하며 실시간 위협 탐지 기능을 갖추고 있다. 또 '메타 시멘틱스'는 다양한 파일 형식에 대한 분석을 지원하며 AI 모델의 입출력 구조를 유연하게 커스터마이징한다. 이를 통해 고객사들이 고유한 보안 솔루션을 개발하고 적용할 수 있을 것으로 기대된다. ◆KT, 안전한 생성 AI 구축 위해 에임인텔리전스와 협업 에임인텔리전스와 KT가 AI 기반 모델의 보안·안전성 검증 기술을 공동 연구하기 위해 업무 협약을 체결했다. 이 협력은 생성 AI 모델의 취약성을 해결하고 보안 위협에 대응하는 방어 기술 개발을 목표로 한다. 두 회사는 생성 AI의 안전성과 신뢰성을 높이기 위해 레드팀 활동과 안전성 평가 기준 개발에 협력할 예정이다. 에임인텔리전스는 최근 보안 진단 자동화 솔루션 에임 레드(AIM Red)와 취약점 탐지 및 방어 기술 에임 가드(AIM Guard)를 출시한 바 있다. ◆티맥스소프트, 금융 IT 혁신 위한 '인터페이스 스위트' 웨비나 개최 티맥스소프트가 오는 4일 오후 2시에 금융 디지털 혁신을 주제로 '인터페이스 스위트' 웨비나를 개최한다. 이번 웨비나에서는 차세대 금융 IT를 지원하는 '인터페이스 스위트'의 도입 사례와 강점을 소개할 예정이다. 또 티맥스소프트는 오는 12월 31일까지 인터페이스 스위트 제품을 최대 50% 할인하는 프로모션을 실시하며 웨비나 참여자에게는 다양한 경품과 무료 진단 서비스 기회도 제공한다. ◆스마틱스, MZ세대 인기 스포츠 통합 예약 시스템 도입 스마틱스가 엠무브와 협력해 테니스·피클볼·빠델 등 스포츠 종목을 한 곳에서 예약할 수 있는 통합 예약 시스템을 구축했다. 이번 시스템은 다국어 서비스를 지원하며 야구장과 축구장 예약 서비스도 곧 시작할 예정이다. 자세한 사항은 엠무브 통합 예약 사이트를 통해 확인할 수 있다. ◆슈퍼브에이아이, AWS ISV 엑셀러레이트 프로그램 파트너 선정 슈퍼브에이아이가 아마존 웹서비스(AWS) 독립 서비스 벤더(ISV) 엑셀러레이트 프로그램의 '디퍼렌시에이티드 스테이지(Differentiated Stage)' 레벨 파트너로 선정됐다. 이는 하나의 서비스형 소프트웨어(SaaS) 플랫폼 내에서 AI 개발 전체 사이클을 아우르는 기술력을 인정받은 결과다. 이를 통해 슈퍼브에이아이는 AWS의 최신 기술 및 리소스를 활용해 고객에게 더 나은 서비스를 제공하는 기반을 마련할 예정이다. 구체적으로 AWS 마켓플레이스에 비전 AI 솔루션을 등록해 글로벌 시장에서의 입지를 강화할 계획이다.

