검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'금융 해킹'통합검색 결과 입니다. (26건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

사진으로 본 '넷섹 2025'···AI보안 등 큰 관심

'제31회 정보통신망 정보보호 학술대회(NetSec-KR)'가 17일 서울 삼성동 코엑스에서 열렸다. 넷섹은 한국정보보호학회가 초고속 정보통신망 구축 사업이 시작된 1995년부터 개최한 국내 최대 정보보호 학술대회다. 넷섹은 18일까지 이틀 동안 이어진다. 학회는 산·학·연 관계자 1천300명이 넘게 모인다고 전했다. '넷섹(NetSec-KR)' 이모저모를 사진으로 살펴봤다. ◆ 영예의 수상자들

2025.04.17 17:58유혜진 기자

"폰화면·종이에 찍은 건 신분증 아닙니다"

가상자산거래소를 비롯해 금융사 고객 확인 제도가 엄격하다. 소비자는 신분증 원본으로 실명을 인증해야 한다. 신분증을 인쇄한 종이, 또는 신분증을 사진 찍어 스마트폰이나 모니터 화면으로 보여줘도 소용없다. 17일 서울 삼성동 코엑스에서 열린 '제31회 정보통신망 정보보호 학술대회(NetSec-KR)'에서 이런 사례가 알려졌다. 넷섹은 한국정보보호학회가 초고속 정보통신망 구축 사업이 시작된 1995년부터 개최한 국내 최대 정보보호 학술대회다. 진창환 코빗 변호사는 '금융권 고객 확인(KYC·Know Your Customer) 문제와 전망'을 다뤘다. 진 변호사는 “코빗은 한국 최초 가상자산거래소”라고 소개했다. 그는 “모니터에 출력된 신분증이나 종이에 인쇄된 신분증 등은 실물이 아니다”라며 “비실물신분증은 사본의 사본이기에 법원은 사본의 사본을 인정하지 않는다, 즉 법원은 원본만 인정한다”고 말했다. 진 변호사는 “금융회사는 단순히 실제 거래자 명의로 금융 거래하는지 확인하는 데 그쳐선 안 된다”며 “금융 사고를 막으려 노력했음을 담보할 수 있는 수준의 본인 확인 조치를 취해야 한다”고 강조했다. 그러면서 “고객 위험 등급에 따라 1~3년마다 실제 고객인지 확인한다”며 “이름·국적·주민등록번호·성별·주소·전화번호와 자금 세탁 방지를 위해 직업이 무엇인지, 자금을 실제 소유한 사람인지 등을 따진다”고 예를 들었다. 김선미 한국인터넷진흥원(KISA) 단장은 '디지털 전환 시대, 보안 인증 점검 제도'로 정보보호 및 개인정보보호 관리 체계(ISMS-P·Personal Information & Information Security Management system) 인증을 꼽았다. ISMS-P는 기업이 보안 수준을 높이고 개인정보 유출을 막도록 보호 체계를 갖췄는지 심사하고 인증하는 제도다. 정보통신망 서비스를 제공하는 기업이나 정보통신 서비스 매출액이 100억원 이상인 업체는 의무적으로 인증을 취득해야 한다. 인증 받으려면 시스템운영팀과 정보보안팀, 개인정보보호팀 같은 조직을 꾸려야 한다. 시스템 운영 장소와 설비도 필요하다. 유정각 금융보안원 팀장은 '공격자의 시선에서 바라본 금융 보안'을 전했다. 이에 따르면 공격자는 시설을 파괴하거나 무단 침입하고 신분증을 복제한다. 공항처럼 중요 시설에서 일하는 직원 가족을 협박하고, 돈으로 꾀어 내부 정보를 요구하기도 한다. 피싱 메일을 보내는 일도 허다하다. 유 팀장은 “공격자는 무턱대고 나서지 않는다”며 “정찰-무기화-전달-악성코드 실행-설치-명령-제어 단계를 거쳐 목표를 달성한다”고 평가했다. 이어 “시스템 취약점을 자주 살펴봐야 한다”며 “우리 방어 체계가 제대로 작동하는지 시험해야 한다”고 덧붙였다.

