검색 - IT세상을 바꾸는 힘 지디넷코리아

S2W "금융권 사이버 위협 대응방안 알려 드려요"

S2W가 금융권의 사이버 위협 대응을 지원하기 위해 보안 전문지식과 대응책을 공유한다. S2W는 다음달 5일 금융권 사이버 위협 동향과 대응 방안을 주제로 한 웨비나 '위드(WITH)'를 개최한다고 27일 밝혔다. 이 웨비나는 금융 보안 및 정책 담당자들에게 최신 사이버 위협 정보와 대처 방안을 제공하기 위해 기획됐다. 이번 웨비나는 약 1시간 동안 진행되며 금융사 사칭 보이스피싱, 텔레그램 내 불법 행위 등 주요 사이버 위협과 그 대응책을 논의할 예정이다. S2W는 실제로 다크웹에서 모니터링한 사례를 공유하며 보다 효과적인 대응 방안을 제시할 계획이다. 사전 신청은 S2W 공식 홈페이지를 통해 가능하다. S2W는 국내외 금융 보안 기술 시장에서 높은 평가를 받고 있다. 하나은행과의 생성 인공지능(AI) 업무 협약(MOU) 체결을 비롯해 다양한 국내 은행과 카드사에 보안 솔루션을 공급했기 때문이다. 또 S2W는 최근 금융권 정보 유출 피해에 선제적으로 대응하기 위해 금융 보안 태스크포스(TF)를 발족한 바 있다. 서상덕 S2W 대표는 "이번 웨비나를 통해 금융권 사이버 위협에 대한 전문적인 통찰을 제공하길 기대한다"며 "앞으로도 다양한 보안 기술과 대응책을 공유해 나갈 것"이라고 밝혔다.

2024.08.27 11:07조이환

"안전성 OK"…보안업계, 금융권 망분리 완화 호평

금융권의 망분리 규제가 순차적으로 완화된다. 이를 통해 인공지능(AI) 도입 등 디지털전환(DX)이 본격화되며 금융업계 혁신도 본격화될 전망이다. 다만 일부에서는 최근 사이버위협 등이 급증하고 IT장애을 재난으로 지정하는 상황에서 망분리 도입 완화에 대해 우려를 표하기도 한다. 이에 대해 보안 업계에선 금융위원회의 이번 정책에 대해 긍정적인 반응이다. 주요 데이터를 보호하기 위해 보수적으로 접근하면서도 시대의 흐름에 맞춰 적절한 변화를 시도하고 있다는 평가다. 20일 관련 보안업계에서는 금융위원회에서 마련한 '금융 분야 망분리 개선 로드맵'의 보안 수준에 대해 호평했다. 로드맵을 살펴본 보안업계는 시대의 변화에 따라 망분리 완화를 시도함과 동시에 잠재적으로 발생할 수 있는 보안 위협을 최소화하기 위한 조심스러운 접근을 파악할 수 있었다고 분석했다. 한 보안전문기업 이사는 금융 환경에 맞는 보수적인 자세를 유지하는 동시에 시대의 흐름에 맞춰 적절한 변화를 시도하고 있다고 평가했다. 망분리 개선 로드맵은 생성형 인공지능(AI) 도입 등 클라우드를 중심으로 빠르게 발전하는 IT기술 활용을 저해하고 연구·개발이 어려운 망분리 환경을 개선하기 위해 마련됐다. 금융당국은 낡은 규제를 개선하고 중·장기적으로 금융 보안 법·제도를 전면 개편하는 등 혁신과 보안의 새로운 균형을 확보한다는 방침이다. 다만, 현행 금융보안체계가 오랜 기간동안 인터넷 등 외부통신과 분리된 환경을 전제로 구성되어 온 점을 고려해, 급격한 규제 완화보다는 상황에 따른 단계적 개선을 추진할 계획이다. 특히 보안 업계는 계좌 정보나 개인 정보 등 민감한 금융 정보를 보호하기 위해 규제 샌드박스 등의 제도를 활용하는 방안에 대해 긍정적인 반응을 보였다. 규제 샌드박스는 특정 기간 동안 규제를 유예하거나 완화하여 새로운 기술이나 서비스가 시험될 수 있도록 하는 제도다. 이를 통해 특정 연구 및 개발 영역에서 망 분리를 완화하고, 그에 따른 보안 위험을 평가 및 관리하면서 기술 발전을 도모한다. 금융 당국은 IT 환경 변화로 인해 신속한 대응이 필요한 과제는 샌드박스 등을 활용해 빠른 기간 내에 해소한다. 다만 자율보안체계 확립까지는 시간이 소요되므로 보안상의 문제가 없도록 별도의 보안대책 등을 마련할 예정이다. 더불어 이 과정에서 예상되는 리스크에 대한 보안대책을 조건으로 부과하고 금융감독원·금융보안원이 신청 기업별 보안 점검·컨설팅을 실시하는 등 충분한 안전장치를 마련할 계획이다. 또한 금융감독원과 금융보안원은 자체적으로 보안 시스템을 구축하기 어려운 기업들의 신청을 받아 보안 점검·컨설팅도 지원한다. 동국대학교 국제정보대학원 황석진 교수는 "그동안에는 민감 데이터 보호를 위해 망분리를 활용하는 것이 합리적이라고 생각했지만 클라우드를 비롯한 여러 기술의 발전으로 더 이상 효율적이라고 말하기 어려운 면이 있다"며 "보안 역시 기술의 발전으로 클라우드에서 더 나은 보안 환경을 갖출 수 있게 된 만큼 크게 우려할 부분은 거의 없다고 본다"고 설명했다. 금융보안원 혁신지원팀의 서호진 팀장은 "금융업계의 DX를 통한 산업의 발전을 위해 많은 노력을 기울이고 있다"며 "DX과정에서 어려움을 느끼는 금융 기업들이 도움을 요청한다면 언제든 최선을 다해 지원하겠다"고 말했다.

