"금융보안원"의 두 판 사이의 차이
(새 문서: '''금융보안원'''은 안전하고 신뢰할 수 있는 금융환경을 조성하여 금융 이용자의 편의 증진과 금융산업의 발전에 기여 할 목적으로 설립...) |
잔글 |
||
(사용자 4명의 중간 판 18개는 보이지 않습니다) | |||
1번째 줄: | 1번째 줄: | ||
− | '''금융보안원'''은 안전하고 신뢰할 수 있는 금융환경을 조성하여 금융 이용자의 편의 증진과 금융산업의 발전에 | + | [[파일:금융보안원 로고.png|썸네일|200픽셀|'''금융보안원''']] |
− | ==개요== | + | [[파일:금융보안원 글자.png|썸네일|300픽셀|'''금융보안원''']] |
− | 금융보안원은 안전하고 신뢰할 수 있는 금융환경을 조성하기 위해 2015년 4월 출범한 금융권 유일의 보안 전문기관이다. 금융권 사이버 위협탐지, 사이버 공격 대응, 취약점 분석·평가를 통해 각종 사이버 위협으로부터 금융산업을 안전하게 지키고 있으며, 금융보안 기술 연구, 정책 지원, | + | |
− | ==연혁== | + | '''금융보안원'''은 안전하고 신뢰할 수 있는 금융환경을 조성하여 금융 이용자의 편의 증진과 금융산업의 발전에 기여할 목적으로 설립된 금융보안 전담 기관이다. 원장은 '''[[김영기 (원장)|김영기]]'''이다. |
+ | |||
+ | {{:블록체인 산업혁신 컨퍼런스 2019 배너|금융보안원이 블록체인 산업혁신 컨퍼런스 2019 행사를 후원합니다.}} | ||
+ | |||
+ | == 개요 == | ||
+ | 금융보안원은 안전하고 신뢰할 수 있는 금융환경을 조성하기 위해 2015년 4월 출범한 금융권 유일의 보안 전문기관이다. 금융권 사이버 위협탐지, 사이버 공격 대응, 취약점 분석·평가를 통해 각종 사이버 위협으로부터 금융산업을 안전하게 지키고 있으며, 금융보안 기술 연구, 정책 지원, 금융보안 표준화, 핀테크 보안, 금융 빅데이터 활성화 지원으로 금융회사의 든든한 금융보안 파트너 역할을 충실히 수행하고 있다.[[블록체인]] 성능, 기능 및 보안요구사항 등에 대해 [[개념검증]]을 할 수 있는 블록체인 [[테스트베드]] 인프라를 확충하여 금융회사가 혁신적인 금융서비스를 개발할 수 있도록 지원하였고, 블록체인 기반 금융권 공동인증서비스인 뱅크사인과 체인ID 상호연동을 위한 블록체인 보안 표준 4건을 포함한 금융보안 표준 9건을 제정하여 최신 기술이 금융권에 안정적으로 도입될 수 있도록 했다. | ||
+ | |||
+ | == 연혁 == | ||
* 2014년 02월 20일 : 금융위 업무계획(대통령 보고)에서 「금융보안전담기구」 설립 기본방향 발표 | * 2014년 02월 20일 : 금융위 업무계획(대통령 보고)에서 「금융보안전담기구」 설립 기본방향 발표 | ||
* 2014년 03월 10일 : 금융위 금융부문 개인정보유출 재발 방지대책에서 「금융보안전담기구」 설립 기본방향 발표 | * 2014년 03월 10일 : 금융위 금융부문 개인정보유출 재발 방지대책에서 「금융보안전담기구」 설립 기본방향 발표 | ||
34번째 줄: | 41번째 줄: | ||
* 2019년 03월 10일 : 2019년 금융보안포럼 총회 개최 | * 2019년 03월 10일 : 2019년 금융보안포럼 총회 개최 | ||
* 2019년 04월 11일 : 2019년 침해사고 대응훈련 개시 | * 2019년 04월 11일 : 2019년 침해사고 대응훈련 개시 | ||
− | * 2019년 06월 01일 : 금융권 | + | * 2019년 06월 01일 : 금융권 [[버그 바운티]] 집중신고제 실시 |
* 2019년 06월 20일 : 2019년 금융보안자문위원회 구성·운영 | * 2019년 06월 20일 : 2019년 금융보안자문위원회 구성·운영 | ||