2024.09.03 17:02조이환

망분리 규제 완화, 금융권 디지털 혁신 가속…주목 받는 기업은

금융위원회가 망분리 규제 완화를 발표하며 금융업계의 디지털 혁신이 가속화될 전망인 가운데 기술 혁신을 주도할 주요 테크 기업들도 함께 주목받고 있다. 30일 S2W가 발간한 자료에 따르면 이번 망분리 규제 완화로 인해 S2W, NHN클라우드, 틸론 등 인공지능(AI)·보안·클라우드 특화 기업들은 향후 금융권의 디지털 전환을 지원할 것으로 전망된다. S2W는 AI와 보안 기술을 융합해 금융권에서의 기술 혁신을 선도할 것으로 기대되고 있다. 지난해 하나은행과 '생성 AI를 활용한 사이버 보안 강화 협약'을 체결한 바와 같이 금융권을 대상으로 AI와 데이터 가공 분야에서의 우수성을 입증해왔기 때문이다. 특히 S2W는 딥다크웹 데이터를 활용한 '퀘이사(QUAXAR)' 플랫폼을 통해 금융 기관의 보안을 강화할 것으로 전망된다. 이 플랫폼은 다양한 히든 채널에서 발생하는 데이터를 수집·분석해 위협 인텔리전스를 제공하고 금융기관이 외부 위협을 선제적으로 예방할 수 있도록 지원한다. NHN클라우드는 안정성이 입증된 리전형 클라우드를 통해 금융 클라우드 서비스 업계를 적극적으로 공략 중이다. 또 4년 연속으로 금융 클라우드 지원 사업에 참여하며 금융 기업들에게 클라우드 서비스 이용 요금과 보안 컨설팅을 제공하고 있다. 틸론은 제주도와 협력하여 넷-제로 데이터 센터 구축을 추진 중이다. 이를 통해 데이터 안정성을 확보함과 동시에 탄소중립 실현을 목표로 하고 있다. 이를 통해 디지털 전환의 핵심 인프라로 자리 잡을 계획이다. 신한투자증권은 AI 솔루션부를 신설하고 금융권 AI 생태계를 선도하기 위한 다양한 활동을 전개하고 있다. AI를 활용한 고객 경험 혁신을 목표로 글로벌 금융시장을 겨냥한 퍼블릭 클라우드 기반 오픈 플랫폼을 준비 중이다. 김재기 S2W 금융 보안 TF리드 센터장은 "금융 데이터는 외부 위협에 노출될 경우 기업에 큰 타격을 줄 수 있는 중요한 자산"이라며 "S2W는 AI와 보안이 결합된 솔루션을 제공해 금융권이 안전하게 업무를 수행하도록 지원하겠다"고 강조했다.

2024.08.30 10:39조이환

S2W "금융권 사이버 위협 대응방안 알려 드려요"

S2W가 금융권의 사이버 위협 대응을 지원하기 위해 보안 전문지식과 대응책을 공유한다. S2W는 다음달 5일 금융권 사이버 위협 동향과 대응 방안을 주제로 한 웨비나 '위드(WITH)'를 개최한다고 27일 밝혔다. 이 웨비나는 금융 보안 및 정책 담당자들에게 최신 사이버 위협 정보와 대처 방안을 제공하기 위해 기획됐다. 이번 웨비나는 약 1시간 동안 진행되며 금융사 사칭 보이스피싱, 텔레그램 내 불법 행위 등 주요 사이버 위협과 그 대응책을 논의할 예정이다. S2W는 실제로 다크웹에서 모니터링한 사례를 공유하며 보다 효과적인 대응 방안을 제시할 계획이다. 사전 신청은 S2W 공식 홈페이지를 통해 가능하다. S2W는 국내외 금융 보안 기술 시장에서 높은 평가를 받고 있다. 하나은행과의 생성 인공지능(AI) 업무 협약(MOU) 체결을 비롯해 다양한 국내 은행과 카드사에 보안 솔루션을 공급했기 때문이다. 또 S2W는 최근 금융권 정보 유출 피해에 선제적으로 대응하기 위해 금융 보안 태스크포스(TF)를 발족한 바 있다. 서상덕 S2W 대표는 "이번 웨비나를 통해 금융권 사이버 위협에 대한 전문적인 통찰을 제공하길 기대한다"며 "앞으로도 다양한 보안 기술과 대응책을 공유해 나갈 것"이라고 밝혔다.