2025.04.17 16:52유혜진 기자

ISMS-P 인증 뭐기에…의무도 아닌데, 하겠단 금융사

금융 정보보호 및 개인정보보호 관리 체계(ISMS-P·Personal Information & Information Security Management system) 인증을 받으려는 금융사가 해마다 늘고 있다. 의무도 아닌데 스스로 까다로운 심사를 통과하겠다고 나선다. 금융 ISMS-P는 금융권에 맞춘 ISMS-P 인증이다. 전자금융거래법, 신용정보법 등 금융 정보보호 및 개인(신용)정보 보호 관련 법령을 반영한다. 금융권은 다른 산업보다 민감한 개인(신용)정보와 금융 정보를 많이 다루기 때문에 침해 사고나 개인정보 유출 사고가 터지면 충격이 상당하다. 보다 높은 수준의 보안과 규제가 요구되는 이유다. 8일 금융보안원에 따르면 금융 ISMS-P 인증은 2015년 27건으로 시작해 지난해 128건으로 5배 성장했다. 금융보안원이 금융권에 알맞은 ISMS-P를 인증한다. 나머지 산업이나 전반적인 인증 품질은 한국인터넷진흥원(KISA)이 관리한다. 오중효 금융보안원 상무는 지난달 27일 서울 여의도 금융투자협회에서 열린 'ISMS-P 인증 설명회'에서 “인공지능이나 가상자산 환경이 바뀌면서 인증 수요가 더 늘 것”이라고 말했다. 의무 아니지만 “이만큼 잘해요” 금융회사는 법적으로 ISMS-P 인증 의무가 아닌데도 은행·증권·카드·보험사 뿐만 아니라 핀테크 기업도 자발적으로 인증 받으려는 사례가 늘고 있다고 금융보안원은 전했다. 최지훈 금융보안원 선임심사원은 지난달 설명회에서 “금융권은 ISMS-P 인증이 의무가 아니다”라면서도 “디지털 금융과 자율 보안이 확산돼 인식 수준이 높아졌다”고 분석했다. 핀테크∙오픈뱅킹, 마이데이터, 간편결제 등 디지털 금융이 자리잡으며 보안을 강화할 필요가 있어서다. 이런 환경에서 '우리 회사가 이만큼 금융 보안에 신경쓴다'고 소비자에게 증명할 수 있다. 금융회사가 자율적인 보안 활동을 하되 결과에 대한 책임은 무거워진 점도 내부 보안 관리 체계를 높이는 이유로 꼽힌다. 금융권 형님답게 은행이 선도 금융보안원은 은행이 금융권 디지털 전환을 이끌면서 ISMS-P 인증도 선도하고 있다고 평가했다. 주요 시중은행은 인터넷뱅킹 말고도 마이데이터, 금고 시스템, 전자 서명 인증 등 주요 서비스에 맞는 인증서 2~4개를 취득∙유지하는 것으로 알려졌다. 최근에는 다른 업권보다 디지털 전환이 조금 늦은 면이 있는 생명보험사도 인증을 취득하고 있다며 금융투자, 카드∙캐피털사가 인증 받는 사례도 늘어나는 추세라고 금융보안원은 설명했다. 실제로 기자가 지난달 27일 금융투자협회에서 열린 설명회에 갔더니 대부분 금융투자회사 담당자들이 참석한 모양새였다. 수집-이용-파기 단계별 정보 보호 금융보안원은 특히 전자금융감독규정과 신용정보업감독규정 등 금융권에 특화한 심사 항목으로 금융 보안 규제 준수 여부를 심사한다. 금융사가 세운 (개인)정보 보호 정책과 지침, 절차 등을 체계적으로 시행하는지 따진다. 개인(신용)정보를 수집-보유∙이용-제공-파기하는 단계별로 보호 조치를 적절하게 하는지, 수탁사 같은 외부 위탁 관리 실효성은 있는지도 확인한다. 최 심사원은 “지난해 128건 심사하면서 기업당 결함을 평균 9개씩 발견했다”며 “기업은 결함 개수에 연연하지 말고, 이 결함이 나온 원인과 재발 방지 대책을 신경써야 한다”고 강조했다. 개발자와 운영자, 개인정보 취급자 직무별로 시스템에 접속하는 방식이 다르면서도 시스템 흐름도를 보면 이런 사실을 알 수 없는 경우가 지적받았다. 정보보호 운영 인력이 정보보호 예외 정책을 스스로 승인해도 잘못이다. 개인정보 열람 요구서와 위임장 등에 주민등록번호를 요구해서도 안 된다. '내 정보 잘 지키나' 소비자 선택 기준 금융소비자 입장에서는 (개인)정보 보호 관리 체계를 제대로 갖췄는지 금융사 선택 기준으로 ISMS-P를 삼을 수 있다. 보안 사고를 예방하고, 사고가 나더라도 빠르게 복구하는 금융사를 이용하면 피해가 최소화될 것으로 금융보안원은 기대했다.

