검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'금융 보안'통합검색 결과 입니다. (114건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

S2W "금융권 노리는 사이버 위협, 매년 85% 증가"

S2W가 금융권을 노리는 사이버 위협의 급증에 대한 주의를 촉구하고 대응책을 공유했다. S2W는 26일 자사 공식 홈페이지를 통해 발간한 '금융 보안 보고서'를 통해 다크웹과 텔레그램에서 거래되는 위협 정보를 분석하고 금융기관의 보안 취약점을 경고했다. 이 보고서는 최근 3년간 금융권을 노리는 딥다크웹 위협 포스팅이 연평균 85% 증가했음을 강조했다. S2W는 이번 보고서에서 금융권 데이터를 노리는 해커들이 히든 채널을 통해 위협 정보를 거래하고 있다고 밝혔다. 특히 다크웹의 '브리치포럼'에서 활발히 활동하는 해커들의 동향을 주시해야 한다고 경고했다. 보고서에 따르면 금융권을 겨냥한 데이터 탈취형 악성코드인 '스틸러(Stealer)'의 사용이 급증하고 있다. 특히 레드라인(Redline), 라쿤(Raccoon) 등 6종의 스틸러가 가장 활발히 활동 중이다. 또 보고서는 금융 기관들이 다크웹과 같은 히든 채널에 대한 모니터링을 강화하고 '스틸러' 악성코드의 생태계를 파악해 사전 대응해야 한다고 권고했다. 특히 악성코드 초기 진입 단계에서의 방어와 제어 단계에서의 대응을 구분할 필요성을 강조했다. 김재기 S2W 금융 보안 TF 센터장은 "사이버 공격의 상당수가 금융권을 목표로 하고 있다"며 "금융사뿐만 아니라 협력사와 서드파티까지 보안 대책을 마련해야 한다"고 밝혔다.

2024.09.26 17:29조이환

아-태 지역 금융, 디도스 공격 가장 취약…"사이버 보안 조치 미흡"

아시아-태평양 및 일본 지역의 금융 서비스 업계가 '디도스(DDoS·분산서비스거부)' 공격에 가장 취약한 것으로 나타났다. 디지털 및 최신 기술 도입에 적극 나서고 있지만 유럽, 미국에 비해선 사이버 보안 조치가 미흡한 것으로 파악됐다. 24일 아카마이테크놀로지스가 공개한 신규 인터넷 현황 보고서 '높은 파고를 헤쳐 나가는 방법 : 금융 서비스 업계의 공격 트렌드'에 따르면 금융 서비스 산업은 2년 연속 세계에서 가장 빈번하게 레이어(Layer) 3, 4 디도스 공격의 표적이 된 것으로 나타났다. 금융 서비스 업계는 전체 디도스 공격의 34%로 비중이 가장 컸다. 게임업(18%), 첨단기술업(15%)은 뒤를 이었다. 금융 서비스 기관은 방대한 양의 민감 데이터와 고가 거래를 관리하기 때문에 디도스 공격자들의 주요 표적이 되고 있다. 레이어 3, 4 디도스 공격은 네트워크 및 전송 레이어를 표적으로 삼아 네트워크 인프라를 압도하고 서버 리소스와 대역폭을 고갈시키는 것이 특징이다. 성공적인 공격은 고객 신뢰에 악영향을 미치고 규제 위반을 초래하는 등 심각한 결과를 초래할 수 있다. 아카마이는 "공격자들은 잠재적 피해를 극대화하고 위험 부담이 큰 환경을 활용하기 위해 금융 서비스 기관을 표적으로 삼고 있다"고 설명했다. 아카마이는 보고서를 통해 디도스 공격이 증가하는 또 다른 이유로 지정학적 긴장 상황을 꼽았다. 러시아-우크라이나 전쟁과 관련된 활동으로 유명한 레빌(REvil)을 비롯해 블랙캣(ALPHV), 어나니머스 수단(Anonymous Sudan), 킬넷(KillNet), 노네임057(NoName057) 등 유명 해커 그룹이 금융 기관을 타깃으로 한 공격을 강화하고 있는 것이 대표적 예다. 아카마이는 "최근 이스라엘-하마스 분쟁 이후에도 글로벌 금융 기관에 대한 대규모 사이버 공격이 발생하고 있다"고 밝혔다. 금융 서비스 업계는 브랜드 사칭 및 남용의 피해를 가장 많이 입고 있는 것으로 나타났다. 피싱 공격에서도 높은 비중을 차지하고 했다. 금융 기관을 겨냥한 위조 도메인은 전체 피싱 사례의 68%를 차지하고 있으며 브랜드 사칭은 24%에 달했다. 또 API를 통한 애플리케이션 표적 공격이 급증하고 있는 동시에 문서화되지 않은 섀도 API로 인한 보안 취약점 문제로 떠오르고 있다. 아카마이는 "디도스 발생 빈도가 공격 강도와 늘 상관관계가 있는 것은 아니다"며 "공격이 거의 발생하지 않았지만 해당 데이터가 상당 트래픽 급증을 나타낸 기간이 관착된 것과 같이 디도스 공격을 평가할 때 공격 빈도와 양을 모두 고려해야 한다"고 설명했다. 또 금융 서비스 업계를 향한 공격은 아-태 및 일본 지역에서 가장 활발한 것으로 파악됐다. 높은 인터넷 보급률이 영향을 미쳤다는 분석이다. 또 디지털화가 빠르게 진행된 데다 활발한 소셜 미디어 활동도 주요 원인으로 지적됐다. 아카마이는 이 지역의 금융 기관이 자산 및 데이터 보호, 컴플라이언스, 최신 피싱 및 사기 기법에 대한 고객 교육이라는 세 가지 과제에 직면해 있다고 봤다. 기존의 보안 메커니즘은 랜섬웨어나 API 악용과 같은 정교한 위협을 탐지하는 데 부족한 경우가 많아 기업을 더 잘 보호하고 새로운 규제 기준을 충족하며 고객 신뢰를 보호하기 위해 최신 AI 기반 보안 기술이 필요하다고 강조했다. 스티브 윈터펠드 아카마이 자문 최고정보보호책임자(CISO)는 "사이버 범죄는 광범위한 혼란과 심각한 경제적 피해를 야기하기 때문에 금융 서비스 업계에 심각한 위협이 되고 있다"며 "이 보고서는 전 세계 금융 서비스 업계에 종사하는 사이버 보안 전문가들이 점점 더 복잡해지는 위협 환경과 고객 보호를 위한 모범 사례를 이해하는 데 도움이 될 것"이라고 말했다. 루벤 코 아카마이 APJ 지역 보안 기술 및 전략 디렉터는 "금융 서비스는 웹 애플리케이션 및 API 사이버 공격의 가장 큰 표적이 되는 업계"라며 "최고 정보 보안 책임자 등과 같은 의사 결정권자는 자동화, 위임, 아웃소싱을 신중하게 결정해 점점 더 디지털화되는 세상에서 자산을 보호할 뿐 아니라 고객 충성도를 유지할 수 있는 확장 가능한 보안 솔루션을 확보해야 한다"고 밝혔다.

