금융 서비스를 위한 규정 준수 및 보안
AWS는 금융 기관이 국제적으로 독특한 보안, 규제 및 규정 준수 의무에 직면한 것을 알고 있습니다. AWS 고객은 타사 검증 기관이 ISO, PCI, SOC 및 다른 인증서에서 테스트하고 검증한 컨트롤에 액세스할 수 있습니다. 또한, 내부 AWS 금융 서비스 보안 및 규정 준수 전문가들은 고객이 조직의 보안 목표, 전략, 전술을 보완하면서도 가장 엄격한 규제 요건도 준수하도록 특수 설계된 안전한 확장형 클라우드 플랫폼을 구축하도록 지원할 수 있습니다.
클라우드의 보안을 강화하기 위한 인프라 및 서비스
AWS는 보안과 복원성을 가장 중요하게 생각합니다. 고객의 의견을 신중히 경청하여 매우 안전한 클라우드 컴퓨팅은 물론이고, 자체적으로 애플리케이션 수준 보안 조치를 구축하고 구현하는 데 활용할 수 있는 다양한 도구와 리소스까지 제공합니다. AWS는 여러 가지 국제적으로 인증된 자격과 인증을 획득하여 타사 보증 프레임워크로 규제를 준수함을 증명하였습니다. 여기에는 PCI-DSS, SEC Rule 17-a-4(f), Reg SCI, EU Data Protection Directive, FedRAMP, GDPR, FIPS 140-2, and NIST 800-171과 같이 대부분 금융 서비스 기관에 영향을 미치는 규제가 포함됩니다.
또한, AWS는 액세스를 관리하고, 기계 학습 기능으로 불규칙한 활동에 대한 데이터를 분석하며, DDoS 공격을 완화하고, 데이터를 암호화하고, AWS 리소스에 변경 사항이 발생할 때마다 알림을 전송하는 수많은 보안 서비스를 제공합니다. 그뿐만 아니라 AWS 고객은 감사하기 편리하며 거버넌스에 중점을 둔 서비스 기능에 액세스하여 규정 준수 및 감사 표준을 충족할 수 있습니다.
AWS 코어 인프라를 모니터링하는 세계적 수준의 보안 전문가들이 고객의 보안 및 규정 요구 사항 충족을 간소화하도록 도울 수 있는 다양한 종류의 혁신적 보안 서비스를 구축 및 유지합니다.
AWS 규정 준수 센터
AWS 규정 준수 센터는 중앙에서 54개국에 클라우드 관련 규제 요구 사항을 조사하는 인터랙티브 도구입니다. 이 도구는 고객이 국가별 리소스를 검색하고, 지역 규제 요구 사항을 찾고, 해당 국가에 적용되는 AWS 규정 준수 프로그램을 확인할 수 있도록 도와줍니다. 기술 가이드라인을 업데이트하는 국가들이 늘어나는 대로 도구에 추가되기 때문에 금융 서비스 전문가들은 사업을 운영하는 지역에 클라우드를 도입할 목적으로 규정 요구 사항을 이해하는 데 도움을 받을 수 있습니다.
AWS Cloud Governance for Financial Services
AWS Cloud Governance for Financial Services는 고객이 프로세스를 수립하고 AWS 환경을 관리하기 위한 도구를 선택할 수 있도록 안내하는 프레임워크입니다. 금융 기관은 클라우드 여정에 대한 보안, 비용, 지속적인 관리를 위한 요구 사항을 정의하고, 프로세스가 최적화되어 있으며 일관성 있게 준수되고 있는지 확인하고, 규모에 따라 클라우드 상태를 측정하기 위한 솔루션을 구현할 수 있습니다.
AWS 보안 설명서
보안 설명서 리포지토리는 고객이 조직의 보안 및 규정 준수 목표를 달성하기 위해 AWS 서비스를 구성하는 금융 보안 방법을 보여줍니다. AWS 고객은 보안에 가장 민감한 조직의 요구 사항을 충족하도록 구축된 데이터 센터 및 네트워크 아키텍처의 혜택을 누릴 수 있습니다.