2024.08.27 11:07조이환

"안전성 OK"…보안업계, 금융권 망분리 완화 호평

금융권의 망분리 규제가 순차적으로 완화된다. 이를 통해 인공지능(AI) 도입 등 디지털전환(DX)이 본격화되며 금융업계 혁신도 본격화될 전망이다. 다만 일부에서는 최근 사이버위협 등이 급증하고 IT장애을 재난으로 지정하는 상황에서 망분리 도입 완화에 대해 우려를 표하기도 한다. 이에 대해 보안 업계에선 금융위원회의 이번 정책에 대해 긍정적인 반응이다. 주요 데이터를 보호하기 위해 보수적으로 접근하면서도 시대의 흐름에 맞춰 적절한 변화를 시도하고 있다는 평가다. 20일 관련 보안업계에서는 금융위원회에서 마련한 '금융 분야 망분리 개선 로드맵'의 보안 수준에 대해 호평했다. 로드맵을 살펴본 보안업계는 시대의 변화에 따라 망분리 완화를 시도함과 동시에 잠재적으로 발생할 수 있는 보안 위협을 최소화하기 위한 조심스러운 접근을 파악할 수 있었다고 분석했다. 한 보안전문기업 이사는 금융 환경에 맞는 보수적인 자세를 유지하는 동시에 시대의 흐름에 맞춰 적절한 변화를 시도하고 있다고 평가했다. 망분리 개선 로드맵은 생성형 인공지능(AI) 도입 등 클라우드를 중심으로 빠르게 발전하는 IT기술 활용을 저해하고 연구·개발이 어려운 망분리 환경을 개선하기 위해 마련됐다. 금융당국은 낡은 규제를 개선하고 중·장기적으로 금융 보안 법·제도를 전면 개편하는 등 혁신과 보안의 새로운 균형을 확보한다는 방침이다. 다만, 현행 금융보안체계가 오랜 기간동안 인터넷 등 외부통신과 분리된 환경을 전제로 구성되어 온 점을 고려해, 급격한 규제 완화보다는 상황에 따른 단계적 개선을 추진할 계획이다. 특히 보안 업계는 계좌 정보나 개인 정보 등 민감한 금융 정보를 보호하기 위해 규제 샌드박스 등의 제도를 활용하는 방안에 대해 긍정적인 반응을 보였다. 규제 샌드박스는 특정 기간 동안 규제를 유예하거나 완화하여 새로운 기술이나 서비스가 시험될 수 있도록 하는 제도다. 이를 통해 특정 연구 및 개발 영역에서 망 분리를 완화하고, 그에 따른 보안 위험을 평가 및 관리하면서 기술 발전을 도모한다. 금융 당국은 IT 환경 변화로 인해 신속한 대응이 필요한 과제는 샌드박스 등을 활용해 빠른 기간 내에 해소한다. 다만 자율보안체계 확립까지는 시간이 소요되므로 보안상의 문제가 없도록 별도의 보안대책 등을 마련할 예정이다. 더불어 이 과정에서 예상되는 리스크에 대한 보안대책을 조건으로 부과하고 금융감독원·금융보안원이 신청 기업별 보안 점검·컨설팅을 실시하는 등 충분한 안전장치를 마련할 계획이다. 또한 금융감독원과 금융보안원은 자체적으로 보안 시스템을 구축하기 어려운 기업들의 신청을 받아 보안 점검·컨설팅도 지원한다. 동국대학교 국제정보대학원 황석진 교수는 "그동안에는 민감 데이터 보호를 위해 망분리를 활용하는 것이 합리적이라고 생각했지만 클라우드를 비롯한 여러 기술의 발전으로 더 이상 효율적이라고 말하기 어려운 면이 있다"며 "보안 역시 기술의 발전으로 클라우드에서 더 나은 보안 환경을 갖출 수 있게 된 만큼 크게 우려할 부분은 거의 없다고 본다"고 설명했다. 금융보안원 혁신지원팀의 서호진 팀장은 "금융업계의 DX를 통한 산업의 발전을 위해 많은 노력을 기울이고 있다"며 "DX과정에서 어려움을 느끼는 금융 기업들이 도움을 요청한다면 언제든 최선을 다해 지원하겠다"고 말했다.

2024.08.20 15:59남혁우

금융 서비스 규정 준수·보안 강화 '필수'…레드햇이 제시한 방안은?