2024.09.24 11:24장유미

금융권 노린 네이버클라우드, '하이퍼클로바X' 소형 LLM 구축 박차

네이버클라우드가 금융권의 보안 우려를 해소하면서도 생성 AI를 안전하게 도입할 방안을 제시했다. 네이버클라우드는 자체적으로 개발한 거대언어모델(LLM)의 경량화 버전인 '하이퍼클로바X 대시'를 기반으로 금융권 전용 소형언어모델(sLLM)을 구축했다고 19일 밝혔다. 이 모델은 미래에셋증권의 온프레미스 환경에 최초로 적용된다. 앞서 네이버클라우드는 보안 이슈로 인해 생성 AI 도입을 부담스러워하는 공공·금융 분야 기업들을 위한 LLM 구축 사업을 시작한 바 있다. 미래에셋증권과의 협력은 기업이 온프레미스 환경에서 생성 AI를 활용하도록 네이버클라우드가 지원하는 첫 사례다. 네이버클라우드는 '하이퍼클로바X 대시' 외에도 미래에셋증권이 데이터를 학습시키도록 클래스 코드와 기술 지원을 제공했다. 미래에셋증권은 이를 기반으로 사내 데이터를 훈련시켜 금융 업무에 최적화된 sLLM을 구축했다. 미래에셋증권 관계자는 "금융 규제를 준수하면서도 AI 전환을 이루기 위해서는 '온프레미스 LLM'이 최선의 선택이었다"며 "업무별로 특화된 sLLM 구축에 최적화된 '하이퍼클로바X 대시'를 도입해 사내 시스템에 활용하게 됐다"고 밝혔다. 임태건 네이버클라우드 전무는 "자사 클라우드 서비스는 이제 기업 인프라에 설치해 사용할 수 있는 '온프레미스 LLM'까지 갖추게 됐다"며 "보안 문제로 인해 클라우드 기반 LLM 사용이 어려웠던 공공·금융 기업들이 생성 AI를 활용할 수 있게 됐다"고 강조했다.

2024.09.19 10:59조이환

금보원 "카톡으로 모바일 신분증 발급하세요"

앞으로 카카오톡이나 네이버 등 민간 플랫폼으로 모바일 신분증 발급이 가능해진다. 금융보안원은 행정안전부, 한국정보통신기술협회(TTA)와 손잡고 모바일 신분증 민간개방을 위한 평가체계를 구축한다고 13일 밝혔다. 모바일 신분증이란 블록체인, 암호화 등 기술로 스마트폰에 발급되는 신분증이다. 현행 플라스틱 신분증과 동일한 법적 효력을 가진다. 모바일 신분증 민간개방은 기존에 정부 앱에서 발급할 수 있었던 모바일 신분증을 일반 시민이 평소 자주 접하는 민간 플랫폼에서도 발급할 수 있게 개방하는 정책이다. 이에 따라 KB국민은행, NH농협은행, 카카오·카카오뱅크, 네이버, 비바리퍼블리카(토스) 모바일 앱을 통해 모바일 신분증을 발급받아 신분 확인이 필요한 금융거래 등에 활용할 수 있다. 이번 업무협약은 국민이 안전하고 편리하게 민간 플랫폼의 모바일 신분증을 사용할 수 있도록 서비스에 대한 적합성·안전성 평가 체계를 마련하기 위해 체결됐다. 금보원은 평가기관으로서 모바일 신분증 서비스 발급부터 보관, 제출, 삭제 등 일련 과정에 대한 기능 구현 적합성과 보안 수준 등 전반에 대해 평가한다. 금보원은 '정보보호 및 개인정보보호 관리체계 인증기관' '전자서명인증 평가기관' 등 보안전문 기관으로서 수행경험 및 전문역량 토대로 모바일 신분증이 민간 플랫폼에 성공적으로 안착할 수 있도록 차질없이 평가를 수행할 방침이다. 김철웅 금보원 원장은 "민간 플랫폼의 모바일 신분증이 안전하고 편리한 신원확인 방식으로 도입되면 금융권 비대면 계좌 개설 활성화 등 국민의 일상 혁신에 크게 기여할 것"이라며 "금융보안원의 전문적인 보안 역량을 바탕으로 전 국민이 안전하게 모바일 신분증을 활용할 수 있도록 적극 지원하겠다"고 밝혔다.

2024.09.14 17:35김미정

[ZD SW 투데이] 메타포렌식, AI 기반 악성코드 분석 '메타 시멘틱스' 데모 공개 外

지디넷코리아가 소프트웨어(SW) 업계의 다양한 소식을 한 눈에 볼 수 있는 'ZD SW 투데이'를 새롭게 마련했습니다. SW뿐 아니라 클라우드, 보안, 인공지능(AI) 등 여러 분야에서 활발히 활동하고 있는 기업들의 소식을 담은 만큼 좀 더 쉽고 편하게 이슈를 확인해 보시기 바랍니다. [편집자주] ◆메타포렌식, AI 기반 악성코드 분석 '메타 시멘틱스' 데모 공개 메타포렌식이 AI 기반 플랫폼 '메타 시멘틱스(Meta Semantics)' 데모를 공개하며 악성코드 탐지·분석·리포트 작성과정을 완전 자동화하는 기술을 선보였다. 이 기술은 보안 전문가 수준의 분석을 제공하며 실시간 위협 탐지 기능을 갖추고 있다. 또 '메타 시멘틱스'는 다양한 파일 형식에 대한 분석을 지원하며 AI 모델의 입출력 구조를 유연하게 커스터마이징한다. 이를 통해 고객사들이 고유한 보안 솔루션을 개발하고 적용할 수 있을 것으로 기대된다. ◆KT, 안전한 생성 AI 구축 위해 에임인텔리전스와 협업 에임인텔리전스와 KT가 AI 기반 모델의 보안·안전성 검증 기술을 공동 연구하기 위해 업무 협약을 체결했다. 이 협력은 생성 AI 모델의 취약성을 해결하고 보안 위협에 대응하는 방어 기술 개발을 목표로 한다. 두 회사는 생성 AI의 안전성과 신뢰성을 높이기 위해 레드팀 활동과 안전성 평가 기준 개발에 협력할 예정이다. 에임인텔리전스는 최근 보안 진단 자동화 솔루션 에임 레드(AIM Red)와 취약점 탐지 및 방어 기술 에임 가드(AIM Guard)를 출시한 바 있다. ◆티맥스소프트, 금융 IT 혁신 위한 '인터페이스 스위트' 웨비나 개최 티맥스소프트가 오는 4일 오후 2시에 금융 디지털 혁신을 주제로 '인터페이스 스위트' 웨비나를 개최한다. 이번 웨비나에서는 차세대 금융 IT를 지원하는 '인터페이스 스위트'의 도입 사례와 강점을 소개할 예정이다. 또 티맥스소프트는 오는 12월 31일까지 인터페이스 스위트 제품을 최대 50% 할인하는 프로모션을 실시하며 웨비나 참여자에게는 다양한 경품과 무료 진단 서비스 기회도 제공한다. ◆스마틱스, MZ세대 인기 스포츠 통합 예약 시스템 도입 스마틱스가 엠무브와 협력해 테니스·피클볼·빠델 등 스포츠 종목을 한 곳에서 예약할 수 있는 통합 예약 시스템을 구축했다. 이번 시스템은 다국어 서비스를 지원하며 야구장과 축구장 예약 서비스도 곧 시작할 예정이다. 자세한 사항은 엠무브 통합 예약 사이트를 통해 확인할 수 있다. ◆슈퍼브에이아이, AWS ISV 엑셀러레이트 프로그램 파트너 선정 슈퍼브에이아이가 아마존 웹서비스(AWS) 독립 서비스 벤더(ISV) 엑셀러레이트 프로그램의 '디퍼렌시에이티드 스테이지(Differentiated Stage)' 레벨 파트너로 선정됐다. 이는 하나의 서비스형 소프트웨어(SaaS) 플랫폼 내에서 AI 개발 전체 사이클을 아우르는 기술력을 인정받은 결과다. 이를 통해 슈퍼브에이아이는 AWS의 최신 기술 및 리소스를 활용해 고객에게 더 나은 서비스를 제공하는 기반을 마련할 예정이다. 구체적으로 AWS 마켓플레이스에 비전 AI 솔루션을 등록해 글로벌 시장에서의 입지를 강화할 계획이다.