AWS Well-Architected 프레임워크
AWS Well-Architected Framework는 애플리케이션에 사용할 보안, 성능, 복원력 및 효율성이 뛰어난 인프라를 구축하는 클라우드 아키텍트를 돕기 위해 개발되었습니다. 5가지 기반인 운영 우수성, 보안, 안정성, 성능 효율성 및 비용 최적화를 기반으로 하는 이 프레임워크는 고객과 파트너가 아키텍처를 평가하고, 지속해서 확장되는 설계를 구현하기 위한 일관적인 접근 방식을 제공합니다.
AWS Well-Architected Framework의 금융 서비스 산업 렌즈에서는 엄격한 규제를 받는 환경의 글로벌 고객과 일한 AWS의 경험을 바탕으로 금융 기관의 복원력, 보안 및 운영 성능 요구 사항에 대한 추가 모범 사례를 제공합니다.
금융 서비스 렌즈 백서 다운로드 PDF | Kindle
AWS Artifact 도구
AWS Artifact 도구는 전 세계적으로 제공되는 고객 포털로, AWS 정책, 프로세스, 컨트롤에 대한 정보를 온디맨드로 액세스할 수 있습니다. 특정 AWS 서비스와 관련된 컨트롤에 대한 설명서와 AWS 컨트롤이 효과적으로 작동하는지에 대한 검증을 제공합니다. 고객은 이 보고서를 사용하여 컨트롤 프레임워크에 AWS 컨트롤을 맞추고 AWS 컨트롤이 잘 작동하는지 확인할 수 있습니다. 규정 준수 프로그램 제공 AWS 범위 내 서비스를 참조하거나 AWS 관리 콘솔에서 AWS Artifact에 액세스하세요.
금융 보안
경찰 10명이 도둑 1명을 못 막는다는 말이 있다. 연일 터지는 보안사고도 마찬가지다. 최첨단 보안 기술을 도입했지만 어디선가 취약점을 뚫고 들어오는 공격을 막기란 사실상 불가능하다. 게다가 최근 APT 공격 추세를 보면, 특정 대기업이나 공공기관만을 겨냥한 것이 아닌, 중소기업으로 옮겨가고 있다. 또한 과거에는 단순히 과시욕이나, 정치적인 혹은 금전적인 목적으로 공격했으나 이제는 목적도 다양해졌다. 이와 관련해 금융보안연구원 정보보안본부 성재모 본부장은 “어느 것을 먼저 보완해야 한다고 할 것 없이 사전 예방시스템 구축, 통제 모니터링, PC 및 서버의 변화 탐지 등 전방위적인 대책이 필요하고 숙련된 보안 전담인력의 지속적 확보가 중요하다”고 강조했다. 또한 성 본부장은 “전자금융의 신뢰성 보장을 위해서는 무엇보다 기업의 CEO가 ‘보안’을 기업의 사회적 책임의 일환으로 접근하는 인식의 변화가 필요하다”고 주장했다. 성 본부장은 오는 5월 8일 열리는 제 3회 파이낸스 IT 월드 2013 컨퍼런스에서 ‘스마트 금융 서비스의 보안 기술 동향 및 전망’이라는 주제로 스마트 금융을 위한 보안 기술을 소개하고 스마트 금융 보안 기술에 대한 전망을 공유할 예정이다. 다음은 성 본부장과의 일문일답이다. CIO Korea(이하 CIO) : ‘스마트 금융 서비스의 보안 기술 동향 및 전망’이라는 주제로 발표할 예정이다. 주로 어떤 내용을 발표하나? 성재모 본부장(이하 성 본부장) : 스마트 금융 환경에서 어떤 부분을 고려해야 하는지에 대해서라고 보면 된다. 첫 번째, 스마트폰 뱅킹이다. 과거 PC 인터넷 뱅킹 가입자 증가 속도보다 스마트폰 뱅킹 가입자 증가 추세가 훨씬 더 빠르게 진행되고 있다. 현재 국내 스마트폰뱅킹 사용자는 2,500만 명 정도로 추산된다. PC뱅킹은 은행에 가지 않아도 PC만 있으면 언제 어디서나 은행 업무를 처리할.