레드햇이 리스크를 효과적으로 관리하고 보안성을 유지할 수 있는 플랫폼을 앞세워 금융 시장 공략에 속도를 내고 있다. 레드햇은 금융 서비스 분야에서 조직의 GRC(거버넌스, 리스크 관리, 컴플라이언스) 절차를 보완하는 혁신적인 접근 방식인 '자동화된 코드형 정책'을 '앤서블 자동화 플랫폼(Red Hat Ansible Automation Platform)'을 통해 지원하고 있다고 14일 밝혔다. 금융 기관에서 자동화된 코드형 정책을 사용하면 앤서블(Ansible) 자동화에 대한 규칙을 적용할 수 있다. 정책을 각 자동화 작업에 수동으로 통합할 필요 없이 자동화 작업의 어느 단계에서나 정책을 적용할 수 있다. 또 정책을 코드화함으로써 금융 기관은 일관되게 표준 정책을 적용하고 규정 미준수 또는 운영 실패의 위험을 줄일 수 있다. 레드햇 관계자는 "규제와 관련한 요건들은 종종 복잡성을 동반하며 이러한 프로젝트 중 상당수는 비용 및 시간 소모적이고 까다로운 경우가 많다"며 "이에 따라 내부 규정이나 더 큰 규제 프로세스의 보안 등을 포함한 세부 요소에서부터 시작해 점차 확장해 나가는 것이 권장된다"고 설명했다. 또 레드햇은 자동화된 코드형 정책이 금융 서비스에 중요한 이유로 ▲운영 일관성 ▲규제 준수 ▲리스크 관리 ▲비용 효율성 ▲향상된 민첩성 등 5가지를 꼽았다. 이 중 운영 일관성은 금융 서비스의 신뢰성을 유지하기 위한 핵심 요소다. 자동화된 코드형 정책은 프로세스의 표준화를 지원해 운영이 정의된 정책을 준수하게 함으로써 재정적 손실이나 고객 불만으로 이어질 수 있는 오류나 운영상의 불일치 가능성을 줄이는 데 도움이 될 수 있다. 금융 서비스는 규제가 아주 엄격한 산업 중 하나로, GDPR, SOX, PCI-DSS 등의 규정 준수가 필수적이다. 자동화된 코드형 정책은 이 같은 규정을 모든 자동화된 프로세스에서 일관되게 적용하는 것을 돕고 문제의 신속한 해결할 수 가능케하기 때문에 벌금이나 평판 손상의 잠재적 위험을 줄일 수 있다. 리스크 관리 측면에서도 자동화된 정책은 중요하다. 이를 적용하면 데이터 암호화나 액세스 제어, 감사 로깅과 같은 보안 조치를 시행할 수 있다. 예를 들어 알려진 취약점이 있는 애플리케이션이 배포되거나 민감한 데이터가 암호화되지 않은 형식으로 저장되는 것을 방지할 수 있다. 이러한 점검을 자동화함으로써 데이터 유출 및 기타 보안 사고의 리스크를 크게 줄일 수 있다. 비용 절감 측면에서도 유리하다. 수동으로 정책을 적용하는 것은 많은 리소스를 필요로 하며 인적 오류가 발생하기 쉽다. 정책 시행을 자동화하면 일일이 관리 감독할 필요성이 줄고, IT팀이 전략적 업무에 집중할 수 있게 한다. 또 통제되지 않은 클라우드 지출이나 규정에 어긋난 리소스 구성과 같은 문제를 줄여 운영 비용을 관리하는 데 도움이 된다. 자동화된 코드형 정책은 새로운 규정, 기술 및 비즈니스 요구사항에 신속하게 적응할 수 있는 유연성도 제공한다. 정책을 중앙에서 업데이트하고 모든 자동화 워크플로우에 적용할 수 있어 조직은 역동적인 환경에서도 민첩성을 유지하고 규정을 준수할 수 있다. 다만 금융 기관에서 자동화된 코드형 정책을 시작하기 위해서는 주요 정책을 식별하고 레드햇 앤서블 자동화 플랫폼과 같은 플랫폼을 활용해 자동화된 코드형 정책 프로세스를 간소화하는 것이 중요하다. 또 관리가 쉬운 작은 범위서부터 시작하고 전문 지식과 자신감이 쌓임에 따라 범위를 점차 확장해 나갈 필요가 있다. 레드햇 관계자는 "자동화된 코드형 정책은 단순히 기술적 발전에 그치는 것이 아니라 금융 서비스 업계가 규정 준수와 보안 및 운영 효율성을 강화하기 위해 필수적으로 고려해야 할 전략적 과제"라며 "정책을 자동화 워크플로우에 포함함으로써 금융 기관은 현대 규제 환경의 복잡성에 보다 자신감 있고 민첩하게 대처할 수 있다"고 설명했다.