2024.09.03 17:02조이환

망분리 규제 완화, 금융권 디지털 혁신 가속…주목 받는 기업은

금융위원회가 망분리 규제 완화를 발표하며 금융업계의 디지털 혁신이 가속화될 전망인 가운데 기술 혁신을 주도할 주요 테크 기업들도 함께 주목받고 있다. 30일 S2W가 발간한 자료에 따르면 이번 망분리 규제 완화로 인해 S2W, NHN클라우드, 틸론 등 인공지능(AI)·보안·클라우드 특화 기업들은 향후 금융권의 디지털 전환을 지원할 것으로 전망된다. S2W는 AI와 보안 기술을 융합해 금융권에서의 기술 혁신을 선도할 것으로 기대되고 있다. 지난해 하나은행과 '생성 AI를 활용한 사이버 보안 강화 협약'을 체결한 바와 같이 금융권을 대상으로 AI와 데이터 가공 분야에서의 우수성을 입증해왔기 때문이다. 특히 S2W는 딥다크웹 데이터를 활용한 '퀘이사(QUAXAR)' 플랫폼을 통해 금융 기관의 보안을 강화할 것으로 전망된다. 이 플랫폼은 다양한 히든 채널에서 발생하는 데이터를 수집·분석해 위협 인텔리전스를 제공하고 금융기관이 외부 위협을 선제적으로 예방할 수 있도록 지원한다. NHN클라우드는 안정성이 입증된 리전형 클라우드를 통해 금융 클라우드 서비스 업계를 적극적으로 공략 중이다. 또 4년 연속으로 금융 클라우드 지원 사업에 참여하며 금융 기업들에게 클라우드 서비스 이용 요금과 보안 컨설팅을 제공하고 있다. 틸론은 제주도와 협력하여 넷-제로 데이터 센터 구축을 추진 중이다. 이를 통해 데이터 안정성을 확보함과 동시에 탄소중립 실현을 목표로 하고 있다. 이를 통해 디지털 전환의 핵심 인프라로 자리 잡을 계획이다. 신한투자증권은 AI 솔루션부를 신설하고 금융권 AI 생태계를 선도하기 위한 다양한 활동을 전개하고 있다. AI를 활용한 고객 경험 혁신을 목표로 글로벌 금융시장을 겨냥한 퍼블릭 클라우드 기반 오픈 플랫폼을 준비 중이다. 김재기 S2W 금융 보안 TF리드 센터장은 "금융 데이터는 외부 위협에 노출될 경우 기업에 큰 타격을 줄 수 있는 중요한 자산"이라며 "S2W는 AI와 보안이 결합된 솔루션을 제공해 금융권이 안전하게 업무를 수행하도록 지원하겠다"고 강조했다.

2024.08.30 10:39조이환

S2W "금융권 사이버 위협 대응방안 알려 드려요"

S2W가 금융권의 사이버 위협 대응을 지원하기 위해 보안 전문지식과 대응책을 공유한다. S2W는 다음달 5일 금융권 사이버 위협 동향과 대응 방안을 주제로 한 웨비나 '위드(WITH)'를 개최한다고 27일 밝혔다. 이 웨비나는 금융 보안 및 정책 담당자들에게 최신 사이버 위협 정보와 대처 방안을 제공하기 위해 기획됐다. 이번 웨비나는 약 1시간 동안 진행되며 금융사 사칭 보이스피싱, 텔레그램 내 불법 행위 등 주요 사이버 위협과 그 대응책을 논의할 예정이다. S2W는 실제로 다크웹에서 모니터링한 사례를 공유하며 보다 효과적인 대응 방안을 제시할 계획이다. 사전 신청은 S2W 공식 홈페이지를 통해 가능하다. S2W는 국내외 금융 보안 기술 시장에서 높은 평가를 받고 있다. 하나은행과의 생성 인공지능(AI) 업무 협약(MOU) 체결을 비롯해 다양한 국내 은행과 카드사에 보안 솔루션을 공급했기 때문이다. 또 S2W는 최근 금융권 정보 유출 피해에 선제적으로 대응하기 위해 금융 보안 태스크포스(TF)를 발족한 바 있다. 서상덕 S2W 대표는 "이번 웨비나를 통해 금융권 사이버 위협에 대한 전문적인 통찰을 제공하길 기대한다"며 "앞으로도 다양한 보안 기술과 대응책을 공유해 나갈 것"이라고 밝혔다.