2024.08.20 15:59남혁우

금융 서비스 규정 준수·보안 강화 '필수'…레드햇이 제시한 방안은?

레드햇이 리스크를 효과적으로 관리하고 보안성을 유지할 수 있는 플랫폼을 앞세워 금융 시장 공략에 속도를 내고 있다. 레드햇은 금융 서비스 분야에서 조직의 GRC(거버넌스, 리스크 관리, 컴플라이언스) 절차를 보완하는 혁신적인 접근 방식인 '자동화된 코드형 정책'을 '앤서블 자동화 플랫폼(Red Hat Ansible Automation Platform)'을 통해 지원하고 있다고 14일 밝혔다. 금융 기관에서 자동화된 코드형 정책을 사용하면 앤서블(Ansible) 자동화에 대한 규칙을 적용할 수 있다. 정책을 각 자동화 작업에 수동으로 통합할 필요 없이 자동화 작업의 어느 단계에서나 정책을 적용할 수 있다. 또 정책을 코드화함으로써 금융 기관은 일관되게 표준 정책을 적용하고 규정 미준수 또는 운영 실패의 위험을 줄일 수 있다. 레드햇 관계자는 "규제와 관련한 요건들은 종종 복잡성을 동반하며 이러한 프로젝트 중 상당수는 비용 및 시간 소모적이고 까다로운 경우가 많다"며 "이에 따라 내부 규정이나 더 큰 규제 프로세스의 보안 등을 포함한 세부 요소에서부터 시작해 점차 확장해 나가는 것이 권장된다"고 설명했다. 또 레드햇은 자동화된 코드형 정책이 금융 서비스에 중요한 이유로 ▲운영 일관성 ▲규제 준수 ▲리스크 관리 ▲비용 효율성 ▲향상된 민첩성 등 5가지를 꼽았다. 이 중 운영 일관성은 금융 서비스의 신뢰성을 유지하기 위한 핵심 요소다. 자동화된 코드형 정책은 프로세스의 표준화를 지원해 운영이 정의된 정책을 준수하게 함으로써 재정적 손실이나 고객 불만으로 이어질 수 있는 오류나 운영상의 불일치 가능성을 줄이는 데 도움이 될 수 있다. 금융 서비스는 규제가 아주 엄격한 산업 중 하나로, GDPR, SOX, PCI-DSS 등의 규정 준수가 필수적이다. 자동화된 코드형 정책은 이 같은 규정을 모든 자동화된 프로세스에서 일관되게 적용하는 것을 돕고 문제의 신속한 해결할 수 가능케하기 때문에 벌금이나 평판 손상의 잠재적 위험을 줄일 수 있다. 리스크 관리 측면에서도 자동화된 정책은 중요하다. 이를 적용하면 데이터 암호화나 액세스 제어, 감사 로깅과 같은 보안 조치를 시행할 수 있다. 예를 들어 알려진 취약점이 있는 애플리케이션이 배포되거나 민감한 데이터가 암호화되지 않은 형식으로 저장되는 것을 방지할 수 있다. 이러한 점검을 자동화함으로써 데이터 유출 및 기타 보안 사고의 리스크를 크게 줄일 수 있다. 비용 절감 측면에서도 유리하다. 수동으로 정책을 적용하는 것은 많은 리소스를 필요로 하며 인적 오류가 발생하기 쉽다. 정책 시행을 자동화하면 일일이 관리 감독할 필요성이 줄고, IT팀이 전략적 업무에 집중할 수 있게 한다. 또 통제되지 않은 클라우드 지출이나 규정에 어긋난 리소스 구성과 같은 문제를 줄여 운영 비용을 관리하는 데 도움이 된다. 자동화된 코드형 정책은 새로운 규정, 기술 및 비즈니스 요구사항에 신속하게 적응할 수 있는 유연성도 제공한다. 정책을 중앙에서 업데이트하고 모든 자동화 워크플로우에 적용할 수 있어 조직은 역동적인 환경에서도 민첩성을 유지하고 규정을 준수할 수 있다. 다만 금융 기관에서 자동화된 코드형 정책을 시작하기 위해서는 주요 정책을 식별하고 레드햇 앤서블 자동화 플랫폼과 같은 플랫폼을 활용해 자동화된 코드형 정책 프로세스를 간소화하는 것이 중요하다. 또 관리가 쉬운 작은 범위서부터 시작하고 전문 지식과 자신감이 쌓임에 따라 범위를 점차 확장해 나갈 필요가 있다. 레드햇 관계자는 "자동화된 코드형 정책은 단순히 기술적 발전에 그치는 것이 아니라 금융 서비스 업계가 규정 준수와 보안 및 운영 효율성을 강화하기 위해 필수적으로 고려해야 할 전략적 과제"라며 "정책을 자동화 워크플로우에 포함함으로써 금융 기관은 현대 규제 환경의 복잡성에 보다 자신감 있고 민첩하게 대처할 수 있다"고 설명했다.