* 2019년 07월 01일 : 금융권 ISMS-P 통합 인증기관 지정 | * 2019년 07월 01일 : 금융권 ISMS-P 통합 인증기관 지정 | ||
41번째 줄: | 48번째 줄: | ||
* 2019년 07월 15일 : 금융보안원·고려대학교 MOU 체결(총 7개 대학) | * 2019년 07월 15일 : 금융보안원·고려대학교 MOU 체결(총 7개 대학) | ||
* 2019년 08월 09일 : 금융보안 위협분석 대회(FIESTA2019) 시상 | * 2019년 08월 09일 : 금융보안 위협분석 대회(FIESTA2019) 시상 | ||
− | ==주요 인물== | + | |
− | *'''김영기''' : 김영기는 금융보안원 제3대 원장이다. 영남대 경영학과, 성균관대 경영학 석사, 박사 학위를 수료했다. 2005년에 금융감독원 검사지원국 팀장으로 일하다가 2007년 여전감독실 팀장, 2010년 | + | == 주요 인물 == |
− | ==특징== | + | * '''[[김영기]]''' : 김영기는 금융보안원 제3대 원장이다. [[영남대]] 경영학과, [[성균관대]] 경영학 석사, 박사 학위를 수료했다. 2005년에 금융감독원 검사지원국 팀장으로 일하다가 2007년 여전감독실 팀장, 2010년 저축은행 서비스국 팀장, 2012년 상호여전감독국 국장, 2014년 감독총괄국 국장, 2015년 업무 총괄 담당 부원장보, 2016년 은행 담당 부원장보 등의 경력을 쌓고 2018년부터 현재까지 금융보안원 원장이 되었다. |
− | ===사이버 위협 대응=== | + | |
+ | == 특징 == | ||
+ | === 사이버 위협 대응 === | ||
전 금융권에 대한 침해행위를 24시간 365일 탐지하고 침해사고 발생 시 신속하게 사고원인을 분석하여 피해가 확산되지 않도록 하고 있다. 이를 위해 금융보안관제, 사이버 침해 대응, 취약점 분석·평가 등을 운영 및 시행한다. | 전 금융권에 대한 침해행위를 24시간 365일 탐지하고 침해사고 발생 시 신속하게 사고원인을 분석하여 피해가 확산되지 않도록 하고 있다. 이를 위해 금융보안관제, 사이버 침해 대응, 취약점 분석·평가 등을 운영 및 시행한다. | ||
*'''금융보안관제''' | *'''금융보안관제''' | ||
− | 「정보통신기반보호법」제16조에 의거 | + | :「정보통신기반보호법」제16조에 의거 금융 분야 정보공유분석센터(Information Sharing and Analysis Center, ISAC)를 운영하고 있으며, [[빅데이터]] 기반 보안관제 기법으로 전 금융권에 대한 사이버 위협을 24시간 365일 탐지한다. 금융보안관제센터는 탐지된 사이버 위협정보를 신속히 분석하고 금융회사, 정부 기관, 경찰청 유관기관 등에 실시간으로 공유하여 금융권 전반의 사이버 위협 대응 능력을 제고한다. 또한, 자체 개발하여 운영 중인 피싱탐지시스템으로 금융회사를 사칭하는 피싱 사이트와 보이스피싱 범죄에 악용되는 악성 앱을 탐지하여 국민들의 소중한 자산을 보호한다. |
*'''사이버침해대응''' | *'''사이버침해대응''' | ||
− | 금융권 사이버 공격이 발생한 경우 | + | :금융권 사이버 공격이 발생한 경우 분석 요원이 현장에 출동하여 증거를 수집하고 [[디지털 포렌식]]을 통해 사고 원인을 분석한다. 이후 피해 확산과 사고 재발을 막기 위해 금융회사가 대응 방안을 수립하는 것을 도와준다. 실제 디도스 공격, 서버 해킹 공격과 유사하나 형태의 침해사고 대응훈련을 인증 실시하여 금융권 사이버 공격 대응 역량을 강화한다. 또한, 국내·외에서 유포되는 악성코드 중 금융권에 영향을 끼칠 수 있는 [[악성코드]], [[랜섬웨어]] 등을 수집하고 분석하여 금융회사에 정보를 공유하고 있다. 주요 악성코드와 악성 앱을 해서 추적하고 분석한 결과를 「금융권 사이버 위협 인텔리전스 보고서」로 정리해 발간한다. |
