[보안리더] 박상원 금보원장 "보안, IT이슈 아냐...'장애 제로' 혼신"
"금융보안원이요? 국내 최고 실력 화이트해커 50명을 보유하고 있습니다." 박상원 금융보안원장은 최근 지디넷코리아와 인터뷰에서 "보안은 더 이상 IT 이슈가 아니라 금융회사의 경영 안정성과 신뢰를 좌우하는 핵심 과제가 됐다"며 이 같이 밝혔다. 금융보안원(금보원)은 2015년 4월 10일 출범한 국내 유일의 금융보안 전문기관이다. 금융보안 특화 비영리 사단법인이다. 3개 기관(금융결제원과 코스콤의 정보공유분석센터, 금융보안연구원)의 관련 기능을 통합, 만들어졌다. '사원사'로 불리는 회원사는 220곳이다. 거의 대부분 국내 금융회사들이 회원사다. 보험사가 42곳으로 가장 많다. 금융투자사도 37곳에 달한다. 이외에 은행(19곳), 금융유관기관(6곳), 중소서민(36곳), 가상자산사업자(5곳), 전자금융업자(14곳), 기타(47곳), 기타 보험GA(14곳) 등이 회원사로 활동하고 있다. 이들 회원사들을 대상으로 금보원은 통합보안 관제, 침해사고 대응, 보안평가 및 검증, 교육·연구, AI 및 디지털자산 등 종합적인 보안 서비스를 제공한다. 임직원은 약 330명이다. 원장 산하에 4본부 12부 3실 49팀이 있다.(아래 이미지) 박 원장은 작년 1월 2일 취임했다. 임기는 3년이다. 1970년생이다. 세광고와 연세대 경제학과(87학번)를 졸업했다. 대학원은 미국 아이오와대에서 MBA를 했다. 1991년 한국은행에 입행, 직장생활을 시작했다. 공군장교로 4년 근무했고, 2000년 금융감독원(금감원)으로 자리를 옮겼다. 금감원에서 금융그룹감독실장, 은행리스크업무실장, 비서실장, 부원장을 거쳤다. 뉴욕사무소 소속 워싱턴 주재원으로도 3년 근무했다. 금융위와 금융감독원 지휘를 받는 금보원은 IT분야의 KISA(한국인터넷진흥원) 같은 곳이다. KISA처럼 금융권에서 일어나는 각종 보안 사고를 조사하고, 미연에 방지하기 위한 여러 활동을 한다. 박 원장은 "급변하는 디지털 금융 환경 속에서 '장애 제로(Zero)'를 목표로 가용성 테스트를 철저히 하고 있다. 언제 어디서나 믿고 이용할 수 있는 금융 IT 기반을 다져 나가겠다"고 강조했다. 금보원은 작년말 화이트해커로 구성한 모의해킹 전담조직을 부서 단위로 확대했다. 뿐만 아니라 국내외 해커(공격자) 동향 및 공격 전술과 기법을 선제적으로 파악 및 조사분석하는 위협인텔리전스팀도 신설했다. AI발 해킹에 선제적으로 대응한 것이다. 아래는 박 원장과 일문일답. 박 원장은 "금융AI 안전성과 신뢰성을 평가할 수 있는 프레임워크를 개발해 AI 안전성 뿐 아니라 신뢰할 수 있는 AI적용을 지원하겠다"고 밝혔다. -임기가 벌써 절반이 지났다. 가장 잘한 것 한가지와, 아쉬운 것 한가지, 해야 할 것 한가지를 말해준다면 "지난해 7월, SGI서울보증에서 랜섬웨어 공격으로 시스템 장애가 발생했다. 당시 금보원은 높은 전문성을 바탕으로 통상 복구가 어려운 데이터 복호화에 성공, 신속한 시스템 복구를 지원했다. 대규모 통신사 해킹사고 발생 시에도 악성코드를 빠르게 분석해 자체 점검 도구를 개발 및 배포, 전 금융권으로 확산할 수 있는 피해를 사전에 차단했다. 고성능 AI인 '미토스'로 대표되는 기술 진화는 금융 혁신의 가능성을 넓히는 동시에 보안 수준과 역할 전반의 고도화를 요구하고 있다. 