2024.08.27 11:07조이환

"안전성 OK"…보안업계, 금융권 망분리 완화 호평

금융권의 망분리 규제가 순차적으로 완화된다. 이를 통해 인공지능(AI) 도입 등 디지털전환(DX)이 본격화되며 금융업계 혁신도 본격화될 전망이다. 다만 일부에서는 최근 사이버위협 등이 급증하고 IT장애을 재난으로 지정하는 상황에서 망분리 도입 완화에 대해 우려를 표하기도 한다. 이에 대해 보안 업계에선 금융위원회의 이번 정책에 대해 긍정적인 반응이다. 주요 데이터를 보호하기 위해 보수적으로 접근하면서도 시대의 흐름에 맞춰 적절한 변화를 시도하고 있다는 평가다. 20일 관련 보안업계에서는 금융위원회에서 마련한 '금융 분야 망분리 개선 로드맵'의 보안 수준에 대해 호평했다. 로드맵을 살펴본 보안업계는 시대의 변화에 따라 망분리 완화를 시도함과 동시에 잠재적으로 발생할 수 있는 보안 위협을 최소화하기 위한 조심스러운 접근을 파악할 수 있었다고 분석했다. 한 보안전문기업 이사는 금융 환경에 맞는 보수적인 자세를 유지하는 동시에 시대의 흐름에 맞춰 적절한 변화를 시도하고 있다고 평가했다. 망분리 개선 로드맵은 생성형 인공지능(AI) 도입 등 클라우드를 중심으로 빠르게 발전하는 IT기술 활용을 저해하고 연구·개발이 어려운 망분리 환경을 개선하기 위해 마련됐다. 금융당국은 낡은 규제를 개선하고 중·장기적으로 금융 보안 법·제도를 전면 개편하는 등 혁신과 보안의 새로운 균형을 확보한다는 방침이다. 다만, 현행 금융보안체계가 오랜 기간동안 인터넷 등 외부통신과 분리된 환경을 전제로 구성되어 온 점을 고려해, 급격한 규제 완화보다는 상황에 따른 단계적 개선을 추진할 계획이다. 특히 보안 업계는 계좌 정보나 개인 정보 등 민감한 금융 정보를 보호하기 위해 규제 샌드박스 등의 제도를 활용하는 방안에 대해 긍정적인 반응을 보였다. 규제 샌드박스는 특정 기간 동안 규제를 유예하거나 완화하여 새로운 기술이나 서비스가 시험될 수 있도록 하는 제도다. 이를 통해 특정 연구 및 개발 영역에서 망 분리를 완화하고, 그에 따른 보안 위험을 평가 및 관리하면서 기술 발전을 도모한다. 금융 당국은 IT 환경 변화로 인해 신속한 대응이 필요한 과제는 샌드박스 등을 활용해 빠른 기간 내에 해소한다. 다만 자율보안체계 확립까지는 시간이 소요되므로 보안상의 문제가 없도록 별도의 보안대책 등을 마련할 예정이다. 더불어 이 과정에서 예상되는 리스크에 대한 보안대책을 조건으로 부과하고 금융감독원·금융보안원이 신청 기업별 보안 점검·컨설팅을 실시하는 등 충분한 안전장치를 마련할 계획이다. 또한 금융감독원과 금융보안원은 자체적으로 보안 시스템을 구축하기 어려운 기업들의 신청을 받아 보안 점검·컨설팅도 지원한다. 동국대학교 국제정보대학원 황석진 교수는 "그동안에는 민감 데이터 보호를 위해 망분리를 활용하는 것이 합리적이라고 생각했지만 클라우드를 비롯한 여러 기술의 발전으로 더 이상 효율적이라고 말하기 어려운 면이 있다"며 "보안 역시 기술의 발전으로 클라우드에서 더 나은 보안 환경을 갖출 수 있게 된 만큼 크게 우려할 부분은 거의 없다고 본다"고 설명했다. 금융보안원 혁신지원팀의 서호진 팀장은 "금융업계의 DX를 통한 산업의 발전을 위해 많은 노력을 기울이고 있다"며 "DX과정에서 어려움을 느끼는 금융 기업들이 도움을 요청한다면 언제든 최선을 다해 지원하겠다"고 말했다.

2024.08.20 15:59남혁우

금융 서비스 규정 준수·보안 강화 '필수'…레드햇이 제시한 방안은?

레드햇이 리스크를 효과적으로 관리하고 보안성을 유지할 수 있는 플랫폼을 앞세워 금융 시장 공략에 속도를 내고 있다. 레드햇은 금융 서비스 분야에서 조직의 GRC(거버넌스, 리스크 관리, 컴플라이언스) 절차를 보완하는 혁신적인 접근 방식인 '자동화된 코드형 정책'을 '앤서블 자동화 플랫폼(Red Hat Ansible Automation Platform)'을 통해 지원하고 있다고 14일 밝혔다. 금융 기관에서 자동화된 코드형 정책을 사용하면 앤서블(Ansible) 자동화에 대한 규칙을 적용할 수 있다. 정책을 각 자동화 작업에 수동으로 통합할 필요 없이 자동화 작업의 어느 단계에서나 정책을 적용할 수 있다. 또 정책을 코드화함으로써 금융 기관은 일관되게 표준 정책을 적용하고 규정 미준수 또는 운영 실패의 위험을 줄일 수 있다. 레드햇 관계자는 "규제와 관련한 요건들은 종종 복잡성을 동반하며 이러한 프로젝트 중 상당수는 비용 및 시간 소모적이고 까다로운 경우가 많다"며 "이에 따라 내부 규정이나 더 큰 규제 프로세스의 보안 등을 포함한 세부 요소에서부터 시작해 점차 확장해 나가는 것이 권장된다"고 설명했다. 또 레드햇은 자동화된 코드형 정책이 금융 서비스에 중요한 이유로 ▲운영 일관성 ▲규제 준수 ▲리스크 관리 ▲비용 효율성 ▲향상된 민첩성 등 5가지를 꼽았다. 이 중 운영 일관성은 금융 서비스의 신뢰성을 유지하기 위한 핵심 요소다. 자동화된 코드형 정책은 프로세스의 표준화를 지원해 운영이 정의된 정책을 준수하게 함으로써 재정적 손실이나 고객 불만으로 이어질 수 있는 오류나 운영상의 불일치 가능성을 줄이는 데 도움이 될 수 있다. 금융 서비스는 규제가 아주 엄격한 산업 중 하나로, GDPR, SOX, PCI-DSS 등의 규정 준수가 필수적이다. 자동화된 코드형 정책은 이 같은 규정을 모든 자동화된 프로세스에서 일관되게 적용하는 것을 돕고 문제의 신속한 해결할 수 가능케하기 때문에 벌금이나 평판 손상의 잠재적 위험을 줄일 수 있다. 리스크 관리 측면에서도 자동화된 정책은 중요하다. 이를 적용하면 데이터 암호화나 액세스 제어, 감사 로깅과 같은 보안 조치를 시행할 수 있다. 예를 들어 알려진 취약점이 있는 애플리케이션이 배포되거나 민감한 데이터가 암호화되지 않은 형식으로 저장되는 것을 방지할 수 있다. 이러한 점검을 자동화함으로써 데이터 유출 및 기타 보안 사고의 리스크를 크게 줄일 수 있다. 비용 절감 측면에서도 유리하다. 수동으로 정책을 적용하는 것은 많은 리소스를 필요로 하며 인적 오류가 발생하기 쉽다. 정책 시행을 자동화하면 일일이 관리 감독할 필요성이 줄고, IT팀이 전략적 업무에 집중할 수 있게 한다. 또 통제되지 않은 클라우드 지출이나 규정에 어긋난 리소스 구성과 같은 문제를 줄여 운영 비용을 관리하는 데 도움이 된다. 자동화된 코드형 정책은 새로운 규정, 기술 및 비즈니스 요구사항에 신속하게 적응할 수 있는 유연성도 제공한다. 정책을 중앙에서 업데이트하고 모든 자동화 워크플로우에 적용할 수 있어 조직은 역동적인 환경에서도 민첩성을 유지하고 규정을 준수할 수 있다. 다만 금융 기관에서 자동화된 코드형 정책을 시작하기 위해서는 주요 정책을 식별하고 레드햇 앤서블 자동화 플랫폼과 같은 플랫폼을 활용해 자동화된 코드형 정책 프로세스를 간소화하는 것이 중요하다. 또 관리가 쉬운 작은 범위서부터 시작하고 전문 지식과 자신감이 쌓임에 따라 범위를 점차 확장해 나갈 필요가 있다. 레드햇 관계자는 "자동화된 코드형 정책은 단순히 기술적 발전에 그치는 것이 아니라 금융 서비스 업계가 규정 준수와 보안 및 운영 효율성을 강화하기 위해 필수적으로 고려해야 할 전략적 과제"라며 "정책을 자동화 워크플로우에 포함함으로써 금융 기관은 현대 규제 환경의 복잡성에 보다 자신감 있고 민첩하게 대처할 수 있다"고 설명했다.