FIT 2013 인터뷰 | 금융보안연구원 성재모 본부장 "기업의 사회적 책임으로 보안 대책 접근해야"
경찰 10명이 도둑 1명을 못 막는다는 말이 있다. 연일 터지는 보안사고도 마찬가지다. 최첨단 보안 기술을 도입했지만 어디선가 취약점을 뚫고 들어오는 공격을 막기란 사실상 불가능하다. 게다가 최근 APT 공격 추세를 보면, 특정 대기업이나 공공기관만을 겨냥한 것이 아닌, 중소기업으로 옮겨가고 있다. 또한 과거에는 단순히 과시욕이나, 정치적인 혹은 금전적인 목적으로 공격했으나 이제는 목적도 다양해졌다. 이와 관련해 금융보안연구원 정보보안본부 성재모 본부장은 “어느 것을 먼저 보완해야 한다고 할 것 없이 사전 예방시스템 구축, 통제 모니터링, PC 및 서버의 변화 탐지 등 전방위적인 대책이 필요하고 숙련된 보안 전담인력의 지속적 확보가 중요하다”고 강조했다. 또한 성 본부장은 “전자금융의 신뢰성 보장을 위해서는 무엇보다 기업의 CEO가 ‘보안’을 기업의 사회적 책임의 일환으로 접근하는 인식의 변화가 필요하다”고 주장했다. 성 본부장은 오는 5월 8일 열리는 제 3회 파이낸스 IT 월드 2013 컨퍼런스에서 ‘스마트 금융 서비스의 보안 기술 동향 및 전망’이라는 주제로 스마트 금융을 위한 보안 기술을 소개하고 스마트 금융 보안 기술에 대한 전망을 공유할 예정이다. 다음은 성 본부장과의 일문일답이다. CIO Korea(이하 CIO) : ‘스마트 금융 서비스의 보안 기술 동향 및 전망’이라는 주제로 발표할 예정이다. 주로 어떤 내용을 발표하나? 성재모 본부장(이하 성 본부장) : 스마트 금융 환경에서 어떤 부분을 고려해야 하는지에 대해서라고 보면 된다. 첫 번째, 스마트폰 뱅킹이다. 과거 PC 인터넷 뱅킹 가입자 증가 속도보다 스마트폰 뱅킹 가입자 증가 추세가 훨씬 더 빠르게 진행되고 있다. 현재 국내 스마트폰뱅킹 사용자는 2,500만 명 금융 보안 정도로 추산된다. PC뱅킹은 은행에 가지 않아도 PC만 있으면 언제 어디서나 은행 업무를 처리할.