금보원은 AI 기반 위협 분석 및 금융사기 예방체계를 가동하고 디지털자산 보안 정책을 마련하는 등 보안이 선도하는 디지털금융 혁신을 지원하고 있다. 뿐만 아니라 AI 기반의 고도화된 분석 환경을 통해 금융회사에게 안정적으로 맞춤형 위협정보를 제공하고, 당국과 긴밀히 소통하는 등 AI 발전에 따라 발생하는 보안 이슈에 선제적으로 대응하고 있다." -지난 4월 열린 국제 사이버공격 방어훈련 '락드쉴즈(Locked Shields) 2026'에 금보원이 올해도 참여, 5년 연속 참가 기록을 세웠다. 해외에서 바라보는 금보원의 사이버 방어 역량은? "세계 최대규모 사이버 훈련인 '락드쉴즈'에 5년 연속 참여함으로써 대한민국 금융권 방어 역량이 글로벌 최상위 수준임을 입증했다. 특히, 올해 훈련에서는 LLM 기반의 자동화 분석과 AI에이전트를 실전 대응 프로세스에 적극 활용, 지능화된 악성코드 분석과 복합적인 공격 방어를 성공적으로 수행, 우리 원의 독보적인 AI 보안 기술력을 보여줬다. 이러한 국제 위상은 단순히 기술력을 과시하는데 그치지 않는다. 우리 금융 산업이 어떠한 고도화된 위협 속에서도 금융소비자의 소중한 자산을 안전하게 지켜낼 수 있다는 강력한 신뢰의 지표가 될 것이다." -지난 3월 회원사인 금융사를 대상으로 금융IT 인프라 가용성 테스트를 실시했다. 결과가 어땠나? "지난해 주요 금융회사들을 대상으로 IT인프라 가용성 점검을 했다. 예기치 못한 시스템 부하와 장애 상황에서 복원력을 선제적으로 검증하는 성과를 거뒀다. 올해는 이를 토대로 테스트의 범위를 한층 넓혔다. 온프레미스 장비부터 복합적인 클라우드 환경에 이르기까지 IT인프라 전반을 정밀히 확인하고 있다. 급변하는 디지털 금융 환경 속에서 '장애 제로(Zero)'를 목표로 한 철저한 가용성 테스트를 통해 언제 어디서나 믿고 이용할 수 있는 금융 IT 기반을 다져 나가겠다." -법령과 시행령에 따라 매년 회원사들의 전자금융기반시설도 분석하고 평가하고 있다. 올해는 어떻게 진행하나? "올해 사원기관의 보안 대응 역량 강화를 위해 178개 기관을 대상으로 종합점검, 단독점검, 공개용 홈페이지 점검 등을 수행 중이다. 평가기준 개정은 전자금융감독규정 및 시행세칙 개정사항 을 반영했다. 특히 금융회사의 클라우드 사용이 증가함에 따라 클라우드 점검 범위와 대상을 확대, 클라우드 보안을 강화했다. 또 올해는 웹보안점검팀을 신설하고 전문인력을 확충, 금융권의 공개 홈페이지 취약점 분석과 평가를 제공하고 있다. AI발달로 AI기반 해킹 위협도 확산하고 있다. AI기반 고도화, 전문화된 취약점 점검 수행 방안을 마련, 적용할 예정이다." -지난 2월말 '금융권 소프트웨어 보안 취약점 신고 포상제'를 실시한다고 했는데 "SW공급망 내 하나의 취약점이 금융권 전반에 동시다발적으로 영향을 줄 수 있다. 이 점을 고려해 금융회사를 대표해 금융회사가 사용하거나 배포하는 소프트웨어를 대상으로 연중 상시 보안 취약점 신고를 받고 있다. 이와 별도로 AI 시대에 더욱 고도화하는 사이버 위협에 선제적으로 대응할 수 있게 금융서비스를 대상으로 한 보안 취약점 신고 포상제(금융권 버그바운티 집중신고)도 운영하고 있다. 올해는 전년 대비 119% 증가한 70개 사원사가 참여한다. 금융권도 민간 화이트해커와 협력하는 보안 문화가 점차 확산하고 있다." -지난 2월말 '금융권 소프트웨어 공급망 보안 플랫폼'도 본격 가동하겠다고 했다 "지난 2월 6일부터 정식 가동중이다. 