2025.04.08 15:09유혜진 기자

"금융 ISMS-P 인증 받으면 정보보호 평가 유리"

“금융 정보보호 및 개인정보보호 관리 체계(ISMS-P·Personal Information & Information Security Management system) 인증을 받으면 정보보호 상시 평가 75개 항목이 면제됩니다. 환경·사회·지배구조(ESG) 친화 경영 항목에도 ISMS-P가 포함돼 공공기관 사업에 입찰하면 가산점을 받습니다. 무엇보다 개인정보를 지킨다는 사실이 가장 중요하지만요.” 최지훈 금융보안원 선임심사원은 27일 서울 여의도 금융투자협회에서 열린 'ISMS-P 인증 설명회'에서 이같이 밝혔다. 금융보안원은 금융권에 알맞은 ISMS-P를 인증한다. 나머지 산업이나 전반적인 인증 품질은 한국인터넷진흥원(KISA)이 관리한다. 최 심사원은 “지난해 128건 심사하면서 결함을 평균 9건 발견했다”며 “기업은 결함 개수에 연연하지 말고, 이 결함이 나온 원인과 재발 방지 대책을 신경써야 한다”고 말했다. 개발자와 운영자, 개인정보 취급자 직무별로 시스템에 접속하는 방식이 다르면서도 시스템 흐름도를 보면 이런 사실을 알 수 없는 경우가 지적받았다. 정보보호 운영 인력이 정보보호 예외 정책을 스스로 승인해도 잘못이다. 개인정보 열람 요구서와 위임장 등에 주민등록번호를 요구해서도 안 된다. 최 심사원은 달라지는 제도를 안내했다. 그는 “과학기술정보통신부가 인증서 유효 기간을 3년에서 5년으로 늘릴지 검토하고 있다”며 “법령이 개정돼 금융회사는 자율적인 보안 활동을 하되 결과에 대한 책임은 무거워졌다”고 전했다. 인증 심사 기간은 대체로 6개월 걸린다. 오중효 금융보안원 상무는 “2015년 ISMS-P 인증을 27건으로 시작해 지난해 5배로 성장했다”며 “인공지능이나 가상자산 환경이 바뀌면서 인증 수요가 더 늘 것”이라고 기대했다. 최 심사원은 “금융권은 ISMS-P 인증이 의무가 아니다”라면서도 “디지털 금융과 자율 보안이 확산돼 인식 수준이 높아졌다”고 평가했다.