2024.08.14 10:34장유미

금보원 해커팀, 美 데프콘서 AI 보안 기술력 입증

한국 정부 소속 기술개발팀이 미국에서 글로벌 해커들 상대로 사이버보안 기술력을 입증했다. 금융보안원은 자체 화이트해커팀 '레드IRIS'가 미국 라스베이거스에서 열린 국제 해킹대회 '2024 데프콘(DEFCON CTF 32)'에서 최종 3위를 차지했다고 13일 밝혔다. 데프콘은 사이버보안 분야에서 가장 권위 있는 세계 보안 대회로 알려졌다. 참가자들은 레드IRIS와 산하 테크보드 소속이다. 이번 대회에서 미국 등 여러 국가 보안 전문가들로 구성된 국제연합팀(SuperDiceCode) 일원으로 참여해 해킹 실력을 선보였다. 이들은 금융권의 보안 수준을 한 단계 높이기 위해 다양한 업무를 수행하고 있다. 지난 2월 은행권 대상으로 블라인드 사이버 모의해킹 훈련을 수행했다. 3월에는 서드파티 솔루션을 이용한 공급망 공격기법을 해커 관점에서 심층 분석해 방어 대책을 포함한 보고서를 발간하기도 했다. 올해 데프콘에선 거대언어모델(LLM)을 활용한 문제가 출제되는 등 최신 트렌드인 인공지능(AI)이 핵심 주제로 나왔다. 실제 최근 AI 이용이 활성화되면서 안전한 AI 중요성을 인식한 글로벌 빅테크 기업들은 AI 전담 레드팀이나 퍼플팀을 구성하는 등 AI 위협 대응을 강화하는 추세다. 금보원도 금융권 AI 활성화에 발맞춰 신뢰할 수 있는 AI 활용을 지원하고자 AI를 대상으로 하는 악의적인 공격·방어 역량을 강화하고 있으며 인력 보강을 병행한다는 점을 밝혔다. 김철웅 금보원 원장은 "높은 전문성과 정보보호 역량 갖춘 직원들이 국제 해킹대회에서 우수한 성과를 거둬 금융보안 전담기관 위상을 높였다"며 "글로벌 이슈인 AI 보안 수준을 높일 수 있도록 AI 대상으로 기존 모의 공격과 방어 업무를 차질 없이 확대해 나갈 계획"이라고 말했다.

2024.08.13 16:33김미정

금융권 망분리 규제 특례 시행…생성형AI 활용 가능해진다

금융위원회가 인터넷 차단(망 분리) 규제를 단계별로 개선해 금융업권의 생성형 인공지능(AI)과 서비스형 소프트웨어(SaaS) 등을 활용할 수 있게 하기로 했다. 13일 오후 김포 KB국민은행 통합IT센터에서 열린 '금융분야 망 분리 개선 로드맵' 행사에서 김병환 금융위원장은 "클라우드·AI 등 급변하는 IT 환경 하에서 일률적인 망 분리 의무화 정책은 우리나라에만 존재하는 대표적인 규제로 국내 금융산업의 글로벌 경쟁력을 저해하는 요인으로 지적받고 있다"며 "망 분리 규제를 일시에 완화하기보다는 충분한 안전 장치를 전제로 단계적인 규제 개선을 추진해 나갈 계획"이라고 말했다. 크게 망 분리 규제는 두 가지 방향으로 바뀔 전망이다. 하나는 즉시 망 분리 규제가 필요한 부분에 대해서는 규제 샌드박스(특례)로, 다른 하나는 '디지털 금융보안법'을 제정해 전반적인 금융업권의 보안에 관해 다루겠다는 것이다. 금융사는 규제 특례를 통해 생성형AI를 쓸 수 있게 된다. 금융사 내부와 AI모델(외부) 간 연결을 위한 망 분리 규제 특례나, 해외 소재 AI를 통한 가명정보 처리를 위한 데이터 특례를 부여해 생성형AI 개발과 적용이 가능해진다는 것이 금융위 측 설명이다. 그러나 해외 소재 AI에 가명처리된 개인 정보를 처리하는 데이터 특례는 개인정보보호법이 걸려 있어 개인정보보호위원회와 논의가 필요하다. 금융위 측은 "예상되는 리스크에 대한 보안대책을 조건으로 부과하고 금융감독원·금융보안원이 신청 기업별 보안 점검·컨설팅을 실시하는 등 충분한 안전장치를 마련할 계획"이라고 설명했다. 사내 업무에만 활용됐던 클라우드 기반 SaaS도 이용 보안 관리, 고객 관리(CRM) 등에 쓸 수 있도록 규제 특례가 부여된다. 향후 규제 특례로 도출된 사례를 통해 금융위는 올해 4분기부터 디지털 금융보안법 마련을 준비한다. 법의 기본은 금융사가 세부 보안 통제를 자율적으로 구성하되, 사고 발생 시 배상 책임을 확대하고 과징금을 부과하는 방향이다. 이밖에 제3자 리스크(3rd-party risk)에 대한 관리를 강화하기 위해 관련 제도 정비를 추진한다는 방침이다. 김병환 위원장은 "그동안 망 분리에 기대어 보안 분야 투자에 소홀함이 있었다면, 지속적으로 확대해 나가는 계기가 되길 바란다"며 "제도 개선 상황을 주시하면서 필요한 보완 조치를 취해나가겠다"고 강조했다.