*'''취약점 분석·평가''' | *'''취약점 분석·평가''' | ||
− | 금융회사의 네트워크 장비, 웹 애플리케이션 등 각종 정보시스템에 잠재된 취약점을 사전에 | + | :금융회사의 [[네트워크]] 장비, [[웹 애플리케이션]] 등 각종 정보시스템에 잠재된 취약점을 사전에 찾아내고 조치하여 금융 사고를 예방하고 안전한 전자 금융환경을 조성한다. 신용카드 VAN, CMS 사업자 등 금융회사로부터 업무를 위탁받아 사업을 수행하는 전자금융 보조업자를 대상으로 금융회사와 함께 보안 취약점을 합동으로 점검하여 보안 사각지대를 해소한다. 금융당국, 금융보안원, 금융회사, 보안전문업체가 TF를 구성하여 2017년 제정한 「전자금융기반시설 취약점 분석·평가기준」에 최근 신규 보안 취약점을 추가해 매년 개정하여 동 기준을 금융회사가 공동으로 적용할 수 있는 표준화된 평가 기준으로 활용하도록 한다. |
− | ===정책 및 기술 연구=== | + | === 정책 및 기술 연구 === |
금융보안 정책 지원, 금융보안 신기술 연구 등으로 금융보안 씽크탱크 역할을 수행하고 있다. | 금융보안 정책 지원, 금융보안 신기술 연구 등으로 금융보안 씽크탱크 역할을 수행하고 있다. | ||
*'''금융보안정책 연구''' | *'''금융보안정책 연구''' | ||
− | 디지털 혁명 시대 | + | :디지털 혁명 시대 금융·[[IT]] 환경이 급속히 변화함에 따라, 금융당국 및 금융회사에서 취해야 할 금융정책의 방향도 급변하고 있다. 금융보안원은 국내·외 금융보안 주요 정책 동향을 조사하여 금융당국 앞 각종 정책을 제안하고 정책 수립을 적극적으로 지원한다. 또한 금융회사 수요조사를 통해 보안 가이드를 개발하고, 「전자금융트렌드 및 보안위협 전망」보고서를 년마다 발간하고 있다. 금융규제가 점차 복잡하고 다양화되어 금융회사가 준수해야 하는 각종 법령과 가이드가 60여 종에 이르는 가운데, 각종 금융보안 규제 관련 업무를 효율적으로 처리할 수 있도록 국내 금융 환경에 적합한 금융보안 레그테크 시스템을 구축했다. 레그테크 시스템에는 컴플라이언스 자동화, 보고서 자동 리포팅, 규제 검색·알림 기능을 이용할 수 있다. 컴플라이언스 관리 자동화 기능은 자율보안 평가 등 보안 점검 도구(4종)를 제공하는 것으로 각종 보안 점검 결과를 시각화하여 관리한다. 금융보안 보고서 자동 리포팅 기능은 보고서를 온라인에서 작성 및 제출하는 것으로 보고서 접수현황을 한눈에 확인하고 관리할 수 있도록 하며 인텔리전스 규제 검색·알림 기능은 금융보안 규제정보 등을 통합하여 검색할 수 있도록 하여 금융보안 정책 이슈 발생 시 신속히 알림이 오게 되어있다. 금융보안 업무지원 기능은 정책, 가이드 등 금융보안 관련 정보 금융보안 설문, 자문, 커뮤니티 서비스 등을 제공한다. |
*'''금융보안기술 연구''' | *'''금융보안기술 연구''' | ||
− | 금융보안 관련 신기술 및 최신 동향을 심층적으로 연구하여 연구보고서를 인증 발간한다. 또한, 금융당국의 정책을 기술 관점에서 지원하고 산·학·연 협력을 통해 금융회사의 | + | :금융보안 관련 신기술 및 최신 동향을 심층적으로 연구하여 연구보고서를 인증 발간한다. 또한, 금융당국의 정책을 기술 관점에서 지원하고 산·학·연 협력을 통해 금융회사의 보안 강화에 도움이 되는 다양한 금융보안기술 연구를 수행한다. 금융보안원은 [[한국정보통신기술협회]](TTA) 등 국내·외 표준화 기구의 협력체계를 구축하고, 금융보안 관련 표준 개발을 수행한다. 표준 개발 시 금융회사의 수요를 기반으로 표준과제를 선정하여 객관성과 신뢰성이 확보된 기술 표준 체계를 운영하고 있다. 표준 개발을 통해 금융권 자율보안 확립을 지원하고 금융회사가 [[인공지능]], 클라우드 컴퓨팅 블록체인, 비식별기술 등 최신기술을 적시에 검토·도입하는데 도움을 주고 있다. |