인터뷰 | 금융보안연 장재환 팀장 “모바일 보안, 해외와 동일한 위협”
스마트폰을 포함한 모바일 디바이스 확산으로 모바일 금융이 전례없는 관심을 모으고 있다. 주요 금융기관들은 스마트폰 전용 모바일 앱을 내놓으며 이런 흐름에 적극 동참하고 있다. 하지만 새로운 금융 거래 환경인만큼 새로운 보안 위협에 대한 우려 또한 적지 않다. 금융보안연구원 u-금융연구팀 장재환 팀장으로부터 모바일 금융 관련 보안의 문제와 전망을 들어본다. 장재환 팀장은 차세대 전자금융환경에 대한 보안 위협 및 대응 방안을 연구하고 있으며, 주요 연구 분야는 모바일 뱅킹 및 모바일 오피스에 대한 보안강화 방안과 클라우드 컴퓨팅 기반에서의 전자금융위협 등이다. 참고로 금융보안연구원 장재환 팀장은 오는 5월 12일 개최되는 한국 IDG 파이낸스 IT 월드 2011 컨퍼런스에 연사로 참여해 “모바일 전자금융 보안 이슈와 향후 전망”이란 주제로 발표할 예정이다. 이번 행사는 “Move on to Smart Finance"란 주제로 개최되는 스탠다드차타드 은행을 비롯한 국내외 금융 IT 리더들이 대거 참석해 IT 보안 정책부터 스마트 금융을 위한 IT 전략까지 금융업계 핫이슈를 점검할 예정이다. 최근 금융권 보안의 최대 이슈는 무엇이라고 생각하는가? 작년에 이어 올해에도 IT 전체의 화두가 되고 있는 스마트폰이나 스마트 Tv 등의 스마트 디바이스에 대한 보안 위협과 대응 방안이 최대 이슈가 될 것으로 예상된다. 이와 함께 고도화된 보안위협(APT)과 모바일 오피스 확산에 따른 위협, 소셜 네트워크를 이용한 피싱, 해킹 역시 중요한 이슈라고 볼 수 있다 모바일 금융의 발전과 확산이 가속화되고 있는데, 이에 대응하는 보안 기술의 발전 속도는 어떤가? 현재 모바일 기기를 활용한 전자금융거래의 보안에 대해서는 기본적으로 PC 수준으로 적용해 보안을 강화하고자 했으며, 악성코드 탐지, 구간 암호화, 가상 키보드 적용, 공인인증 프로그램 등.
인터뷰 | 금융보안연 장재환 팀장 “모바일 보안, 해외와 동일한 위협”
스마트폰을 포함한 모바일 디바이스 확산으로 모바일 금융이 전례없는 관심을 모으고 있다. 주요 금융기관들은 스마트폰 전용 모바일 앱을 내놓으며 이런 흐름에 적극 동참하고 있다. 하지만 새로운 금융 거래 환경인만큼 새로운 보안 위협에 대한 우려 또한 적지 않다. 금융보안연구원 u-금융연구팀 장재환 팀장으로부터 모바일 금융 관련 보안의 문제와 전망을 들어본다. 장재환 팀장은 차세대 전자금융환경에 대한 보안 위협 및 대응 방안을 연구하고 있으며, 주요 연구 분야는 모바일 뱅킹 및 모바일 오피스에 대한 보안강화 방안과 클라우드 컴퓨팅 기반에서의 전자금융위협 등이다. 참고로 금융보안연구원 장재환 팀장은 오는 5월 12일 개최되는 한국 IDG 파이낸스 IT 월드 2011 컨퍼런스에 연사로 참여해 “모바일 전자금융 보안 이슈와 향후 전망”이란 주제로 발표할 예정이다. 이번 행사는 “Move on to Smart Finance"금융 보안 란 주제로 개최되는 스탠다드차타드 은행을 비롯한 국내외 금융 IT 리더들이 대거 참석해 IT 보안 정책부터 스마트 금융을 위한 IT 전략까지 금융업계 핫이슈를 점검할 예정이다. 최근 금융권 보안의 최대 이슈는 무엇이라고 생각하는가? 작년에 이어 올해에도 IT 전체의 화두가 되고 있는 스마트폰이나 스마트 Tv 등의 스마트 디바이스에 대한 보안 위협과 대응 방안이 최대 이슈가 될 것으로 예상된다. 이와 함께 고도화된 보안위협(APT)과 모바일 오피스 확산에 따른 위협, 소셜 네트워크를 이용한 피싱, 해킹 역시 중요한 이슈라고 볼 수 있다 모바일 금융의 발전과 확산이 가속화되고 있는데, 이에 금융 보안 대응하는 보안 기술의 발전 속도는 어떤가? 현재 모바일 기기를 활용한 전자금융거래의 보안에 대해서는 기본적으로 PC 수준으로 적용해 보안을 강화하고자 했으며, 악성코드 탐지, 구간 암호화, 가상 키보드 적용, 공인인증 프로그램 등.