2024.08.14 10:34장유미

금보원 해커팀, 美 데프콘서 AI 보안 기술력 입증

한국 정부 소속 기술개발팀이 미국에서 글로벌 해커들 상대로 사이버보안 기술력을 입증했다. 금융보안원은 자체 화이트해커팀 '레드IRIS'가 미국 라스베이거스에서 열린 국제 해킹대회 '2024 데프콘(DEFCON CTF 32)'에서 최종 3위를 차지했다고 13일 밝혔다. 데프콘은 사이버보안 분야에서 가장 권위 있는 세계 보안 대회로 알려졌다. 참가자들은 레드IRIS와 산하 테크보드 소속이다. 이번 대회에서 미국 등 여러 국가 보안 전문가들로 구성된 국제연합팀(SuperDiceCode) 일원으로 참여해 해킹 실력을 선보였다. 이들은 금융권의 보안 수준을 한 단계 높이기 위해 다양한 업무를 수행하고 있다. 지난 2월 은행권 대상으로 블라인드 사이버 모의해킹 훈련을 수행했다. 3월에는 서드파티 솔루션을 이용한 공급망 공격기법을 해커 관점에서 심층 분석해 방어 대책을 포함한 보고서를 발간하기도 했다. 올해 데프콘에선 거대언어모델(LLM)을 활용한 문제가 출제되는 등 최신 트렌드인 인공지능(AI)이 핵심 주제로 나왔다. 실제 최근 AI 이용이 활성화되면서 안전한 AI 중요성을 인식한 글로벌 빅테크 기업들은 AI 전담 레드팀이나 퍼플팀을 구성하는 등 AI 위협 대응을 강화하는 추세다. 금보원도 금융권 AI 활성화에 발맞춰 신뢰할 수 있는 AI 활용을 지원하고자 AI를 대상으로 하는 악의적인 공격·방어 역량을 강화하고 있으며 인력 보강을 병행한다는 점을 밝혔다. 김철웅 금보원 원장은 "높은 전문성과 정보보호 역량 갖춘 직원들이 국제 해킹대회에서 우수한 성과를 거둬 금융보안 전담기관 위상을 높였다"며 "글로벌 이슈인 AI 보안 수준을 높일 수 있도록 AI 대상으로 기존 모의 공격과 방어 업무를 차질 없이 확대해 나갈 계획"이라고 말했다.