2024.08.14 10:34장유미

금보원 해커팀, 美 데프콘서 AI 보안 기술력 입증

한국 정부 소속 기술개발팀이 미국에서 글로벌 해커들 상대로 사이버보안 기술력을 입증했다. 금융보안원은 자체 화이트해커팀 '레드IRIS'가 미국 라스베이거스에서 열린 국제 해킹대회 '2024 데프콘(DEFCON CTF 32)'에서 최종 3위를 차지했다고 13일 밝혔다. 데프콘은 사이버보안 분야에서 가장 권위 있는 세계 보안 대회로 알려졌다. 참가자들은 레드IRIS와 산하 테크보드 소속이다. 이번 대회에서 미국 등 여러 국가 보안 전문가들로 구성된 국제연합팀(SuperDiceCode) 일원으로 참여해 해킹 실력을 선보였다. 이들은 금융권의 보안 수준을 한 단계 높이기 위해 다양한 업무를 수행하고 있다. 지난 2월 은행권 대상으로 블라인드 사이버 모의해킹 훈련을 수행했다. 3월에는 서드파티 솔루션을 이용한 공급망 공격기법을 해커 관점에서 심층 분석해 방어 대책을 포함한 보고서를 발간하기도 했다. 올해 데프콘에선 거대언어모델(LLM)을 활용한 문제가 출제되는 등 최신 트렌드인 인공지능(AI)이 핵심 주제로 나왔다. 실제 최근 AI 이용이 활성화되면서 안전한 AI 중요성을 인식한 글로벌 빅테크 기업들은 AI 전담 레드팀이나 퍼플팀을 구성하는 등 AI 위협 대응을 강화하는 추세다. 금보원도 금융권 AI 활성화에 발맞춰 신뢰할 수 있는 AI 활용을 지원하고자 AI를 대상으로 하는 악의적인 공격·방어 역량을 강화하고 있으며 인력 보강을 병행한다는 점을 밝혔다. 김철웅 금보원 원장은 "높은 전문성과 정보보호 역량 갖춘 직원들이 국제 해킹대회에서 우수한 성과를 거둬 금융보안 전담기관 위상을 높였다"며 "글로벌 이슈인 AI 보안 수준을 높일 수 있도록 AI 대상으로 기존 모의 공격과 방어 업무를 차질 없이 확대해 나갈 계획"이라고 말했다.

2024.08.13 16:33김미정

금융권 망분리 규제 특례 시행…생성형AI 활용 가능해진다

금융위원회가 인터넷 차단(망 분리) 규제를 단계별로 개선해 금융업권의 생성형 인공지능(AI)과 서비스형 소프트웨어(SaaS) 등을 활용할 수 있게 하기로 했다. 13일 오후 김포 KB국민은행 통합IT센터에서 열린 '금융분야 망 분리 개선 로드맵' 행사에서 김병환 금융위원장은 "클라우드·AI 등 급변하는 IT 환경 하에서 일률적인 망 분리 의무화 정책은 우리나라에만 존재하는 대표적인 규제로 국내 금융산업의 글로벌 경쟁력을 저해하는 요인으로 지적받고 있다"며 "망 분리 규제를 일시에 완화하기보다는 충분한 안전 장치를 전제로 단계적인 규제 개선을 추진해 나갈 계획"이라고 말했다. 크게 망 분리 규제는 두 가지 방향으로 바뀔 전망이다. 하나는 즉시 망 분리 규제가 필요한 부분에 대해서는 규제 샌드박스(특례)로, 다른 하나는 '디지털 금융보안법'을 제정해 전반적인 금융업권의 보안에 관해 다루겠다는 것이다. 금융사는 규제 특례를 통해 생성형AI를 쓸 수 있게 된다. 금융사 내부와 AI모델(외부) 간 연결을 위한 망 분리 규제 특례나, 해외 소재 AI를 통한 가명정보 처리를 위한 데이터 특례를 부여해 생성형AI 개발과 적용이 가능해진다는 것이 금융위 측 설명이다. 그러나 해외 소재 AI에 가명처리된 개인 정보를 처리하는 데이터 특례는 개인정보보호법이 걸려 있어 개인정보보호위원회와 논의가 필요하다. 금융위 측은 "예상되는 리스크에 대한 보안대책을 조건으로 부과하고 금융감독원·금융보안원이 신청 기업별 보안 점검·컨설팅을 실시하는 등 충분한 안전장치를 마련할 계획"이라고 설명했다. 사내 업무에만 활용됐던 클라우드 기반 SaaS도 이용 보안 관리, 고객 관리(CRM) 등에 쓸 수 있도록 규제 특례가 부여된다. 향후 규제 특례로 도출된 사례를 통해 금융위는 올해 4분기부터 디지털 금융보안법 마련을 준비한다. 법의 기본은 금융사가 세부 보안 통제를 자율적으로 구성하되, 사고 발생 시 배상 책임을 확대하고 과징금을 부과하는 방향이다. 이밖에 제3자 리스크(3rd-party risk)에 대한 관리를 강화하기 위해 관련 제도 정비를 추진한다는 방침이다. 김병환 위원장은 "그동안 망 분리에 기대어 보안 분야 투자에 소홀함이 있었다면, 지속적으로 확대해 나가는 계기가 되길 바란다"며 "제도 개선 상황을 주시하면서 필요한 보완 조치를 취해나가겠다"고 강조했다.