금융권의 SW공급망이 지닌 보안 위협에 선제적으로 대응하기 위해 만든 플랫폼이다. 현재 120개 이상 기관이 가입해 활용하고 있다. 점차 확대될 것으로 보고 있다. 이 플랫폼은 금융권 주요 SW의 취약점을 통합 관리하고, SBOM(SW자재명세서)을 체계적으로 관리 및 활용할 수 있는 기능을 제공한다. 화이트해커가 신규 취약점을 제보하면 보상하는 버그바운티도 운영하고 있다. 패치 적용부터 제로데이 취약점 발굴까지 공급망의 모든 단계 보안을 지원한다. 지난 달에도 플랫폼에서 운영하는 버그바운티를 통해 전자서명SW 신규 취약점을 입수하고, 해당 SW를 사용하는 금융회사가 신속하게 취약점을 패치하도록 지원한 바 있다. 이렇듯 취약점 접수 및 분류->영향분석->개발사 패치 개발 협의->금융사 적용-> 조치 확인 및 이력화에 이르는 전 과정을 플랫폼을 통해 일괄 처리하고 있다. 금융회사가 사용하거나 배포하는 SW 구성요소 정보를 체계적으로 관리할 수 있게 SCA(SBOM 추출 도구)도 제공한다. SBOM 정보를 플랫폼에 업로드 시 취약점을 확인할 수 있다. 이후 해당 SW에 신규 취약점 발생 시 빠르게 인지할 수 있게 모니터링을 지원한다. 금융회사는 오픈소스 관리 시 도입, 설계, 개발, 운영 전 단계에서 SW 보안 취약점을 제거하기 위한 도구로 이 플랫폼을 활용하면 좋다." -올 1월초 AI 중심 금융보안 전략을 마련해 발표했다. "약 1년여 간 금융권 현직자들과 작업했다. 금융보안 수준 진단 프레임워크를 개발했다. 이 프레임워크는 미국 국립표준기술연구소(NSIT)의 사이버보안 프레임워크(CSF), CRI Profile 등 해외 주요 프레임워크를 기반으로 국내 금융환경에 맞게 설계했다. 총 7개 분야 45개 항목으로 구성했다. 각 항목별로 4단계의 보안 성숙도 기준을 제시한다. 단순히 법적 규제를 준수하는 것에 그치지 않고, 더 높은 보안 수준을 목표로, 스스로 개선해 나가도록 유도하기 위한 것이다. 프레임워크와 함께 지침(가이드)도 배포했다. 이를 통해 금융회사가 스스로 보안 수준을 점검하고 개선방향을 도출할 수 있을 것으로 기대하고 있다. 올해부터 금융회사들을 대상으로 수준진단 서비스도 제공중이다. 금융회사를 방문해 인터뷰를 기반으로 금융회사 보안 수준을 진단한다. 올해 서비스를 제공하는 과정에서 현직자들의 의견을 청취하고, 모범사례를 수집, 프레임워크를 지속 발전시켜나갈 계획이다. 이 프레임워크를 통해 금융회사들이 자사 보안수준을 진단하는 한편 보완이 필요한 점을 발굴하고 개선, 국내 금융권의 보안 역량을 전체적으로 향상될시키겠다." -AI 레드티밍도 확대했다. 성과가 있었나? "금융권의 AI 도입 및 적용 확산으로 AI 보안위험을 사전에 통제 및 관리할 필요성이 커졌다. 이에 따라 2025년 부터 금융회사를 대상으로 AI 레드티밍을 수행하고 있다. 올해는 현재 9개 금융회사를 대상으로 시행했다. 금융권 AI 도입이 늘어남에 따라 점검 수요가 늘고 있다. 특히 올해에는 기존 모의해킹 전문인력과 AI 전문인력을 같이 배치했다. 기존 모의해킹 전문성과 AI 레드티밍 전문성을 결합한 점검 서비스를 제공하기 위해서다. AI 기술이 대화형 서비스에서 AI 에이전트로 진화함에 따라 이에 맞춰 안전한 AI 에이전트 적용을 지원하기 위한 점검 항목도 개발 중이다." -금융 취약계층 보호를 위한 보이스피싱 탐지 기술을 고도화한다고 했다. 