2024.08.13 14:00손희연

'금융' 시장 노린 S2W, AI·보안 기술 앞세워 전문 TF 출범

세계 최고 수준의 다크웹 모니터링 기술과 인공지능을 기반으로 한 '금융업계 특화 전문 TF'가 출범한다. S2W는 금융 시장에서 필요로 하는 보안 솔루션 개발 및 데이터 위협 감지에 최적화된 금융 보안 TF를 발족했다고 13일 밝혔다. S2W 금융 보안 TF는 다크웹과 텔레그램 등을 통해 급속도로 증가하는 금융권 정보 유출 피해에 선제적으로 대응하기 위한 전문팀이다. 금융업계는 민감한 데이터와 자산을 다루는 핵심 영역인 만큼 해커들의 공격 대상이 돼 정보 및 자금 탈취 행위가 끊이지 않는 분야다. 국내 금융사를 보호할 수 있는 보다 고도화된 보안 기술력과 운영 노하우가 필요한 영역인 셈이다. 이에 S2W는 자사가 보유하고 있는 강력한 다크웹 모니터링 기술과 금융 보안 전문성으로 사이버 금융 보안 위협을 실시간 스크리닝하고 문제에 효과적으로 대응할 수 있도록 은행, 증권, 투자, 보험, 카드사 등 금융업계에 최적화된 위협 인텔리전스를 선보인다. 특히 S2W의 사이버보안 인텔리전스 솔루션은 '다크버트', '사이버튠' 등으로 명명되는 AI 기술 기반의 언어모델을 활용해 암호화돼 있는 비정형 위협 데이터까지 효과적으로 확인할 수 있는 것이 장점이다. S2W 금융 보안 TF에는 국내 최고 권위의 보안 및 데이터 전문가들이 한데 모였다. 먼저 금융보안원에서 CTI 분석 핵심 역할을 역임한 김재기 센터장이 TF 리더를 맡아 팀을 이끈다. 또 카이스트 출신 다크웹 분석 AI 개발 전문가 윤창훈 R&D 상무, 다크웹 데이터 분석 전문가 오재학 사업개발 팀장 등 총 7명이 주축을 이뤄 사이버 보안과 AI를 아우르는 금융 기업별 맞춤 솔루션을 제시할 계획이다. S2W의 금융 보안 TF 발족은 그동안 해당 시장에서 쌓아 온 풍부한 노하우가 계기가 됐다. S2W의 다크웹 데이터 가공 기술이 기반이 된 다크웹 전문 AI엔진과 보안 솔루션은 인터폴, 대만증권거래소 등의 글로벌 기관에 공급됐다. 여기에 수년 전부터 유수의 국내 은행 및 카드사를 고객사로 보안 솔루션을 공급하며 높은 신뢰도를 확보해 왔다. S2W의 금융 보안 TF 결성은 앞으로 관련 시장을 보다 전문적이면서도 집약적으로 파고드는 계기이자 금융 보안 기술 시장의 구심점이 될 것으로 전망된다. S2W 김재기 센터장은 "민감한 주요 자산을 많이 내포하고 있는 금융권 데이터는 해커들의 주요 타겟이 돼 강력한 보안이 필수적으로 요구되는 영역"이라며 "자사 금융 보안 TF는 각 기업과 기관 고객에게 필요한 금융 사이버보안 토탈 서비스를 제공하며 실질적인 도움을 줄 수 있을 것으로 기대하고 있다"고 말했다.

2024.08.13 10:49장유미

[현장] '글로벌 IT 대란' 언급한 금보원..."금융SW도 대비해야"

"크라우드스트라이크 사태는 긴밀히 연결된 정보사회의 위험성을 보여줍니다. 금융회사는 국민생활에 부정적인 영향을 끼칠 수 있는 사태를 방지하기 위해 안정적인 금융시스템을 구축해야 합니다." 금융보안원 임구락 사이버본부장은 5일 여의도에서 열린 '한국 금융보안의 현주소와 나아갈 방향' 세미나에서 크라우드스트라이크 사태와 같은 사이버 위협의 위험성을 강조했다. 지난달 19일 크라우드스트라이크의 보안소프트웨어 '팔콘' 업데이트 문제로 윈도 운영체제에 블루스크린이 발생했다. 이로 인해 전세계적으로 사회기반 시설이 다운돼 항공, 교통, 방송, 금융 등 다양한 서비스에 피해가 발생한 바 있다. 임 본부장은 "국내 금융권은 이번 사태로 인한 피해를 입지 않았지만 그 원인이 무엇이었는지에 대한 철저한 논의가 필요하다"며 "유사한 소프트웨어(SW) 공격이 발생할 가능성을 염두에 두고 구체적인 대응 전략을 수립해야 한다"고 밝혔다. 이어서 진행된 패널 토론에는 국민대 윤명근 교수, KB국민은행 이재용 최고정보보안책임자(CISO), 토스증권 지정호 CISO, 엔키화이트햇 이성권 대표 등 다양한 전문가들이 참석했다. 이들은 IT 장애의 원인·영향과 소프트웨어 공급망 보안체계에 대한 논의를 진행했다. 지정호 CISO는 이번 사고의 해법으로 규제 강화보다는 문제의 본질적 원인을 찾아 IT 환경을 관리할 것을 촉구했다. 그는 토스 증권의 사례를 설명하며 "패치를 인터넷 PC에 먼저 배포한 후 업무용 PC에 배포한다"며 "이와 같은 점진적 배포 방식은 업무환경에 대한 리스크를 최소화할 수 있다"고 설명했다. 일각에서는 크라우드스트라이크 패치 업데이트가 품질검증 절차 없이 진행된 것이 문제의 핵심이라고 지적했다. SW 중요성이 커지고 있음에도 금융권의 대비는 여전히 부족한 상태다는 설명이다. 윤 교수는 "금융권은 전통적인 하드웨어의 이중화와 삼중화는 잘 돼 있지만 SW 대비가 부족하다"며 "SW 업계도 철저한 대비가 필요하다"고 주장했다.

2024.08.05 17:00조이환

금융보안원, 금융권 보안대책 마련 나선다

금융보안원이 금융권 소프트웨어 공급망 보안체계에 대한 철저한 대비책 마련을 위해 행동에 나섰다. 금융보안원은 다음달 5일 여의도에서 '한국 금융보안의 현 주소와 나아갈 방향'을 주제로 세미나를 개최한다. 이번 세미나는 소프트웨어 공급망 보안체계의 중요성을 강조하고 정책·기술적 대응 방안을 논의하기 위해 마련됐다. 세미나에는 윤명근 국민대학교 교수, 이재용 KB국민은행 최고정보보안책임자(CISO), 지정호 토스증권 CISO, 이성권 엔키화이트햇 대표 등 다양한 전문가들이 참여한다. 이들은 패널 토론을 통해 IT 장애의 원인·영향과 소프트웨어 공급망 보안체계의 취약점을 검토할 예정이다. 참가 희망자는 금융보안원 홈페이지 사전등록을 통해 세미나에 참석할 수 있다. 사전등록은 31일부터 가능하며 현장등록도 허용된다. 김철웅 금융보안원장은 "세미나를 통해 금융권 전체가 소프트웨어 공급망 보안체계의 중요성을 인식하고 철저한 대비책을 마련하기를 기대한다"고 밝혔다.