2024.08.13 14:00손희연

'금융' 시장 노린 S2W, AI·보안 기술 앞세워 전문 TF 출범

세계 최고 수준의 다크웹 모니터링 기술과 인공지능을 기반으로 한 '금융업계 특화 전문 TF'가 출범한다. S2W는 금융 시장에서 필요로 하는 보안 솔루션 개발 및 데이터 위협 감지에 최적화된 금융 보안 TF를 발족했다고 13일 밝혔다. S2W 금융 보안 TF는 다크웹과 텔레그램 등을 통해 급속도로 증가하는 금융권 정보 유출 피해에 선제적으로 대응하기 위한 전문팀이다. 금융업계는 민감한 데이터와 자산을 다루는 핵심 영역인 만큼 해커들의 공격 대상이 돼 정보 및 자금 탈취 행위가 끊이지 않는 분야다. 국내 금융사를 보호할 수 있는 보다 고도화된 보안 기술력과 운영 노하우가 필요한 영역인 셈이다. 이에 S2W는 자사가 보유하고 있는 강력한 다크웹 모니터링 기술과 금융 보안 전문성으로 사이버 금융 보안 위협을 실시간 스크리닝하고 문제에 효과적으로 대응할 수 있도록 은행, 증권, 투자, 보험, 카드사 등 금융업계에 최적화된 위협 인텔리전스를 선보인다. 특히 S2W의 사이버보안 인텔리전스 솔루션은 '다크버트', '사이버튠' 등으로 명명되는 AI 기술 기반의 언어모델을 활용해 암호화돼 있는 비정형 위협 데이터까지 효과적으로 확인할 수 있는 것이 장점이다. S2W 금융 보안 TF에는 국내 최고 권위의 보안 및 데이터 전문가들이 한데 모였다. 먼저 금융보안원에서 CTI 분석 핵심 역할을 역임한 김재기 센터장이 TF 리더를 맡아 팀을 이끈다. 또 카이스트 출신 다크웹 분석 AI 개발 전문가 윤창훈 R&D 상무, 다크웹 데이터 분석 전문가 오재학 사업개발 팀장 등 총 7명이 주축을 이뤄 사이버 보안과 AI를 아우르는 금융 기업별 맞춤 솔루션을 제시할 계획이다. S2W의 금융 보안 TF 발족은 그동안 해당 시장에서 쌓아 온 풍부한 노하우가 계기가 됐다. S2W의 다크웹 데이터 가공 기술이 기반이 된 다크웹 전문 AI엔진과 보안 솔루션은 인터폴, 대만증권거래소 등의 글로벌 기관에 공급됐다. 여기에 수년 전부터 유수의 국내 은행 및 카드사를 고객사로 보안 솔루션을 공급하며 높은 신뢰도를 확보해 왔다. S2W의 금융 보안 TF 결성은 앞으로 관련 시장을 보다 전문적이면서도 집약적으로 파고드는 계기이자 금융 보안 기술 시장의 구심점이 될 것으로 전망된다. S2W 김재기 센터장은 "민감한 주요 자산을 많이 내포하고 있는 금융권 데이터는 해커들의 주요 타겟이 돼 강력한 보안이 필수적으로 요구되는 영역"이라며 "자사 금융 보안 TF는 각 기업과 기관 고객에게 필요한 금융 사이버보안 토탈 서비스를 제공하며 실질적인 도움을 줄 수 있을 것으로 기대하고 있다"고 말했다.

2024.08.13 10:49장유미

[현장] '글로벌 IT 대란' 언급한 금보원..."금융SW도 대비해야"

"크라우드스트라이크 사태는 긴밀히 연결된 정보사회의 위험성을 보여줍니다. 금융회사는 국민생활에 부정적인 영향을 끼칠 수 있는 사태를 방지하기 위해 안정적인 금융시스템을 구축해야 합니다." 금융보안원 임구락 사이버본부장은 5일 여의도에서 열린 '한국 금융보안의 현주소와 나아갈 방향' 세미나에서 크라우드스트라이크 사태와 같은 사이버 위협의 위험성을 강조했다. 지난달 19일 크라우드스트라이크의 보안소프트웨어 '팔콘' 업데이트 문제로 윈도 운영체제에 블루스크린이 발생했다. 이로 인해 전세계적으로 사회기반 시설이 다운돼 항공, 교통, 방송, 금융 등 다양한 서비스에 피해가 발생한 바 있다. 임 본부장은 "국내 금융권은 이번 사태로 인한 피해를 입지 않았지만 그 원인이 무엇이었는지에 대한 철저한 논의가 필요하다"며 "유사한 소프트웨어(SW) 공격이 발생할 가능성을 염두에 두고 구체적인 대응 전략을 수립해야 한다"고 밝혔다. 이어서 진행된 패널 토론에는 국민대 윤명근 교수, KB국민은행 이재용 최고정보보안책임자(CISO), 토스증권 지정호 CISO, 엔키화이트햇 이성권 대표 등 다양한 전문가들이 참석했다. 이들은 IT 장애의 원인·영향과 소프트웨어 공급망 보안체계에 대한 논의를 진행했다. 지정호 CISO는 이번 사고의 해법으로 규제 강화보다는 문제의 본질적 원인을 찾아 IT 환경을 관리할 것을 촉구했다. 그는 토스 증권의 사례를 설명하며 "패치를 인터넷 PC에 먼저 배포한 후 업무용 PC에 배포한다"며 "이와 같은 점진적 배포 방식은 업무환경에 대한 리스크를 최소화할 수 있다"고 설명했다. 일각에서는 크라우드스트라이크 패치 업데이트가 품질검증 절차 없이 진행된 것이 문제의 핵심이라고 지적했다. SW 중요성이 커지고 있음에도 금융권의 대비는 여전히 부족한 상태다는 설명이다. 윤 교수는 "금융권은 전통적인 하드웨어의 이중화와 삼중화는 잘 돼 있지만 SW 대비가 부족하다"며 "SW 업계도 철저한 대비가 필요하다"고 주장했다.

2024.08.05 17:00조이환

금융보안원, 금융권 보안대책 마련 나선다

금융보안원이 금융권 소프트웨어 공급망 보안체계에 대한 철저한 대비책 마련을 위해 행동에 나섰다. 금융보안원은 다음달 5일 여의도에서 '한국 금융보안의 현 주소와 나아갈 방향'을 주제로 세미나를 개최한다. 이번 세미나는 소프트웨어 공급망 보안체계의 중요성을 강조하고 정책·기술적 대응 방안을 논의하기 위해 마련됐다. 세미나에는 윤명근 국민대학교 교수, 이재용 KB국민은행 최고정보보안책임자(CISO), 지정호 토스증권 CISO, 이성권 엔키화이트햇 대표 등 다양한 전문가들이 참여한다. 이들은 패널 토론을 통해 IT 장애의 원인·영향과 소프트웨어 공급망 보안체계의 취약점을 검토할 예정이다. 참가 희망자는 금융보안원 홈페이지 사전등록을 통해 세미나에 참석할 수 있다. 사전등록은 31일부터 가능하며 현장등록도 허용된다. 김철웅 금융보안원장은 "세미나를 통해 금융권 전체가 소프트웨어 공급망 보안체계의 중요성을 인식하고 철저한 대비책을 마련하기를 기대한다"고 밝혔다.