진행상황은? "보이스피싱 범죄에 이용된 계좌의 특징점을 전산적으로 파악해 대응하는 시스템을 운영중이다. 이를 FDS라 부른다. 최근 신종 스캠·대포계좌 등 새로운 유형 범죄가 증가 및 확대하고 있다. 이에, 금융권 탐지역량 및 정보공유 체계 강화를 위해 FDS의 공동 룰을 개발해 금융권에 배포할 예정이다. 또 오는 8월 개정 예정인 '통신사기피해환급법' 시행에 맞춰 원활한 정보 공유를 위해 관련 시스템을 확충 및 개선하고 있다. 특히 여러 채널에서 공유한 데이터를 AI 로 교차 분석, 지능화된 신종 사기 패턴과 은닉된 범죄 징후를 선제적으로 탐지하고 있다." -전사 업무에 AI를 기본 적용하는 AI퍼스트 정책을 도입한다고 했는데 "세부 사항을 검토 중이다. 보안관제, 침해대응, 모의해킹 등 다양한 보안 업무에 AI를 결합해 전문성을 고도화하는 데 주력할 거다. 중요 자료를 다루는 폐쇄망 환경에서도 AI를 손쉽게 적용할 수 있게 사내 자체 AI 포털도 고도화하고 있다." -작년 12월, 운영 중인 '보이스피싱 정보공유·분석 AI 플랫폼(ASAP)'과 연계해 중소 금융업권의 보이스피싱 대응 수준을 강화한다고 했다 "각 금융회사가 자체 이상거래탐지시스템(FDS)을 운영 중이다. 하지만 개별적으로 보유한 의심 계좌와 거래정보만으로는 대응에 한계가 있다. 특히 탐지된 피해 계좌, 사기 이용 계좌 등을 다른 금융회사에 공유할 수 있는 채널이 없어 신속한 대응이 어렵다. 이에, 작년 10월 출범한 보이스피싱 정보공유·분석 플랫폼 (ASAP)을 통해 개별 금융회사가 탐지한 피해 계좌, 사기 이용 계좌 등을 신속하게 공유하게 했다. 금융권 전반의 보이스피싱 대응 역량이 높아질 것으로 본다. 올 1월 '통신사기 피해 환급법 개정안'이 국회에서 통과됐다. 이에, 금융·통신·수사 등 정보 공유 범위 확대를 기대하고 있다. ASAP 출범 이후 올 4월까지 보이스피싱 관련 정보를 32만 건 공유, 금융회사에서 발생할 수 있는 약 475억원의 보이스피싱 피해를 예방했다." -작년 12월 조직을 재편해 해킹 대응력 강화했다. 그동안의 성과와 발전방향은 "조직확대 이후 가장 큰 성과는 기존 취약점 점검과 더불어 실제 침해사고 발생 가능성을 검증하고 사전에 예방하는 모의해킹(침투테스트)에 대한 수요 증가에 안정적으로 대응할 수 있는 체계를 갖췄다는 점이다. 이는 금융권의 선제적 사이버 위협 대응 인식이 높아지고 있고,이에 맞춰 실질적인 지원 역량을 강화하고 있음을 보여준다. 또한 AI 레드티밍, 가상자산거래소, CSP 안전성평가 등 신기술신사업 영역에서도 모의해킹 점검을 지원하며 금융권 보안 검증 범위를 넓혔다. 사원기관 정보보호 담당자를 대상으로 우리 원의 RED IRIS실 화이트해커가 직접 모의해킹 교육을 실시, 담당자의 침투테스트 이해도와 취약점 대응 역량도 강화했다. 생성형 AI 확산에 맞춰 AI를 활용한 모의해킹 기법, 자동화 점검, 최신 공격 시나리오도 지속 연구하면서 금융보안원의 전문성을 대외적으로 알리고 금융보안 분야를 선도할 기반을 마련할 정이다. 발전 방향은 금융당국의 사전예방 중심 보안 강화 기조와 맞닿아 있다. 최근 보안사고가 이어지면서 형식적 점검보다 실제 침투 가능성과 방어체계 작동 여부를 검증하는 모의해킹의 중요성이 커졌다. 이에, 침투테스트 기반 모의해킹을 금융권에 안정적으로 정착시키고, 중장기적으로는 물리 침투, 사회공학, 탐지·대응 검증 등을 포함한 AI 기반의 레드티밍으로 확장해, 미래 성장동력을 확보해 나가고 있다. 