− | ===금융권 자율보안 지원=== | + | === 금융권 자율보안 지원 === |
+ | 금융보안 규제 패러다임이 금융회사 중심의 자율규제방식으로 변화함에 따라 보안성 검토, [[핀테크]] 보안, ISMS 인증 등의 업무로 금융권 자율보안을 지원하고 있다. | ||
*'''보안성 검토''' | *'''보안성 검토''' | ||
+ | :전자 금융환경 변화에 따라 간편결제, 블록체인 등 신기술이 금융서비스에 접목되면서 이에 대한 보안이 더욱 중요해지고 있다. 「전자금융감독규정」 제36조에 따르면 금융회사는 '신규 전자 금융 업무'를 수행할 경우 서비스가 충분히 안전한지 '자체 보안성 심의'를 반드시 실시해야 한다. 이때 금융회사는 금융보안원에 지원을 요청할 수 있으며 금융보안원은 보안성 검토를 수행하여 보안 대책의 적정성 등을 검토하고 미비점을 개선하도록 권고한다. 또한, 금융회사에서 '자체 보안성 심의'를 실시할 때 기준으로 활용하라 수 있도록 「금융회사 자체 보안성심의 가이드」를 제공하고 매년 최신 법규에 따라 개정하고 있다. 보안성 검토 분야로는 블록체인, 간편결제, 생체인증, AI, HTML 5, FIDO, NFC, 간편인증, 간편송금, OTP, 클라우드 등이 있다. | ||
*'''핀테크 보안''' | *'''핀테크 보안''' | ||
+ | :금융당국의 핀테크 활성화 및 자율보안체계 확립정책에 따라, 핀테크 서비스 개발 단계에 따라 보안 상담, 보안 컨설팅, 보안 수준 진단 서비스를 제공한다. 또한, 블록체인 성능, 기능 및 보안 요구사항 등에 대해 개념검증을 할 수 있는 블록체인 테스트베드 인프라를 운영하여 금융회사가 혁신적인 금융서비스를 개발할 수 있도록 지원하고 있다. 그리고 금융시장의 오픈 API 확대 추세 및 금융당국의 활성화 추진 정책에 따라, 금융권 오픈 API에 대한 보안 지원을 확대하고 보안 점검 가이드를 발견하여 안전한 금융권 오픈 API 생태계를 조성한다. | ||
*'''정보보호관리체계 인증''' | *'''정보보호관리체계 인증''' | ||
− | ===데이터 경제 활성화 지원=== | + | :「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제47조에 따라 금융회사를 대상으로 정보보호 관리체계 심사 및 인증을 수행하고 있다. ISMS 인증을 통해 금융회사는 전사적인 정보보호 관리체계를 강화할 수 있으며, 각종 보안 위협으로부터 주요 정보자산을 안전하게 보호할 수 있다. 금융권에 적용되는 법규와 표준을 참조하여 ISMS 인증심사 시 점검하는 항목을 추가하고 보완하여 금융권에 적합한 인증기준을 개발한다. |
+ | |||
+ | === 데이터 경제 활성화 지원 === | ||
+ | 금융 분야 데이터 활용·보호와 금융권 개인(신용)정보 처리의 보안 수준을 제고한다. | ||
*'''빅데이터 활용 지원''' | *'''빅데이터 활용 지원''' | ||