금융 보안
잠깐! 현재 Internet Explorer 8이하 버전을 이용중이십니다. 최신 브라우저(Browser) 사용을 권장드립니다!
- 길민권 기자
- 승인 2022.04.27 16:59
금융보안원(원장 김철웅)은 금융권 표적의 지능화·고도화된 사이버위협에 선제적 예방 및 신속한 대응 등 사이버보안의 최전선에서 안전하고 신뢰할 수 있는 금융환경을 지원하고 있다.
최근에 러시아·우크라이나 전쟁 상황에서의 사이버전 확대, 북한의 미사일 발사에 따른 한반도 긴장 상황 등에 따라 발생할 수 있는 사이버 위협에 대비하기 위하여, 금융분야 사이버위협에 대한 대응 활동을 평소보다 강화하여 전자금융 시스템과 금융소비자의 피해가 없도록 만전을 기하고 있다.
금융보안원의 적극적이고 선제적인 사이버위협 대응 활동을 통해 Log4Shell과 Spring4Shell 등 고위험 해킹 공격이 감소 추세를 보이는 등 전자금융 시스템 및 금융소비자에 대한 피해 예방 효과로 나타났다.
2021년 12월부터 금융권에 대한 공격시도를 보인 Log4Shell의 탐지 건수는 535만여 건이었으나 2022년 3월부터 계속 감소했다. 2022년 3월 말부터 유입되고 있는 Spring4Shell 탐지 건수는 4월 중순부터 대폭 감소했다.
Log4Shell은 Apache Log4j(Java 언어 기반 로그 프로그램)에서 발견된 보안취약점으로 공격자에 의한 원격명령 실행 등 시스템 제어가 가능하며, CVSS스코어 10점의 가장 높은 위험군으로 분류된 취약점이다.
Spring4Shell은 Spring Core 프레임워크(Java 언어 기반의 웹사이트 개발 템플릿)의 보안취약점으로 공격자에 의 원격명령 실행 등 시스템 제어가 가능하며, CVSS스코어 9.8점의 치명적인 위험군으로 분류된 보안취약점이다.
또한, 금융권 보이스피싱 예방․차단을 위해 선제적으로 대응하여 금융 보안 피싱사이트와 보이스피싱 악성앱 역시 점차적으로 감소 추세다.
전화 가로채기 등 신종 보이스피싱 사기에 이용되는 피싱사이트 및 보이스피싱 악성앱은 2019년부터 매년 지속적으로 감소했다.
금융감독원에 따르면, 최근 보이스피싱 피해자 수 및 피해금액 또한 2020년부터 지속적으로 감소하고 있으며, 이러한 금융보안원의 노력이 보이스피싱 예방에 일조하고 있는 것으로 판단된다.
금융보안원은 사이버위협 대응 강화를 위해 ▲금융권 사이버위협 정보공유 체계 운영, ▲사이버위협 모니터링 강화 및 위협평가 실시, ▲대외 기관과의 공조 강화를 지속적으로 수행해오고 있다.
▲금융권 사이버위협 정보공유 체계 운영
금융보안원(금융ISAC)과 금융회사 간 정보공유시스템을 통해 해킹, 악성코드 등 사이버위협 긴급상황을 신속하게 금융회사에 전파·대응한다.
보이스피싱 등 전자금융사기에 선제적으로 대응하기 위해 금융·통신·보안분야 유관·전문기관 등이 참여하는 정보공유 플랫폼을 통해 악성앱 및 피싱사이트 정보를 실시간 공유한다.
다크웹 등에서 거래되는 도난 신용카드 정보를 지속적으로 금융 보안 모니터링하고 금융소비자가 2차 피해를 입지 않도록 12개 카드사, 여신금융협회 등 유관기관들과 긴밀한 협조체계 하에 발견 즉시 대응한다.