2024.08.13 16:33김미정

금융권 망분리 규제 특례 시행…생성형AI 활용 가능해진다

금융위원회가 인터넷 차단(망 분리) 규제를 단계별로 개선해 금융업권의 생성형 인공지능(AI)과 서비스형 소프트웨어(SaaS) 등을 활용할 수 있게 하기로 했다. 13일 오후 김포 KB국민은행 통합IT센터에서 열린 '금융분야 망 분리 개선 로드맵' 행사에서 김병환 금융위원장은 "클라우드·AI 등 급변하는 IT 환경 하에서 일률적인 망 분리 의무화 정책은 우리나라에만 존재하는 대표적인 규제로 국내 금융산업의 글로벌 경쟁력을 저해하는 요인으로 지적받고 있다"며 "망 분리 규제를 일시에 완화하기보다는 충분한 안전 장치를 전제로 단계적인 규제 개선을 추진해 나갈 계획"이라고 말했다. 크게 망 분리 규제는 두 가지 방향으로 바뀔 전망이다. 하나는 즉시 망 분리 규제가 필요한 부분에 대해서는 규제 샌드박스(특례)로, 다른 하나는 '디지털 금융보안법'을 제정해 전반적인 금융업권의 보안에 관해 다루겠다는 것이다. 금융사는 규제 특례를 통해 생성형AI를 쓸 수 있게 된다. 금융사 내부와 AI모델(외부) 간 연결을 위한 망 분리 규제 특례나, 해외 소재 AI를 통한 가명정보 처리를 위한 데이터 특례를 부여해 생성형AI 개발과 적용이 가능해진다는 것이 금융위 측 설명이다. 그러나 해외 소재 AI에 가명처리된 개인 정보를 처리하는 데이터 특례는 개인정보보호법이 걸려 있어 개인정보보호위원회와 논의가 필요하다. 금융위 측은 "예상되는 리스크에 대한 보안대책을 조건으로 부과하고 금융감독원·금융보안원이 신청 기업별 보안 점검·컨설팅을 실시하는 등 충분한 안전장치를 마련할 계획"이라고 설명했다. 사내 업무에만 활용됐던 클라우드 기반 SaaS도 이용 보안 관리, 고객 관리(CRM) 등에 쓸 수 있도록 규제 특례가 부여된다. 향후 규제 특례로 도출된 사례를 통해 금융위는 올해 4분기부터 디지털 금융보안법 마련을 준비한다. 법의 기본은 금융사가 세부 보안 통제를 자율적으로 구성하되, 사고 발생 시 배상 책임을 확대하고 과징금을 부과하는 방향이다. 이밖에 제3자 리스크(3rd-party risk)에 대한 관리를 강화하기 위해 관련 제도 정비를 추진한다는 방침이다. 김병환 위원장은 "그동안 망 분리에 기대어 보안 분야 투자에 소홀함이 있었다면, 지속적으로 확대해 나가는 계기가 되길 바란다"며 "제도 개선 상황을 주시하면서 필요한 보완 조치를 취해나가겠다"고 강조했다.

2024.08.13 14:00손희연

'금융' 시장 노린 S2W, AI·보안 기술 앞세워 전문 TF 출범

세계 최고 수준의 다크웹 모니터링 기술과 인공지능을 기반으로 한 '금융업계 특화 전문 TF'가 출범한다. S2W는 금융 시장에서 필요로 하는 보안 솔루션 개발 및 데이터 위협 감지에 최적화된 금융 보안 TF를 발족했다고 13일 밝혔다. S2W 금융 보안 TF는 다크웹과 텔레그램 등을 통해 급속도로 증가하는 금융권 정보 유출 피해에 선제적으로 대응하기 위한 전문팀이다. 금융업계는 민감한 데이터와 자산을 다루는 핵심 영역인 만큼 해커들의 공격 대상이 돼 정보 및 자금 탈취 행위가 끊이지 않는 분야다. 국내 금융사를 보호할 수 있는 보다 고도화된 보안 기술력과 운영 노하우가 필요한 영역인 셈이다. 이에 S2W는 자사가 보유하고 있는 강력한 다크웹 모니터링 기술과 금융 보안 전문성으로 사이버 금융 보안 위협을 실시간 스크리닝하고 문제에 효과적으로 대응할 수 있도록 은행, 증권, 투자, 보험, 카드사 등 금융업계에 최적화된 위협 인텔리전스를 선보인다. 특히 S2W의 사이버보안 인텔리전스 솔루션은 '다크버트', '사이버튠' 등으로 명명되는 AI 기술 기반의 언어모델을 활용해 암호화돼 있는 비정형 위협 데이터까지 효과적으로 확인할 수 있는 것이 장점이다. S2W 금융 보안 TF에는 국내 최고 권위의 보안 및 데이터 전문가들이 한데 모였다. 먼저 금융보안원에서 CTI 분석 핵심 역할을 역임한 김재기 센터장이 TF 리더를 맡아 팀을 이끈다. 또 카이스트 출신 다크웹 분석 AI 개발 전문가 윤창훈 R&D 상무, 다크웹 데이터 분석 전문가 오재학 사업개발 팀장 등 총 7명이 주축을 이뤄 사이버 보안과 AI를 아우르는 금융 기업별 맞춤 솔루션을 제시할 계획이다. S2W의 금융 보안 TF 발족은 그동안 해당 시장에서 쌓아 온 풍부한 노하우가 계기가 됐다. S2W의 다크웹 데이터 가공 기술이 기반이 된 다크웹 전문 AI엔진과 보안 솔루션은 인터폴, 대만증권거래소 등의 글로벌 기관에 공급됐다. 여기에 수년 전부터 유수의 국내 은행 및 카드사를 고객사로 보안 솔루션을 공급하며 높은 신뢰도를 확보해 왔다. S2W의 금융 보안 TF 결성은 앞으로 관련 시장을 보다 전문적이면서도 집약적으로 파고드는 계기이자 금융 보안 기술 시장의 구심점이 될 것으로 전망된다. S2W 김재기 센터장은 "민감한 주요 자산을 많이 내포하고 있는 금융권 데이터는 해커들의 주요 타겟이 돼 강력한 보안이 필수적으로 요구되는 영역"이라며 "자사 금융 보안 TF는 각 기업과 기관 고객에게 필요한 금융 사이버보안 토탈 서비스를 제공하며 실질적인 도움을 줄 수 있을 것으로 기대하고 있다"고 말했다.