2024.07.31 16:35조이환

금융보안원 "안전한 금융 AI 선도한다"

안전한 금융 인공지능(AI) 활용을 선도하기 위해 금융보안원이 '금융보안 AI 워킹그룹'을 출범한다. 금융보안원은 여의도 사무소에서 19개 금융기관과 함께 AI 보안 정보 공유·공동과제 발굴을 위한 첫 회의를 개최했다고 25일 밝혔다. 이번 워킹그룹은 금융회사 보안·AI 담당자들의 협력을 통해 마련됐다. 이로써 AI 안전성과 신뢰성을 저해할 수 있는 다양한 보안 위협에 신속하게 대응할 계획이다. 또 이들은 금융회사의 의견을 수렴해 금융당국에 건의할 예정이다. 더불어 금융위원회 주관 '금융권 AI 협의회' 논의사항을 워킹그룹에 전파해 금융당국과의 연계를 강화할 계획이다. 첫 회의에서는 국내·외 AI 안전 프레임워크(AI Safety FRAMEwork) 동향, 금융 AI 모델 보안성 검증 체계, 금융분야 연합학습 활용방안 등 다양한 주제에 대한 활발한 논의가 진행됐다. 참석자들은 향후 금융권의 AI 기술 활용에 대한 관심과 투자가 증가할 것으로 전망했다. 김철웅 금융보안원장은 "기술 활용 전반에 걸쳐 안전성과 신뢰성을 확보하는 것이 매우 중요하다"며 "AI 활용에 따른 다양한 문제를 금융권이 함께 해결할 수 있도록 적극 지원하겠다"고 강조했다.

2024.07.25 18:34조이환

LGU+, 금융보안원과 보이스피싱 막는다

LG유플러스와 금융보안원이 신종 보이스피싱 악성앱 정보를 실시간으로 공유해 접속을 차단해 국민들의 피해를 막는 활동에 힘을 모으기로 했다. LG유플러스는 18일 서울시 강서구 마곡 LG사이언스파크에서 금융보안원과 '보이스피싱 예방 및 대응을 위한 업무협약(MOU)'을 체결했다. 업무협약에 따라 금융보안원은 365일, 24시간 운영 중인 '피싱사이트 보이스피싱 악성앱 탐지시스템'을 통해 얻은 정보를 실시간으로 LG유플러스에 공유할 예정이다. LG유플러스는 제공 받은 정보를 토대로 피싱사이트 및 보이스피싱 악성앱 유포지 접속을 원천적으로 차단, 국민 피해 예방에 나선다. 양 기관은 또 스미싱, 전화번호 가로채기 등 신종 보이스피싱에 대한 다양한 정보를 공유하고 관련 분야의 기술협력을 강화해 신종 사기 피해 대해서도 선제적으로 대응해 나가기로 했다. 금융보안원은 나날이 지능화되고 복잡해지는 보이스피싱에 효과적으로 대응하기 위해 '범금융권 보이스피싱 사기정보 공유체계'를 운영하고 있다. 이를 통해 금융, 공공, 통신, 보안 등 다양한 분야의 전문기관들과 보이스피싱 관련 정보를 실시간으로 공유하고 있다. 이번 업무협약을 통해 국내 3대 통신사 중 하나인 LG유플러스도 체계에 참여함으로써 보이스피싱 피해 예방 효과가 더욱 증대될 것으로 기대된다. 홍관희 LG유플러스 사이버보안센터장은 "갈수록 보이스피싱 공격의 피해가 심각해지고 있는 만큼, 이에 대응하기 위해 모든 기관이 힘을 모아야 할 시점”이라며 “앞으로 금융보안원과 긴밀한 협력을 이어가는 것은 물론이고, 전사적으로 노력을 기울여 '고객 피해 제로'를 달성해 나가겠다”고 말했다.

2024.06.19 09:50최지연

'금융사 앱·HTS 보안 취약점 찾아라'…버그바운티 운영

금융사 애플리케이션(앱)·홈트레이딩시스템(HTS)·웹사이트의 알려지지 않거나 조치방안이 없는 보안 취약점을 해결하기 위해 화이트해커 등을 대상으로 버그바운티를 운영한다. 금융감독원은 금융보안원과 오는 6월부터 8월 31일까지 대한민국 거주자 대상으로 집중신고 기간을 운영한다고 28일 밝혔다. 취약점 탐지 대상으로 은행·증권·보험 등 총 21개 금융회사가 참가하며 취약점을 찾는 공격자는 화이트해커·학생·그 외 일반인 등 대한민국 국민 누구나 참가 신청 및 승인 후에 참여할 수 있다. 신고된 취약점은 전문위원들의 평가를 거쳐 최대 1천만원의 포상금이 지급될 예정이며, 위험도가 높고 파급력이 큰 취약점의 경우 금융회사에 신속하게 전파해 보완할 계획이다. 금감원과 금보원은 앞으로 버그바운티를 지속 확대해 나간다. 보다 많은 금융회사들이 참여할 수 있도록 취약점 분석평가 업무 시 인센티브 부여 등 관련 내용도 함께 검토한다는 계획이다. 금감원 이복현 원장은 “버그바운티는 나날이 고도화 되어가는 사이버 위협에 대비할 수 있는 새로운 형태의 보안역량 강화 프로그램"이라며 "이번 기회를 통해 금융권의 보안 수준이 한층 더 강화되는 계기가 됐으면 한다"고 말했다.

2024.05.28 09:20손희연

IMF 총재에게 이메일을 받았다

국제통화기금(IMF)과 IMF 총재를 사칭한 피싱 메일이 유포되는 것으로 확인됐다. 누구에게 얼마나 유포된 지 확인할 수 없지만 지난 23일 기자는 IMF로부터 한 통의 이메일을 받았다. 이메일에는 매끄럽지 않은 한국어가 적혀 있었으며, 발신자는 '크리스탈리나 게오르기예바' IMF 총재로 되어 있었다. 내용은 '언급한 펀드에 대해 알려드린다' '장기 연체 금액을 즉시 해제하며 보류된 결제 금액이 (수신자의) 은행으로 즉시 이체되며, 즉시 연락을 해달라'이다. 즉, 어떤 연유에서 계좌를 쓸 수 없게 됐는데 IMF의 협조로 풀렸으며 동결된 돈을 주겠다는 것이다. 풀어주겠다고 하는 돈은 150만달러(20억5천200만원)이다. 만약 20억원이 있다면, 이 내용이 혹할 수 있다. 없더라도 받을 수 있음을 암시하고 있기 때문에 메일에 회신을 할 수도 있다. 하지만 이 메일을 받은 기자는 돈도 없을 뿐더러 받을 것이라고 확신하지 않아 회신하지 않다. 또 결론적으로 이는 피싱을 유인하기 위한 스팸 메일이기 때문이다. 실제 구글 사이트에서 해당 내용을 검색한 결과 일부 나라에서는 수 십 여명이 같은 내용의 메일을 통해 사기를 당했다는 뉴스가 소개되기도 했다. 스캐머뉴스에 따르면 바보같아 보이지만 속는 사람이 있다. 이와 관련해 보안업계에서는 장난같아 보이더라도 수상한 내용에 대해 답신하지 말거나 응대하지 말 것을 당부했다. SK쉴더스 관계자는 "피싱 공격은 지속적으로 발생해왔으며 특정인, 업무 관계자로 사칭하는 수법으로 고도화되고 있다"며 "메일에 포함된 링크나 첨부파일을 클릭하지 않아야 하며 기업에서는 피싱 메일을 복합적으로 탐지할 수 있는 보안 솔루션을 도입하는 것이 필요하다"고 조언했다.