2025.03.28 10:50유혜진 기자

"이렇게 하면 털린다"···GS리테일·듀오 해킹 사건 보니

최근 편의점·홈쇼핑 등을 거느린 대형 유통회사 GS리테일의 홈쇼핑 업체 GS샵에서 고객 개인정보 약 158만건이 유출되는 사고가 발생했다. 이보다 며칠 앞서 회원 수 3만명이 넘는 결혼정보업체 듀오에서도 해킹으로 회원 개인정보가 유출됐다. 유출 규모는 파악되지 않았지만, 업계 특성상 다양한 개인정보를 지니고 있을 것으로 추정된다. 잇달은 개인정보 유출과 해킹에 대해 1일 정보보호(보안) 전문가들은 "계정 비밀번호를 자주 바꾸는 한편 아이디·비밀번호 말고도 문자메시지(SMS)나 이중 인증 앱으로 한 번 더 까다롭게 해야 피해를 막을 수 있다"고 조언한다. GS샵의 경우, 지난해 6월 21일부터 이달 13일까지 웹사이트 해킹 공격으로 고객 개인정보가 유출된 정황을 확인했다고 회사는 밝혔다. 홈쇼핑 웹사이트를 통해 유출됐다고 추정되는 개인정보는 ▲이름 ▲성별 ▲생년월일 ▲연락처 ▲주소 ▲아이디 ▲이메일 ▲기혼 여부 ▲결혼기념일 ▲개인통관고유부호 총 10개 항목이다. 각자 입력한 정보에 따라 일부는 포함되지 않았을 수도 있고, 멤버십 포인트와 결제 수단 등 금융 정보는 유출되지 않았다. 특히 GS샵 해킹은 앞서 지난달 편의점 GS25를 통해 GS리테일 회원 9만여명의 개인정보 유출이 드러난 지 한 달여 만에 추가로 확인, 사태 심각성을 더 했다. GS리테일의 경우 지난해 12월 27일부터 지난달 4일까지 웹사이트 해킹 공격으로 이름, 성별, 생년월일, 주소, 연락처, 아이디, 이메일 등 7개 항목이 유출됐다. GS리테일의 경우 개인정보위원회 조사를 거쳐 추후 과징금 규모 등이 결정될 예정인데, 개인정보보호법에 따르면 같은 위반 행위 재발 시 가중 조항이 있다. 이정은 개인정보위 조사2과장은 "GS리테일의 경우가 가중에 해당하는 지는 조사해봐야 한다"고 말했다. GS리테일은 고객 정보 유출과 관련, 사실 인지 후 해킹을 시도한 인터넷프로토콜(IP)과 공격 패턴을 차단하고, GS홈쇼핑 사이트 계정에 로그인할 수 없게 잠금 처리했다. 또 최고 경영진이 참여하는 정보보호대책위원회를 꾸리겠다고 약속하는 한편 최신 정보보호 기술을 도입하고 보안 인력을 늘리겠다고 밝혔다. 듀오의 경우, 지난달 설 연휴 해킹 사고로 일부 고객의 개인정보가 유출됐음을 알아챘고, 유출 경위와 규모를 파악하고 있다. 듀오 회원은 3만5천340명이다. 결혼정보회사인 만큼 회원 ▲이름 ▲연락처 ▲주소 말고도 ▲소득 ▲자산 ▲가족 사항 등을 저장하고 있었을 가능성이 크다. 듀오는 홈페이지에 사과문을 올리고 전문 기관 도움을 받아 기술 조치를 취했다고 밝혔다. 또 주요 개인정보를 암호화해 보관하고 있었다며, 고객에게 안심하라고 일렀다. 이어 비슷한 사고가 다시 일어나지 않게 보안 상태와 시스템 취약점을 점검해 개선하겠다고 밝혔다. GS리테일은 해킹 기법 중 하나인 '크리덴셜 스터핑(Credential Stuffing)' 공격을 받았고, 듀오의 경우 해킹 기법이 알려지지 않았다. 보안 분야에서 25년 이상 일하고 있는 윤두식 이로운앤컴퍼니 대표는 두 회사 해킹에 대해 “아직 직접적인 원인이 밝혀지지 않은 상황이라 함부로 판단하기 어렵다”면서도 “듀오는 시스템이 해킹돼 개인정보가 유출됐을 가능성이 있다”고 말했다. 이로운앤컴퍼니는 인공지능(AI) 보안 수준을 높이는 서비스를 제공하는 회사다. 한국개인정보보호책임자(CPO)협의회장인 염흥열 순천향대 정보보호학과 명예교수는 “GS리테일이 다른 사이트에서 유출된 아이디와 비밀번호를 이용하는 크리덴셜 스터핑 공격을 받은 것 같다”며 “해커는 보안이 취약한 사이트의 아이디와 비밀번호로 다른 사이트를 로그인하는 데 쓴다”고 설명했다. 크리덴셜 스터핑은 이용자가 여러 사이트에서 같은 아이디와 비밀번호를 사용하는 것을 노린 해킹 기법이다. 보안 전문가들은 "매우 단순한 공격 방식이지만 해킹 효과가 커 해커들이 자주 사용하는 방법"이라고 전한다. 공격자는 다크웹에서 계정 정보를 많이 확보한 뒤 반복해 대입을 시도한다. 다른 사이트에서 이미 흘러 나간 아이디와 비밀번호가 악용된 만큼 비밀번호에만 의존해서는 위험하다고 전문가들은 지적했다. 염 교수는 “피싱·파밍 공격을 막을 수 있는 패스워드리스(Passwordless) 방식과 2개 이상 인증 요소를 동시에 사용하는 게 필요하다”며 “예를 들어 아이디·비밀번호와 문자메시지 인증을 동시에 적용하는 것”이라고 설명했다. 윤 대표도 “이중 인증을 지원하는 사이트에서는 반드시 이중 인증을 활성화해야 한다. 이 경우 해커가 내 아이디와 비밀번호로 로그인을 시도하더라도 이중 인증을 못해 정보를 빼낼 수 없다”고 밝혔다. 이어 “기업은 이중 인증을 도입하는 한편 이상 로그인 시도나 비정상적인 접근을 실시간으로 감지하고 대응하는 시스템을 구축해야 한다”며 “정기적으로 교육해 직원의 보안 의식을 높이고 사회공학적인 해킹 기법에 대비하는 능력을 키워야 한다”고 덧붙였다. 전문가들은 "원론적이지만 사용자는 번거롭더라도 사이트마다 비밀번호를 다르게 정하고, 주기적으로 비밀번호를 바꾸는 게 좋다"고 이구동성으로 지적하며 "IP 보안이나 2차 비밀번호 등의 보안 정책을 도입할 것을 기업에 권고하고 있지만, 사용자의 편리성 등 때문에 잘 안 이뤄지고 있다"고 짚었다. 실제 크리덴셜 스터핑을 예방하려면 비밀번호는 최소 8자리 이상으로, 또 영어와 특수문자, 숫자 등 3종류 이상 조합으로 만드는 게 좋다. 여기에 나만의 비밀번호 작성 규칙을 만들고 오랫동안 방문하지 않은 사이트는 탈퇴해야 한다. 듀오는 피해를 방지하기 위해 발신자를 알 수 없는 이메일이나 메시지 링크를 열지 말고 지우는 한편 로그인 비밀번호를 바꾸라고 고객에게 권했다. GS리테일도 비밀번호를 변경하라고 당부했다. 개인통관고유부호 유출이 의심되면 관세청 개인통관고유부호 발급 사이트에서 개인통관고유부호 사용 정지를 요청하거나 재발급 받을 수 있다고 안내했다. 관세청 홈페이지에 도용 신고할 수도 있다. 개인정보가 유출돼 손해 입었다면 개인정보분쟁조정위원회에 분쟁 조정을 신청할 수 있다.