2024.08.13 10:49장유미

[현장] '글로벌 IT 대란' 언급한 금보원..."금융SW도 대비해야"

"크라우드스트라이크 사태는 긴밀히 연결된 정보사회의 위험성을 보여줍니다. 금융회사는 국민생활에 부정적인 영향을 끼칠 수 있는 사태를 방지하기 위해 안정적인 금융시스템을 구축해야 합니다." 금융보안원 임구락 사이버본부장은 5일 여의도에서 열린 '한국 금융보안의 현주소와 나아갈 방향' 세미나에서 크라우드스트라이크 사태와 같은 사이버 위협의 위험성을 강조했다. 지난달 19일 크라우드스트라이크의 보안소프트웨어 '팔콘' 업데이트 문제로 윈도 운영체제에 블루스크린이 발생했다. 이로 인해 전세계적으로 사회기반 시설이 다운돼 항공, 교통, 방송, 금융 등 다양한 서비스에 피해가 발생한 바 있다. 임 본부장은 "국내 금융권은 이번 사태로 인한 피해를 입지 않았지만 그 원인이 무엇이었는지에 대한 철저한 논의가 필요하다"며 "유사한 소프트웨어(SW) 공격이 발생할 가능성을 염두에 두고 구체적인 대응 전략을 수립해야 한다"고 밝혔다. 이어서 진행된 패널 토론에는 국민대 윤명근 교수, KB국민은행 이재용 최고정보보안책임자(CISO), 토스증권 지정호 CISO, 엔키화이트햇 이성권 대표 등 다양한 전문가들이 참석했다. 이들은 IT 장애의 원인·영향과 소프트웨어 공급망 보안체계에 대한 논의를 진행했다. 지정호 CISO는 이번 사고의 해법으로 규제 강화보다는 문제의 본질적 원인을 찾아 IT 환경을 관리할 것을 촉구했다. 그는 토스 증권의 사례를 설명하며 "패치를 인터넷 PC에 먼저 배포한 후 업무용 PC에 배포한다"며 "이와 같은 점진적 배포 방식은 업무환경에 대한 리스크를 최소화할 수 있다"고 설명했다. 일각에서는 크라우드스트라이크 패치 업데이트가 품질검증 절차 없이 진행된 것이 문제의 핵심이라고 지적했다. SW 중요성이 커지고 있음에도 금융권의 대비는 여전히 부족한 상태다는 설명이다. 윤 교수는 "금융권은 전통적인 하드웨어의 이중화와 삼중화는 잘 돼 있지만 SW 대비가 부족하다"며 "SW 업계도 철저한 대비가 필요하다"고 주장했다.

2024.08.05 17:00조이환

Prev 1 2 3 4 5 Next