▲사이버위협 모니터링 강화 및 위협평가 실시
해킹·악성코드 정보, 보이스피싱 악성앱·피싱사이트, 불법 암거래 금융정보 등의 위협정보를 상시 모니터링하고, 매일 1회 이상 위협평가를 실시하여 즉각적으로 공유·대응한다.
중요 위협사항은 24시간 365일 운영하는 금융보안관제센터에서 실시간으로 집중 모니터링 실시하고, 비상대응반 운영을 통해 주·야 비상근무 인력을 추가 배치하여 24시간 비상대응체계를 강화하고 있다.
금융회사에 사이버위협 상황 발생 시 금융권(금융위원회, 금융감독원, 금융회사) 및 유관기관(한국인터넷진흥원 등) 등에 전파·공유하고 해당 금융회사에 대한 대응·복구 등을 신속히 지원한다.
금융보안원은 날로 진화하고 있는 사이버위협 모니터링을 위해 금융권에 특화된 사이버위협 인텔리전스 축적, 빅데이터 기반 인공지능(AI) 기술을 접목하여 금융보안관제 체계를 지속적으로 발전시켜 나갈 계획이다.
또한, 사이버공격 발생에 대비하여 금융권 전반의 침해대응 능력 향상을 위해 실전 방식의 침해사고대응훈련을 올해 195개 금융회사를 대상으로 실시할 계획이다.
금융보안원 관계자는 “금융보안원은 앞으로 금융 마이데이터 사업자, 오픈뱅킹 이용 핀테크 사업자 등 신규 금융서비스 제공 회사에게도 금융 사이버 안전망을 지속적으로 확대·적용함으로써, 금융소비자들이 안전하고 편리한 금융서비스를 이용할 수 있도록 최선을 다하겠다.”라고 밝혔다.
[보안뉴스 원병철 기자] 금융보안원(원장 김철웅)은 중소 핀테크 기업의 금융 보안 보안 점검을 지원하는 ‘2022년 핀테크 보안 지원 사업’ 수행기관으로 선정됐다고 밝혔다. 핀테크 보안 지원 사업은 금융위원회가 중소 핀테크 기업에 필요한 보안 점검 비용의 75%를 지원하는 사업으로, 2019년부터 금융보안원이 금융 보안 수행기관으로 참여해왔다.
▲핀테크 보안 지원 사업 내용[자료=금융보안원]
지원 대상은 ①금융 테스트베드 참여 ②오픈뱅킹 이용 또는 ③온라인투자연계금융업(P2P) 등록을 완료(예정)한 중소기업이며, 2022년부터는 ④마이데이터 서비스를 제공하는 마이데이터 사업자(중소기업 해당)를 지원 대상에 추가한다.
금융테스트베드 참여기관, 오픈뱅킹 이용기관 및 온라인투자연계금융업자를 대상으로 ①핀테크 기업 보안 점검 및 ②핀테크 서비스 취약점 점검을 지원하고, 마이데이터 사업자의 경우 연 1회 이상 수행해야 하는 ③마이데이터 서비스 보안취약점 점검을 지원한다.
핀테크 보안지원 사업을 통해 제공하는 보안 점검 유형
①핀테크 기업 보안 점검 핀테크 기업이 보안 관리체계를 마련하고, 이를 바탕으로 시스템을 안전하게 운영하는지 관리·물리·기술적 보안점검 항목을 점검
②핀테크 서비스 취약점 점검 모바일앱 등 서비스프로그램에 대해 중요정보 보호, 거래정보 위·변조, 클라이언트 보안, 서버 보안, 인증 분야의 취약점 점검
③마이데이터 서비스 보안취약점 점검 마이데이터 서비스의 서비스프로그램 및 전산설비에 대해 전자금융기반시설 취약점 점검 기준에 따라 취약점 점검
보안 점검 및 비용 지원 신청
보안 점검을 희망하는 기업은 금융보안원 홈페이지 등에 게시된 신청 안내서 등을 참고해 보안 점검을 신청할 수 있다. 보안 점검 비용 지원을 희망하는 기업은 보안 점검 신청과 함께 핀테크 보안지원 사업 운영기관인 한국핀테크지원센터에 지원을 신청하고 승인을 받아야 한다.