모의해킹은 단순히 취약점 식별이 아니다. 금융회사의 보안 수준을 실질적으로 끌어올리는 수단이다. 교육과 기술 지원을 확대, 현장 관심과 후속조치 문화가 함께 정착하도록 하겠다." -스테이블코인 등 디지털자산 보안을 전문으로 지원하기 위한 전담조직도 확대, 개편했다 "올해 조직개편을 통해 1개 팀을 '디지털자산실'로 확대, 2개 팀으로 만들었다. 디지털자산실은 보안 기획, 금융당국 정책 수립 지원, 보안 기술·점검 지원, 위협 조사·연구, 위협정보 수집 및 정보공유 등의 업무를 발굴해 수행하고 있다. 디지털자산 보안 점검의 경우 작년에는 가상자산거래소 4곳을 대상으로 했다. 올해는 토큰증권(STO) 서비스 대상 시범점검을 진행중이다. 토큰증권 제도화 및 가상자산 2단계 입법 추진에 따라, 안전한 디지털자산 생태계 조성을 위해 보안 기준을 마련하고 점검 지원 등을 지속적으로 추진하려 한다. 첫째, 블록체인과 월렛, 스마트 컨트랙트, 자금세탁 방지 등 디지털자산 보안 관련 사항을 종합적으로 고려해 디지털자산 보안 프레임워크를 개발할 예정이다. 둘째, 디지털자산의 안정적 제도권 안착을 위해 보안 위협 및 요구사항 등을 논의하기 위한 '디지털자산 보안 실무협의체'를 지속적으로 운영할 계획이다. 이 실무협의체는 올 4월 토큰증권, 스테이블 코인, 가상자산 업권 등 26개사로 구성해 킥오프(Kick-Off)를 완료했다. 셋째, 글로벌 디지털자산 관련 침해사고, 스마트 컨트랙트 취약점, 범죄와 연관된 의심 월렛 주소 등 국내외 디지털자산 관련 위협 정보를 수집 및 분석해 위협 요소를 식별하고 정보를 공유하는 체계를 마련하겠다. 스마트 컨트랙트 보안 검증 도구를 개발해 이의 보안 향상을 지원하고, 금융권에서 활용 가능한 스마트 컨트랙트 보안 안내서를 발간하려 한다." -AI 전담조직을 부서 단위 조직으로 격상했다 "그렇다. 다양한 업무를 한다. 보이스피싱 AI 공동 모델 개발과 금융 분야 인공지능 보안안내서 개발, AI 레드티밍 확대 등이 대표적이다. 금융AI 가이드라인에 기반한 금융AI 안전성·신뢰성 평가 프레임워크를 개발해 AI 안전성 뿐 아니라 신뢰할 수 있는 AI적용도 지원할 예정이다. 또한 미토스 등 고성능 AI 출현에 따라 앞으로는 AI 위협분석 및 공격·방어 연구 기능을 강화하고 AI 보안 전문인재 양성을 확대, 진화하는 AI 기반 보안위협에 적극 대응하려 한다." -조직활력 제고를 위한 원장님만의 노하우가 있다면? "임직원이 전문성을 높이고 동기부여를 받게 교육과 연수체계를 신설, 강화하고 있다. 조직의 핵심 경쟁력은 결국 직원 한 사람 한사람의 역량이다. 이에, 모의해킹·디지털자산·AI 전문인력 육성 과정, 글로벌 현장 중심 역량 강화를 위한 과정을 운영하고 AI 전문성 향상을 위한 전 직원 대상 AI 활용 교육을 진행하고 있다.직원의 역량 향상과 더불어 조직활력 제고까지 이어질 수 있게 하고 있다." -작년 11월 '리딩 더 챌린지(Leading the Change)'를 주제로 금융정보보호 컨퍼런스인 '피스콘 2025(FISCON 2025)'를 성공적으로 개최했다. 올해는 어떤가? "올해 피스콘(FISCON)은 오는 11월 12일 목요일 서울 여의도 콘래드 호텔에서 개최한다. 특히 올해는 초고도AI 등장으로 금융권 보안 환경과 디지털금융 패러다임이 어느 때보다 빠르게 변화하고 있다는 점에 주목하고 있다. '미토스' 사례처럼 AI가 장기간 발견되지 않았던 취약점까지 단시간 내 찾아내는 수준에 도달했다. 