2024.07.31 16:35조이환

금융보안원 "안전한 금융 AI 선도한다"

안전한 금융 인공지능(AI) 활용을 선도하기 위해 금융보안원이 '금융보안 AI 워킹그룹'을 출범한다. 금융보안원은 여의도 사무소에서 19개 금융기관과 함께 AI 보안 정보 공유·공동과제 발굴을 위한 첫 회의를 개최했다고 25일 밝혔다. 이번 워킹그룹은 금융회사 보안·AI 담당자들의 협력을 통해 마련됐다. 이로써 AI 안전성과 신뢰성을 저해할 수 있는 다양한 보안 위협에 신속하게 대응할 계획이다. 또 이들은 금융회사의 의견을 수렴해 금융당국에 건의할 예정이다. 더불어 금융위원회 주관 '금융권 AI 협의회' 논의사항을 워킹그룹에 전파해 금융당국과의 연계를 강화할 계획이다. 첫 회의에서는 국내·외 AI 안전 프레임워크(AI Safety FRAMEwork) 동향, 금융 AI 모델 보안성 검증 체계, 금융분야 연합학습 활용방안 등 다양한 주제에 대한 활발한 논의가 진행됐다. 참석자들은 향후 금융권의 AI 기술 활용에 대한 관심과 투자가 증가할 것으로 전망했다. 김철웅 금융보안원장은 "기술 활용 전반에 걸쳐 안전성과 신뢰성을 확보하는 것이 매우 중요하다"며 "AI 활용에 따른 다양한 문제를 금융권이 함께 해결할 수 있도록 적극 지원하겠다"고 강조했다.

2024.07.25 18:34조이환

LGU+, 금융보안원과 보이스피싱 막는다

LG유플러스와 금융보안원이 신종 보이스피싱 악성앱 정보를 실시간으로 공유해 접속을 차단해 국민들의 피해를 막는 활동에 힘을 모으기로 했다. LG유플러스는 18일 서울시 강서구 마곡 LG사이언스파크에서 금융보안원과 '보이스피싱 예방 및 대응을 위한 업무협약(MOU)'을 체결했다. 업무협약에 따라 금융보안원은 365일, 24시간 운영 중인 '피싱사이트 보이스피싱 악성앱 탐지시스템'을 통해 얻은 정보를 실시간으로 LG유플러스에 공유할 예정이다. LG유플러스는 제공 받은 정보를 토대로 피싱사이트 및 보이스피싱 악성앱 유포지 접속을 원천적으로 차단, 국민 피해 예방에 나선다. 양 기관은 또 스미싱, 전화번호 가로채기 등 신종 보이스피싱에 대한 다양한 정보를 공유하고 관련 분야의 기술협력을 강화해 신종 사기 피해 대해서도 선제적으로 대응해 나가기로 했다. 금융보안원은 나날이 지능화되고 복잡해지는 보이스피싱에 효과적으로 대응하기 위해 '범금융권 보이스피싱 사기정보 공유체계'를 운영하고 있다. 이를 통해 금융, 공공, 통신, 보안 등 다양한 분야의 전문기관들과 보이스피싱 관련 정보를 실시간으로 공유하고 있다. 이번 업무협약을 통해 국내 3대 통신사 중 하나인 LG유플러스도 체계에 참여함으로써 보이스피싱 피해 예방 효과가 더욱 증대될 것으로 기대된다. 홍관희 LG유플러스 사이버보안센터장은 "갈수록 보이스피싱 공격의 피해가 심각해지고 있는 만큼, 이에 대응하기 위해 모든 기관이 힘을 모아야 할 시점”이라며 “앞으로 금융보안원과 긴밀한 협력을 이어가는 것은 물론이고, 전사적으로 노력을 기울여 '고객 피해 제로'를 달성해 나가겠다”고 말했다.

2024.06.19 09:50최지연

'금융사 앱·HTS 보안 취약점 찾아라'…버그바운티 운영

금융사 애플리케이션(앱)·홈트레이딩시스템(HTS)·웹사이트의 알려지지 않거나 조치방안이 없는 보안 취약점을 해결하기 위해 화이트해커 등을 대상으로 버그바운티를 운영한다. 금융감독원은 금융보안원과 오는 6월부터 8월 31일까지 대한민국 거주자 대상으로 집중신고 기간을 운영한다고 28일 밝혔다. 취약점 탐지 대상으로 은행·증권·보험 등 총 21개 금융회사가 참가하며 취약점을 찾는 공격자는 화이트해커·학생·그 외 일반인 등 대한민국 국민 누구나 참가 신청 및 승인 후에 참여할 수 있다. 신고된 취약점은 전문위원들의 평가를 거쳐 최대 1천만원의 포상금이 지급될 예정이며, 위험도가 높고 파급력이 큰 취약점의 경우 금융회사에 신속하게 전파해 보완할 계획이다. 금감원과 금보원은 앞으로 버그바운티를 지속 확대해 나간다. 보다 많은 금융회사들이 참여할 수 있도록 취약점 분석평가 업무 시 인센티브 부여 등 관련 내용도 함께 검토한다는 계획이다. 금감원 이복현 원장은 “버그바운티는 나날이 고도화 되어가는 사이버 위협에 대비할 수 있는 새로운 형태의 보안역량 강화 프로그램"이라며 "이번 기회를 통해 금융권의 보안 수준이 한층 더 강화되는 계기가 됐으면 한다"고 말했다.