금융보안원은 금융위원회의 지속적인 디지털 금융 혁신 추진과 마이데이터 서비스 시행 등에 맞춰 보안 점검 지원을 확대해 나갈 계획이다.
금융보안원 김철웅 원장은 “핀테크 보안 점검 지원이 중소 핀테크 기업들에게 디지털 금융혁신의 안전한 생태계를 마련해 주고 있다”면서, “금융보안원은 금융보안 전문기관으로서 금융소비자가 중소 핀테크 기업이 제공하는 혁신적인 핀테크 서비스를 안전하게 이용할 수 있도록 핀테크 보안 점검을 지속적으로 적극 지원해 나갈 것”이라고 밝혔다.
[원병철 기자([email protected])]
금융보안원 “데이터 주권 확보의 핵심은 보안…안전한 마이데이터 사업 정착 돕겠다”
올해 1월부터 마이데이터(본인신용정보관리업) 사업이 전면 시행됐다. 마이데이터 사업은 소비자 개인이 자신의 금융데이터에 관한 제공 범위나 접근 승인 여부 등을 직접 결정해 데이터 주권을 확립하겠다는 목적으로 추진됐다. 이에 따라 소비자가 동의할 경우, 여러 금융사에 흩어진 개인 금융정보를 통합, 분석해 다양한 맞춤형 서비스를 제공할 수 있게 됐다.
예컨대 정유사업자와 통신, 유통사업자가 보유한 데이터를 한곳에 모아 특정 차종의 소유주가 선호하는 스마트폰은 무엇이고, 백화점에서의 소비성향은 어떠한지를 분석해 맞춤형 금융 서비스를 제시하는 방식이다. 사업자 입장에서는 적재적소에 마케팅을 전개할 수 있어, 마케팅 비용 대비 효율을 높일 수 있다. 이러한 이해관계가 일치해 이종산업 간 데이터 동맹이 활발히 추진되고 있지만, 데이터 주체인 소비자는 방대한 데이터가 한곳에 모이는 만큼, 안전하게 내 정보가 지켜질지 우려를 표한다.
이같은 우려를 불식시키기 위해 마이데이터 보안을 전담하는 기관이 있다. 금융보안원이다. 박진석 금융보안원 디지털전략본부장은 마이데이터 전면 시행에 대비해 금융보안원이 전개한 다양한 보안강화 활동을 소개하며, 앞으로도 빈틈없는 보안을 유지하겠다고 강조했다.
크게보기 박진석 금융보안원 디지털전략본부장
―마이데이터 전면 시행 전 보안 강화를 위해 추진한 사항들을 소개해달라.
마이데이터 전면 시행에 앞서 안전한 방식으로 소비자가 개인신용정보를 전송할 수 있도록 관련 규격과 절차를 담은 ‘표준 API 규격’을 개발해 지난해 9월 배포했다.
기존에는 소비자의 인증 관련 정보를 미리 받아 쌓아놓고, 고객의 요청이 있을 때 사업자가 접근해 인증하는 방식이었기 때문에 유출 가능성이 컸다. 이를 개선해 서비스 개발 단계부터 금융보안원이 제시한 표준 규격을 사용하고, 개인의 요청이 있으면 정보제공자가 정보토큰을 발급하는 방식으로 보안을 강화했다. 해당 토큰에는 유효기간이 부여되기 때문에 사용 후 특정 시간이 지나면 사라져 데이터 유출 위험을 줄일 수 있다.
마이데이터 사업자가 보안 취약점을 개선했는지 여부도 점검하고 있다. 지난해 금융당국은 신용정보업 감독규정을 개정해 마이데이터 사업자에게 연 1회 보안 취약점을 점검하도록 의무를 부여했다. 이에 따라 보안전문 기업 등으로 구성한 27개 외부 평가전문기관이 점검에 나서 취약점을 발견하면 시정하도록 권고하고, 그 결과를 금융보안원이 확인한다.