이에, 보안은 더 이상 IT 이슈가 아니라 금융회사의 경영 안정성과 신뢰를 좌우하는 핵심 과제가 됐다. 올해 FISCON은 AI 대전환(AX) 시대에 금융권이 어떻게 대응해야 하는지에 대한 인사이트와 전략을 제시하는 데 중점을 둔다. 민・관・산・학・연 전문가들과 함께 최신 기술과 정책, 산업 동향 등을 공유한다. 경영진과 실무진이 빠르게 변화하는 디지털 환경 속에서 대응 과제와 미래 방향을 함께 논의하는 장으로 준비중이다." -프라이버시향상기술(PET)에도 금보원이 관심이 큰데.... "AI 도입과 확산에 따라 AI기술 고도화를 위한 학습데이터 확보가 매우 필요한 상황이다. 이에, 개인정보 자체를 노출하지 않으면서 유용성을 확보할 수 있는 합성데이터가 PET 기술의 하나로 각광받고 있다. 금보원은 개인정보를 기반으로 생성한 합성데이터가 유용성과 함께 충분한 익명성을 확보할 수 있게 익명 처리 기준을 마련, 적정성 평가 제공을 추진하고 있다. 이를 기반으로 금융회사가 적정성이 확인된 합성데이터를 통해 부족한 학습 데이터를 확보하고, 개인정보를 보호하면서도 금융 소비자 분석, 금융 서비스 개발 등 다양한 목적으로 합성데이터를 활용할 수 있게 지원한다." -작년 8월 열린 세계 최고 해킹방어대회 '데프콘(DEFCON CTF 33)'에서 금보원 직원들이 상위권에 다수 이름을 올렸다. 올해도 참가하나? "지난 2018년부터 금융보안원 직원들이 데프콘에 참여해 우수한 성과를 꾸준히 내고 있다. 직원이 대회에 적극 참여할 수 있게 원 차원에서 독려하고 있다. 개개인의 실력을 향상을 위한 지원도 함께 하고 있다. 올해 역시 직원들이 적극적으로 참가를 준비하고 있으며 좋은 성과를 이어갈 수 있을 것으로 기대하고 있다." -작년 8월 해외 금융권의 양자컴퓨팅 관련 동향 등을 정리한 연구보고서를 배포했다. 양자컴퓨팅과 보안에 대해 어떻게 대응하고 있나 "양자컴퓨팅 중 안전한 양자내성암호(PQC, Post-Quantum Cryptography)를 연구, 미국 및 우리나라에서 표준화하고 있다. 하지만 아직 세부적인 부분까지 완성되지 않은 상황이다. 금보원은 양자컴퓨팅 및 양자내성암호와 관련해 정부 및 관계기관 협의체 참여와 기술 동향 모니터링, 기술문서 조사 및 분석을 지속적으로 수행하고 있다. 향후 양자내성암호 기술이 실제 쓰일 수 있을 정도로 표준화가 완료되면, 사원기관이 이를 안심하고 도입할 수 있게 가상 금융환경의 개념검증(PoC), 컨설팅 등 사원기관에 실질적으로 도움이 될 수 있는 서비스를 계속 제공하겠다." - 현재 제일 고민인 것은? "금융산업도 AX 시대를 맞이하고 있다. 생성형 AI 확산에 따른 사이버 위협 대응은 기존에도 중요한 과제였지만, 최근 '미토스'와 같은 고성능 AI 등장으로 AI가 가져올 보안 위협에 대응하는 것이 핵심 과제가 됐다. 또 디지털 월렛은 금융 플랫폼의 중심으로 부상하고 있으며, 스테이블코인과 STO 등은 금융의 새로운 영역으로 확고히 뿌리내리고 있다. 이러한 혁신의 흐름 속에서 금보원은 기술 혁신이 금융에 안전하게 안착할 수 있게 '보안'이라는 신뢰의 토대를 만들고 견고하게 유지하는 역할을 수행할 것이다. 