2024.05.28 09:20손희연

IMF 총재에게 이메일을 받았다

국제통화기금(IMF)과 IMF 총재를 사칭한 피싱 메일이 유포되는 것으로 확인됐다. 누구에게 얼마나 유포된 지 확인할 수 없지만 지난 23일 기자는 IMF로부터 한 통의 이메일을 받았다. 이메일에는 매끄럽지 않은 한국어가 적혀 있었으며, 발신자는 '크리스탈리나 게오르기예바' IMF 총재로 되어 있었다. 내용은 '언급한 펀드에 대해 알려드린다' '장기 연체 금액을 즉시 해제하며 보류된 결제 금액이 (수신자의) 은행으로 즉시 이체되며, 즉시 연락을 해달라'이다. 즉, 어떤 연유에서 계좌를 쓸 수 없게 됐는데 IMF의 협조로 풀렸으며 동결된 돈을 주겠다는 것이다. 풀어주겠다고 하는 돈은 150만달러(20억5천200만원)이다. 만약 20억원이 있다면, 이 내용이 혹할 수 있다. 없더라도 받을 수 있음을 암시하고 있기 때문에 메일에 회신을 할 수도 있다. 하지만 이 메일을 받은 기자는 돈도 없을 뿐더러 받을 것이라고 확신하지 않아 회신하지 않다. 또 결론적으로 이는 피싱을 유인하기 위한 스팸 메일이기 때문이다. 실제 구글 사이트에서 해당 내용을 검색한 결과 일부 나라에서는 수 십 여명이 같은 내용의 메일을 통해 사기를 당했다는 뉴스가 소개되기도 했다. 스캐머뉴스에 따르면 바보같아 보이지만 속는 사람이 있다. 이와 관련해 보안업계에서는 장난같아 보이더라도 수상한 내용에 대해 답신하지 말거나 응대하지 말 것을 당부했다. SK쉴더스 관계자는 "피싱 공격은 지속적으로 발생해왔으며 특정인, 업무 관계자로 사칭하는 수법으로 고도화되고 있다"며 "메일에 포함된 링크나 첨부파일을 클릭하지 않아야 하며 기업에서는 피싱 메일을 복합적으로 탐지할 수 있는 보안 솔루션을 도입하는 것이 필요하다"고 조언했다.

2024.05.26 11:54손희연

금융보안원-KISA, 금융 사이버 침해사고 대응 맞손

정부가 금융 서비스 관련 사이버 위협 대응을 본격화한다. 금융보안원은 한국인터넷진흥원(KISA)과 손잡고 금융 분야 사이버 침해사고 대응 협력을 위한 업무협약을 체결했다고 14일 밝혔다. 최근 보안인증 소프트웨어(SW) 취약점을 악용한 PC해킹 및 악성코드 유포 사고 발생 등 금융 서비스와 관련한 사이버 위협이 증가하고 있다. 특히 지난해 해커가 온라인 쇼핑몰에 무단 로그인해 포인트 등을 탈취하는 크리덴셜 스터핑 공격이 다수 발생했다. 민간 기업의 침해사고가 사용자의 금전적 피해를 유발하는 등 다양한 분야에 걸친 침해사고로 광범위한 피해 사례가 확인되고 있다. 금융 분야 해킹사고는 국민들의 금전피해를 유발하는 민감한 사안으로, 담당 기관 간의 공조 및 유기적인 협력을 통해 철저한 대응이 요구된다. 이에 금융 분야 침해사고 대응 기관인 금융보안원은 인터넷·정보보호 전문기관인 KISA와 함께 금융권의 사이버 위협에 공동으로 대응하기 위해 업무협약을 추진했다. 두 기관은 앞으로 금융분야 관련 ▲신규 보안 취약점 발굴 협력 및 상시 정보 공유 ▲침해사고 합동 조사 및 원인 분석‧대응 공조 ▲사이버 위협 정보 상호 공유 등을 위해 협력한다. 올해 2월 금융보안원이 금융분야 SW 글로벌 취약점 관리번호(CVE) 번호 발급기관(CNA, CVE)으로 신규 지정됨에 따라 18년부터 CNA로 활동해온 KISA와 취약점 분석‧평가 및 데이터베이스(DB) 운영 등 취약점 관리 체계 구축 전반에서 협력을 강화할 예정이다. 이번 협약을 계기로 두 기관은 국가 취약점을 관리하는 대표기관으로서 국제적 위상을 높일 방침이다. 최신 악성코드 및 주요 해킹조직의 활동 추적 등 위협정보도 상시 공유한다. 가상자산 등 금융 분야 해킹사고 발생 시 두 기관의 전문성을 결합한 합동조사를 통해 신속하고 정확한 원인 분석 대응 등 국민 피해 방지를 위해 최선을 다할 것이라고 밝혔다. 김철웅 금융보안원 원장은 "이번 협약을 통해 국경을 초월하는 사이버 침해위협에 선제적으로 대응할 수 있는 공조 체계가 만들어질 것"이라며 "국가 사이버 안보를 한층 더 강화하는데 기여할 수 있을 것"이라고 밝혔다. 이상중 KISA 원장은 "최근 금융 산업의 발전과 함께 진화하는 다양한 사이버 위협에 효과적으로 대응하기 위해서는 무엇보다 산업 간의 협력이 중요하다"며 "이번 업무협약을 통해 금융 분야 사이버 위협 대응 공조 등 국민의 안전한 금융서비스 이용을 위해 유관기관과 협력을 지속적으로 강화해 나가겠다"고 말했다.