이 규정에 따라 지난해 40개 마이데이터 사업자가 취약점 점검을 마쳤으며, 1월 사업 전면 시행 과정에서 서비스를 제공한 마이데이터 사업자 34개사도 점검을 완료했다.
이 밖에도 금융보안원은 지난 1월부터 2월까지 마이데이터 사업 전면 시행에 따라, 혹시 모를 해킹과 정보유출 상황에 대비해 신속 대응지원체계를 24시간 가동한 바 있다.
크게보기 금융보안원 마이데이터 신속 대응지원체계 조직도. 출처=금융보안원
마이데이터 사업자를 대상으로 해킹 시도 모니터링과 취약점 분석 및 침해사고 대응 등의 내용을 담은 보안관제 서비스도 제공하고 있다.
―마이데이터 사업의 기반이 된 데이터 3법이 2020년 8월 시행됐다. 이후 금융보안원은 데이터전문기관으로 선정되기도 했는데, 어떤 역할을 하고 있나?
데이터전문기관은 기업 간 데이터 결합을 안전하고 효율적으로 지원하는 역할을 수행한다. 금융보안원은 2020년 8월, 데이터전문기관으로 선정된 이후 약 80건의 데이터결합을 지원했다.
지금까지 적게는 양자 간 금융 보안 데이터 결합부터 많게는 11자 간 데이터 결합을 지원했으며, 결합에 참여했던 기업이 재참여하는 비율도 높다. 최근에는 마이데이터 시행으로 은행과 보험, 핀테크, 유통, 통신, 공공 등 다양한 업권에서 데이터 결합을 신청하고 있다.
이종산업 간 데이터를 주고받는 과정에서 유출 또는 재식별로 인한 보안사고를 방지하기 위해, 결합 관련 사항을 기록해 관리하고 주기적으로 취약점을 분석, 평가하고 있다.
―이종산업 간 안전한 데이터 거래를 위해 금융데이터거래소도 직접 운영하고 있다고?
그렇다. 금융데이터거래소는 2018년 3월, 금융위원회가 제시한 금융분야 데이터 활용 및 정보보호 종합방안에 따라, 안전한 데이터 거래를 위해 금융보안원이 직접 구축해 운영하고 있다.
현재 금융 보안 106개 기업이 참여해 1174건의 데이터 상품을 거래했으며, 누적 거래액은 약 11억원이다.
국내 데이터 유통시장이 이제 막 형성되고 있는 초기 단계이기 때문에 거래소 활성화에 어려움이 있다.
따라서 올해 공급자와 수요자 간 매칭 기능을 강화하고, 금융부문 데이터 활용 사례를 적극 발굴해 공유할 예정이다. 금융데이터를 활용하는 방법에 대한 교육도 강화할 계획이다.
크게보기 박진석 금융보안원 디지털전략본부장
―올해 금융보안원의 중점 추진사항은 무엇인가
마이데이터 사업이 성공적으로 안착할 수 있도록 오는 9월, 마이데이터 통합인증 중계시스템을 운영할 예정이다.
해당 시스템이 본격 운영되면, 모든 연동 대상 기관(정보제공자, 중계기관, 인증기관)은 통합인증 중계시스템에 한 금융 보안 번만 연동하면 지속해서 이용할 수 있다.
이에 따라 정보제공자 또는 중계기관이 모든 인증기관과 개별적으로 연동하지 않아도 되기 때문에 연동, 관리 비용을 대폭 절감할 수 있을 것이다.
또 다양한 인증기관의 신규 인증수단 도입이 편리해지고, 소비자의 인증수단 선택권 확대와 이용 편의성 제고도 기대된다.
앞으로도 금융소비자가 보안이 확보된 상태에서 안전하고 편리하게 마이데이터 서비스를 이용할 수 있도록 전담기관으로서 다양한 지원책을 발굴하겠다.
0 개 댓글