2024.05.26 11:54손희연

금융보안원-KISA, 금융 사이버 침해사고 대응 맞손

정부가 금융 서비스 관련 사이버 위협 대응을 본격화한다. 금융보안원은 한국인터넷진흥원(KISA)과 손잡고 금융 분야 사이버 침해사고 대응 협력을 위한 업무협약을 체결했다고 14일 밝혔다. 최근 보안인증 소프트웨어(SW) 취약점을 악용한 PC해킹 및 악성코드 유포 사고 발생 등 금융 서비스와 관련한 사이버 위협이 증가하고 있다. 특히 지난해 해커가 온라인 쇼핑몰에 무단 로그인해 포인트 등을 탈취하는 크리덴셜 스터핑 공격이 다수 발생했다. 민간 기업의 침해사고가 사용자의 금전적 피해를 유발하는 등 다양한 분야에 걸친 침해사고로 광범위한 피해 사례가 확인되고 있다. 금융 분야 해킹사고는 국민들의 금전피해를 유발하는 민감한 사안으로, 담당 기관 간의 공조 및 유기적인 협력을 통해 철저한 대응이 요구된다. 이에 금융 분야 침해사고 대응 기관인 금융보안원은 인터넷·정보보호 전문기관인 KISA와 함께 금융권의 사이버 위협에 공동으로 대응하기 위해 업무협약을 추진했다. 두 기관은 앞으로 금융분야 관련 ▲신규 보안 취약점 발굴 협력 및 상시 정보 공유 ▲침해사고 합동 조사 및 원인 분석‧대응 공조 ▲사이버 위협 정보 상호 공유 등을 위해 협력한다. 올해 2월 금융보안원이 금융분야 SW 글로벌 취약점 관리번호(CVE) 번호 발급기관(CNA, CVE)으로 신규 지정됨에 따라 18년부터 CNA로 활동해온 KISA와 취약점 분석‧평가 및 데이터베이스(DB) 운영 등 취약점 관리 체계 구축 전반에서 협력을 강화할 예정이다. 이번 협약을 계기로 두 기관은 국가 취약점을 관리하는 대표기관으로서 국제적 위상을 높일 방침이다. 최신 악성코드 및 주요 해킹조직의 활동 추적 등 위협정보도 상시 공유한다. 가상자산 등 금융 분야 해킹사고 발생 시 두 기관의 전문성을 결합한 합동조사를 통해 신속하고 정확한 원인 분석 대응 등 국민 피해 방지를 위해 최선을 다할 것이라고 밝혔다. 김철웅 금융보안원 원장은 "이번 협약을 통해 국경을 초월하는 사이버 침해위협에 선제적으로 대응할 수 있는 공조 체계가 만들어질 것"이라며 "국가 사이버 안보를 한층 더 강화하는데 기여할 수 있을 것"이라고 밝혔다. 이상중 KISA 원장은 "최근 금융 산업의 발전과 함께 진화하는 다양한 사이버 위협에 효과적으로 대응하기 위해서는 무엇보다 산업 간의 협력이 중요하다"며 "이번 업무협약을 통해 금융 분야 사이버 위협 대응 공조 등 국민의 안전한 금융서비스 이용을 위해 유관기관과 협력을 지속적으로 강화해 나가겠다"고 말했다.

2024.05.14 17:21김미정

세일즈포스, 금융보안원 CSP 안전성 평가 완료

세일즈포스코리아는 금융보안원의 클라우드 서비스 제공 업체(CSP) 대상 안전성 평가를 완료했다고 9일 밝혔다. 평가 대상은 세일즈포스의 '하이퍼포스'다. 세일즈포스는 작년 국내에서 차세대 클라우드 플랫폼인 하이퍼포스의 서비스를 공식적으로 시작함에 따라 민감 데이터를 다루는 금융, 공공, 의료, 통신 산업 등의 고객을 위해 다양한 퍼블릭 클라우드상에서 세일즈포스 CRM 플랫폼을 구축 및 운영할 수 있도록 지원한다. 세일즈포스에 따르면 하이퍼포스는 더 강력해진 안정성, 유연성, 확장성, 보안성을 기반으로 세일즈포스 운영 안전성 향상에 기여하며, 한국 내 데이터 레지던시 확보를 지원한다. 엄격한 데이터 보안 규정을 요구하는 일부 산업의 기준에 부합하는 제로 트러스트 원칙과 암호화 키를 포함한 보안 및 데이터 스토리지 서비스를 제공하고 있다. 세일즈포스는 이번에 금융보안원의 CSP 안전성 평가를 마친 하이퍼포스를 기반으로 국내 금융 기업의 고객경험 혁신과 조직의 생산성 향상을 위해 필요한 데이터 스토리지 역량을 확보했다. 각종 규제로 인해 디지털 기술 활용에 제약이 있었던 국내 금융 산업에서의 성장과 생태계 확장에도 박차를 가할 예정이라고 전했다. 세일즈포스는 현재 '신뢰'를 최우선 기업 가치로 삼고 고객 데이터 보안 및 부적절한 데이터 노출 방지를 위한 다중인증(MFA)과 시스템 투명성을 위한 트러스트닷컴 웹사이트를 운영하고 있다. 세일즈포스에 따르면, 태블로를 도입한 토스뱅크, KB국민은행 등의 국내 금융기관뿐만 아니라, US뱅크, 스페인계 은행 산탄데르 영국 지사, 신용협동조합 펜피드, 브라질 최초 은행 인터 등의 글로벌 금융 기업들이 세일즈포스와 디지털 혁신 여정을 함께하고 있다. 세일즈포스코리아 손부한 대표는 “세일즈포스는 이번 CSP 안전성 평가를 완료함에 따라 국내 금융, 교육, 공공 의료 등 보안 및 데이터 안전성이 강조되는 산업군 대상의 지원을 강화할 수 있는 역량과 경쟁력을 확보했다”며 ”앞으로도 세일즈포스는 신뢰할 수 있는 AI CRM 솔루션을 통해 국내 기업이 겪고 있는 디지털 혁신 여정 간의 진입장벽 해소와 더불어, 금융권을 포함한 다양한 산업의 디지털 혁신을 지원하기 위한 노력을 아끼지 않겠다”고 밝혔다.

2024.05.09 14:46김우용

Prev 1 2 3 4 5 6 Next