2024.05.14 17:21김미정

세일즈포스, 금융보안원 CSP 안전성 평가 완료

세일즈포스코리아는 금융보안원의 클라우드 서비스 제공 업체(CSP) 대상 안전성 평가를 완료했다고 9일 밝혔다. 평가 대상은 세일즈포스의 '하이퍼포스'다. 세일즈포스는 작년 국내에서 차세대 클라우드 플랫폼인 하이퍼포스의 서비스를 공식적으로 시작함에 따라 민감 데이터를 다루는 금융, 공공, 의료, 통신 산업 등의 고객을 위해 다양한 퍼블릭 클라우드상에서 세일즈포스 CRM 플랫폼을 구축 및 운영할 수 있도록 지원한다. 세일즈포스에 따르면 하이퍼포스는 더 강력해진 안정성, 유연성, 확장성, 보안성을 기반으로 세일즈포스 운영 안전성 향상에 기여하며, 한국 내 데이터 레지던시 확보를 지원한다. 엄격한 데이터 보안 규정을 요구하는 일부 산업의 기준에 부합하는 제로 트러스트 원칙과 암호화 키를 포함한 보안 및 데이터 스토리지 서비스를 제공하고 있다. 세일즈포스는 이번에 금융보안원의 CSP 안전성 평가를 마친 하이퍼포스를 기반으로 국내 금융 기업의 고객경험 혁신과 조직의 생산성 향상을 위해 필요한 데이터 스토리지 역량을 확보했다. 각종 규제로 인해 디지털 기술 활용에 제약이 있었던 국내 금융 산업에서의 성장과 생태계 확장에도 박차를 가할 예정이라고 전했다. 세일즈포스는 현재 '신뢰'를 최우선 기업 가치로 삼고 고객 데이터 보안 및 부적절한 데이터 노출 방지를 위한 다중인증(MFA)과 시스템 투명성을 위한 트러스트닷컴 웹사이트를 운영하고 있다. 세일즈포스에 따르면, 태블로를 도입한 토스뱅크, KB국민은행 등의 국내 금융기관뿐만 아니라, US뱅크, 스페인계 은행 산탄데르 영국 지사, 신용협동조합 펜피드, 브라질 최초 은행 인터 등의 글로벌 금융 기업들이 세일즈포스와 디지털 혁신 여정을 함께하고 있다. 세일즈포스코리아 손부한 대표는 “세일즈포스는 이번 CSP 안전성 평가를 완료함에 따라 국내 금융, 교육, 공공 의료 등 보안 및 데이터 안전성이 강조되는 산업군 대상의 지원을 강화할 수 있는 역량과 경쟁력을 확보했다”며 ”앞으로도 세일즈포스는 신뢰할 수 있는 AI CRM 솔루션을 통해 국내 기업이 겪고 있는 디지털 혁신 여정 간의 진입장벽 해소와 더불어, 금융권을 포함한 다양한 산업의 디지털 혁신을 지원하기 위한 노력을 아끼지 않겠다”고 밝혔다.

2024.05.09 14:46김우용

KTR, 신용카드 결제단말 시험기관 지정

KTR(한국화학융합시험연구원·원장 김현철)이 여신금융협회로부터 신용카드 결제단말 보안성 등을 시험하는 시험기관 지정을 받았다고 8일 밝혔다. 이에 따라 신용카드 단말기 제조기업은 KTR의 보안 시험을 거쳐 적합 여부를 확인받고 신용카드 단말기를 금융위원회에 등록할 수 있게 됐다. 소비자들이 신용카드 가맹점 결제시 사용되는 CAT(Credit Authorization Terminal), POS(Point of Sale), 카드리더(Card Reader) 등과 같은 단말은 여신전문금융업법에 따라 가맹점 등록·사용 전에 의무적으로 금융위원회에 등록해야 한다. 또 금융위 등록을 위해서는 지정 시험기관에서 정보보호 기술기준에 따른 신용카드 위변조 및 고객 금융정보 보호 등의 적합 여부를 검증받아야 한다. KTR의 이번 신용카드 단말 보안성 시험기관 지정으로 기존 2곳에 불과하던 시험기관이 3곳으로 늘어 관련 기업의 시험 병목현상 해소에 도움이 될 전망이다. 여신금융협회의 이번 기관지정은 6년 만에 이뤄졌다. 기존 TTA·KSEL 등 시험기관에 이어 KTR이 보안시험을 수행할 수 있게 됨에 따라 시험 수요가 분산돼 기업들의 대기 시간이 줄어들 전망이다. 김현철 KTR 원장은 “이번 시험기관 지정으로 모든 국민이 사용하는 신용카드 결제 서비스의 안전성과 신뢰성 제고에 기여하게 됐다”며 “앞으로도 소프트웨어 보안 시험인증 경쟁력을 더욱 높여 생활속 안전과 편의성 확보를 도울 것”이라고 밝혔다. 한편, KTR은 정부 지정을 받은 우수소프트웨어 인증(GS인증)기관 및 정보보호제품평가 인증(CC인증)기관으로서 정보보호시스템과 소프트웨어 안전성 및 품질 제고를 지원하고 있다.

2024.05.08 17:09주문정

"AI 활용 보안 문제 혁신적 해결"…금보원, AI 아이디어랩 공모전

금융보안원과 코드게이트보안포럼이 창의적인 인공지능(AI) 아이디어 발굴에 나선다. 금융보안원은 '코드게이트 AI 아이디어랩 공모전'을 개최한다고 30일 밝혔다. 이번 공모전은 보이스피싱, 딥페이크·딥보이스, 전자상거래, SNS 투자 사기, 디지털 범죄, 웜GPT와 같이 산업, 문화, 경제 등 사회 전반에 걸쳐 발생할 수 있는 보안 문제를 해결하는 데 필요한 AI 활용 기술이나 서비스 아이디어를 받는다. 참가 자격에 대한 제한은 없으며, 개인 또는 4인 이하의 팀을 구성해 참가할 수 있다. 심사는 1차(서류 및 기획서 평가), 2차(예선), 3차(본선)로 나눠지며, 정보보호 및 AI 분야 전문가들이 심사위원으로 참여해 우수 아이디어를 선별한다. 김철웅 금융보안원 원장은 "금융 분야에 AI 기술 접목이 지속 확대되는 만큼 이번 공모전이 AI가 금융혁신뿐만 아니라 소비자 보호 수준도 높일 수 있음을 보여주는 계기가 되기를 바란다"고 밝혔다.