2025.03.01 13:24유혜진 기자

스틸리언, 인도네시아 법인 5배로 키운 비결은···"될 때까지 부딪혀"

2015년 만들어진 정보보호 전문 기업 스틸리언은 설립 5년차(2020년)에 인도네시아에 법인을 세웠다. 이후 5년 만인 현재는 직원을 설립 당시보다 5배, 한 해 매출도 5배 늘었다. 어떻게 이런 성과를 거뒀을까. 홍혁재 스틸리언 인도네시아법인장은 13일 지디넷코리아와 서면 인터뷰에서 “과거 나에게 조언을 할 수 있다면 '조금 더 현지 문화와 시장 상황을 익히도록 노력하라'고 조언하고 싶다”고 말했다. 그러면서 “인도네시아에서 14년을 보냈기에 이 나라를 충분히 안다고 생각했다”며 “안 되면 될 때까지 직접 부딪히니 시간이 많이 걸렸다”고 돌아봤다. 박 대표도 지난주 서울 용산구 본사에서 열린 창립 10주년 기념 기자간담회에서 “인도네시아에서는 갑자기 우리 상품을 사겠다는 한편 오래 고민하는 경우가 있어 때마다 다르게 대응한다”며 “인도네시아 금융사 아디라파이낸스와 계약하기까지 1년 넘게 걸렸다”고 설명했다. 스틸리언은 인도네시아 반둥시 모바일 앱을 모의 해킹해 약점을 분석하고 해법을 제시한다. 반둥시 비대면 행정 앱에 스틸리언의 모바일 앱 보안 솔루션 '앱수트(AppSuit)'를 적용하고 있다. 인도네시아에서 가장 큰 금융사로 꼽히는 아디라파이낸스에도 앱수트를 공급한다. 스틸리언은 반둥시·아디라파이낸스와의 거래를 교훈 삼아 공신력을 갖췄다. 인도네시아 사이버암호원(BSSN)에 화이트리스트로 등록했다. 인도네시아 산업부로부터 사이버보안업 인증도 획득했다. '인도네시아 보안 규정과 요구 사항을 충족하는 정보보호 기업'이라고 인정받았다는 뜻이다. 인증을 획득하는 데에도 1년 넘게 걸렸다. 홍 법인장은 “인도네시아에서 종종 불가능한 조건을 내밀 때가 있다”며 “왜 이런 규정이 생겼는지 이해하니 기관에 이를 대체할 방법을 제안할 수 있었다”고 전했다. 이어 “경쟁사보다 믿음을 주기 위해 인증을 신경 썼다”며 “조금씩 발전해 사기업뿐만 아니라 기관·부처와의 사업도 준비 중”이라고 덧붙였다. 스틸리언은 올해 인도네시아 국가정보원·정보통신부·과학기술부·금융분석원·마약청 등을 새로운 고객으로 추진하고 있다.

2025.02.13 23:17유혜진 기자