보안이 혁신의 뒤를 따라가는 것이 아니라, 혁신을 지속 가능하게 만드는 핵심 경쟁력이 될 수 있게 하는 것이 중요하다고 본다." -어떤 원장으로 기억되고 싶나 "금융보안원은 지난 11년간 금융 보안을 책임지는 기관으로서 쉼없이 달려왔다. 금융 당국의 원칙(principle) 중심은 보안규제 패러다임 전환에 발맞춰 금융회사가 자율적으로 보안수준을 진단할 수 있는 체계를 정착시켜 나갈 것이다. 또한 AI, 클라우드, 디지털자산 등 금융혁신을 거스르지 않으면서 금융회사가 안전한 항로를 스스로 개척해 나갈 수 있게 반보 앞선 길잡이 역할을 한 원장으로 기억되고 싶다." 아래는 설립 11년차인 금보원이 뽑은 역대 11대 성과 ① SGI서울보증 랜섬웨어 사태 대응 -랜섬웨어를 심층 분석한 결과, 암호화 방식의 결함을 찾아냄으로써 데이터의 복호화에 성공하여 피해 서버의 복구를 지원하는 등 대형 금융 사고 발생에 대응하여 신속하고 정밀한 기술 지원을 통해 침해 사고를 조기에 수습하며 금융 시스템의 신뢰 회복에 기여. ② 금융권 공격 표면 관리(ASM) 서비스 개시 - 외부에 노출된 금융권 디지털 자산을 실시간으로 탐지하고 관리하여, 해커의 공격 경로를 사전에 차단하는 선제적 방어체계를 마련련.. ③ 보이스피싱 정보공유·분석 AI 플랫폼(ASAP,) 출범 -AI-based anti-phishing Sharing & Analysis Platform의 약자. 개별 금융사를 넘어 공공·통신 분야 등 유관기관의 정보까지 활용하는 범금융권 통합 보이스피싱 대응 체계를 구축하였습니다. AI를 통해 보이스피싱 수법을 실시간으로 분석하여 민생 침해 범죄에 공동 대응하는 강력한 허브 역할 수행. ④ AI 레드티밍 등 안전한 금융 AI 활용 환경 조성 - 금융 분야 AI 도입 시 발생할 수 있는 보안 취약점을 점검하는 레드티밍 체계를 구축하여, 신기술 도입의 안전성을 확보. ⑤ 최고경영자 레벨의 금융보안 공감대 형성 - 금융회사 CEO 초청 정보보호의 날 기념행사, FISCON, 사외이사 교육 및 최고위 과정 운영을 통해 보안을 단순 기술 이슈가 아닌 경영의 핵심 가치로 격상. ⑥ 금융권 버그바운티(Bug Bounty) 안착 - 외부 전문가들과 함께 취약점을 찾는 취약점 신고 포상 제도 기반의 자율 보안 모델을 성공적으로 운영하며 금융 생태계 전반의 보안 자정 능력 강화. ⑦ 최정예 화이트해커 조직 'RED IRIS' 운영 - 최고 수준의 공격 역량을 보유한 화이트해커 전문 조직이 수행하는 실전 침해 점검을 바탕으로, 금융권의 방어 역량을 한차원 높여. ⑧ 정보보호 상시평가 및 금융권 개인정보보호 지원 - 금융회사 등이 처리하는 개인신용정보에 대한 관리·보호 실태를 상시적으로 점검하여 가명정보, 데이터 결합 등 새로운 데이터 처리 환경에서도 국민이 신뢰할 수 있는 정보보호 체계 구축. ⑨ 클라우드 연계 대용량 디도스(DDoS) 공격 대응 체계 마련 - 금융권을 노리는 대규모 트래픽 공격에 효과적으로 대응할 수 있는 고성능 DDOS 대응 시스템을 구축해 빈번히 발생하는 금융권 대상 DDOS공격에 의한 피해 사전 방지. ⑩ 금융권 안전한 클라우드 활용 환경 조성 - 금융사들이 민첩한 디지털 전환을 이룰 수 있도록 금융권의 안전한 클라우드 서비스 활용을 위한 방향을 제시하고 클라우드 관련 보안성 및 안전성 검증 수행. ⑪ 한·미·일 금융보안 사이버공조체계 확립 - 글로벌 사이버 위협에 공동 대응하기 위해 3국 간 협력 네트워크를 구축, 국경 없는 위협에 대한 국제적 공조 시스템을 마련.