2024.04.30 13:55이한얼

금융보안원, '락드쉴즈 2024' 참가…국제 사이버戰서 역량 뽐내

금융보안원이 지난 22일부터 북대서양조약기구(NATO)가 개최한 '락드쉴즈 2024'에서 높은 수준의 사이버 공격 역량을 뽐냈다. 금융보안원은 '락드쉴즈 2024'에 3년 연속 참여해 유의미한 성과를 얻었다고 29일 밝혔다. 락드쉴즈 훈련은 나토 회원국 간의 사이버 위기 대응 능력을 강화하기 위해 매년 개최하고 있다. 우리나라는 올해 국가정보원을 중심으로 금융보안원을 포함한 국방부·한국전력공사 등 민·관·군 11개 기관, 80여 명이 훈련에 참여했다. 금융보안원은 이번 훈련 참여를 위해 사이버공격 방어 전문가로 구성된 17명의 최정예 직원을 선발해 참가했다. 이번 훈련에서는 공세적 방어 전략에 방점을 둬 최정예 화이트해커로 구성된 RED IRIS 소속 직원들이 취약점을 찾아 선제적으로 대응했다. 또 디지털 포렌식 챌린지 등 공격 경로 및 방식 등을 살펴 다양하게 시도된 사이버 공격에 대해서 주도적으로 방어했다. 공격팀으로부터 가상의 디지털정부플랫폼 등 주요 민간 인프라를 대상으로 홈페이지 위변조, 악성코드 전파 공격 등을 실시간으로 대응했다. 침해지표 등을 활용해 위협대상을 식별하는 등 전문적인 사이버공격 방어 역량을 선보였다.

2024.04.29 11:45이한얼

자비스앤빌런즈, 'AI 보안 업체' S2W와 MOU 체결

'삼쩜삼'을 운영하는 자비스앤빌런즈가 인공지능(AI) 보안업체인 'S2W'와 서비스 보안 강화 및 AI 시스템 구현을 위한 전략적 업무협약(MOU)'을 체결했다고 22일 밝혔다. 개인정보 보호와 사이버 보안을 강화하고, 생성형 AI를 활용한 신사업에도 적극 협력하기로 했다. S2W는 카이스트(KAIST) 네트워크 보안 전문 연구진을 주축으로 지난 2018년 설립돼 다크웹과 랜섬웨어, 피싱과 스미싱 등 온라인상의 사이버 위협을 탐지하고 분석·대응하는 기술을 보유하고 있다. 현재 인터폴(국제형사경찰기구)을 비롯한 국내외 주요 기관 및 금융·통신 업체 등과 협업 중이다. 자비스앤빌런즈 김범섭 CEO는 “고객들에게 안전한 삼쩜삼 플랫폼을 제공하는 동시에 AI 신사업 발굴에도 적극 협력하겠다”고 밝혔다.

2024.04.22 15:12손희연

금융보안원, 금융사기 수법 심층 분석…인텔리전스 보고서 공개

금융보안원은국내 신용카드 정보가 탈취되고 부정결제까지 이어지는 신종사기를 면밀히 분석한 보고서를 발간했다. 금융보안원은 이같은 내용을 담은 사이버위협 인텔리전스 보고서 2편을 22일 공개했다. 오퍼레이션 마이다스는 120여 종의 불법 HTS(홈트레이딩시스템) 프로그램 및 인프라를 분석했다. 불법 HTS 사기조직의 투자자 유인 수법부터 거액의 투자금 편취까지 이어진 범죄수법의 전반을 밝혀냈다. '오퍼레이션 포이즌애플'은 피싱페이지가 삽입된 국내 중·소규모 쇼핑몰 50여 곳을 통해 신용카드 정보가 탈취되고 부정결제까지 이어지는 신종사기를 면밀히 분석했다. 김철웅 금융보안원 원장은 "이번 분석은 검·경 등 유관 기관과의 긴밀한 협조를 통해 범죄조직 검거까지 이뤄낸 좋은 사례"라면서 "앞으로도 금융소비자 피해를 최소화하기 위해 금융사기 관련 위협을 지속적으로 모니터링하고 분석하여 이를 신속히 금융회사와 유관 기관에 공유할 것"이라고 밝혔다.

2024.04.22 12:18이한얼

스틸리언, 인니서 보안 수출 물꼬…금융 기업에 앱수트 공급계약

국내 보안 기업 스틸리언이 아세안(ASEAN) 수장국 인도네시아에서 보안 분야 수출 물꼬를 텄다. 스틸리언은 인도네시아 금융기업 아디라 파이낸스(Adira Finance)에 모바일 앱 보안 통합 솔루션 '앱수트 프리미엄'을 공급한다고 16일 밝혔다. 아디라 파이낸스는 주로 자동차 금융·리스 서비스를 제공하는 금융 기업으로, 인도네시아 멀티 파이낸스(Multi Finance) 분야 1위 기업이다. 아디라 파이낸스는 이번 계약으로 10개 모바일 앱에 스틸리언의 앱수트 프리미엄을 도입한다. 앱수트 프리미엄은 위변조 방지, 소스코드 난독화·암호화 등 다양한 보안 기능을 제공한다. 이를 통해 아디라 파이낸스는 각종 해킹 공격으로부터 모바일 앱을 보호하고, 사용자의 중요 정보 유출 방지를 강화할 방침이다. 특히 이번 계약은 인도네시아 시장 확대에 중요한 발판을 마련할 수 있을 것으로 기대된다. 스틸리언은 이번 계약을 계기로 앞으로 인도네시아 현지 금융권 레퍼런스 확보에 속도를 낼 계획이다. 홍혁재 스틸리언 인도네시아 법인장은 "인도네시아를 포함한 아세안 지역은 떠오르는 신흥 보안 시장"이라며 "이번 공급 계약을 발판삼아 신규 판로 개척에 적극 나서 지속적인 매출 성장을 이루겠다"고 말했다.

2024.04.16 14:32이한얼

ZDNet 검색 페이지

'금융 보안'통합검색 결과 입니다. (88건)