+ | :금융보안원은 금융회사가 데이터 경쟁력을 확보하고 혁신적인 고부가가치의 금융 서비스를 창출할 수 있도록 안전한 빅데이터 분석·활용을 지원한다. 금융권 빅데이터 관련 실무자로 구성된 금융 빅데이터 협의회를 운영하여 금융회사 간 빅데이터 활용사례를 공유한다. 또한, 매년 빅데이터 활용 금융 아이디어 공모전을 개최하고 있으며, 우수 아이디어를 선정하여 시상하고 금융권에 공유하여 빅데이터를 활용한 혁신금융서비스 발굴을 지원한다. 향후 금융 분야 빅데이터를 안전하게 거래할 수 있는 플랫폼을 구축하여 다양한 데이터가 금융보안원의 빅데이터 플랫폼을 통해 유통·활용될 것으로 기대한다. 동시에 혁신적인 금융서비스가 창출되고 핀테크 스타트업이 금융 빅데이터를 안전하게 활용할 수 있도록 적극적으로 지원할 계획이다. 또한, 개인의 정보 주권을 보장하기 위해 금융회사에 저장된 정보를 정보 주체인 개인이 관리·활용할 수 있도록 하는 금융 분야 마이데이터 사업과 관련하여, 데이터 송수신에 사용되는 API 규격 표준화 시 보안 고려사항을 도출하고 [[API]] 취약점을 사전에 분석하고 평가하는 업무를 제공할 계획이다. | ||
*'''개인(신용)정보 보호''' | *'''개인(신용)정보 보호''' | ||
− | ===금융보안 교육=== | + | :금융회사는 「개인정보 보호법」, 「신용정보의 이용 및 보호에 관한 법률」에 따라 개인(신용)정보 처리를 위탁받은 신용정보회사, 손해사정회사, 감정평가사 등이 정보를 분실·도난·유출·변조·훼손되지 않도록 안전하게 처리하고 있는지 감독해야 한다. 개별 금융회사가 모든 수탁사를 일일이 점검할 시 중복점검 등 비효율이 발생하므로 금융보안원은 금융회사의 신청을 받아 개인(신용)정보 처리 업무 수탁자에 대한 공동점검을 수행한다. 금융권 수탁자 공동점검을 통해 수탁자의 개인(신용)정보의 보호 수준을 제고하고 금융소비자의 개신(신용)정보 보호를 강화하고 있다. 개인정보보호 관련 3법(개인정보보호법, 정보통신망법, 신용정보법)이 개정될 경우 금융위원회의 「금융분야 개인정보보호 내실화 방안」(18.05월 발표)에 따라 금융회사 정보 활용·관리 상시평가제, 정보보호 우수기관 인증마크제, 정보 활용 동의서 등급제 업무를 수행할 예정이다. |
+ | === 금융보안 교육 === | ||
+ | 금융회사 임직원을 대상으로 금융보안 분야의 전문교육을 인증 실시하여 금융보안 역량을 제고한다. | ||
*'''금융회사 임·직원 교육''' | *'''금융회사 임·직원 교육''' | ||
+ | :정보보호최고책임자(CISO), IT·정보보호 부서장, 정보보호 실무자 등 대상별로 특화하여 금융IT·보안 분야 환경 변화에 따른 최신 이슈 및 수요를 반영한 사이버 교육과 맞춤형 오프라인 교육을 제공한다. 특히, 사이버워룸 형식의 [[해킹]] 방어 훈련장에서 최신 해킹 시나리오 기반 실습 교육을 진행하는 등 교육생이 전자 금융 침해사고 대응 역량을 기를 수 있는 다양한 교육과정을 운영한다. | ||
*'''금융보안관리사 자격제도 운영''' | *'''금융보안관리사 자격제도 운영''' | ||
+ | :금융 정보보호 관련 법제도·서비스 전반에 대한 실무지식과 금융 IT·보안 위협 발생 시 대응할 수 있는 직무 능력을 갖춘 전문가 양성을 위해 교육과정과 연계된 금융보안관리사 자격제도를 운영한다. 금융보안관리사 자격제도는 금융업권 IT·보안 실무경력이 3년 이상인 담당자를 모집 대상으로 하며 자격을 취득하기 위해서는 금융보안원의 전문교육 이수 후 검정시험에 합격해야 한다. | ||
*'''금융보안 최고책임자 과정 운영''' | *'''금융보안 최고책임자 과정 운영''' | ||
+ | :금융권에 디지털 전환 바람이 거세게 불고 있는 가운데, 금융IT 혁신기술의 안정적 도입과 정착에 필요한 통합적 위험 관리자로서 정보보호최고책임자(CISO)의 역할이 부각되고 있다. 금융보안원은 우리나라 금융회사의 보안을 책임지는 리더들이 급변하는 대내·외 환경 변화에 능동적으로 대응할 수 있도록 CISO의 전략적 리더십 함양을 목표로 하는 '금융보안 최고책임자 과정'을 운영하고 있다. 해당 과정은 금융보안 관련 정책·기술 강의와 리더십 강화를 위한 특강, 비즈니스 전략 수립을 위한 전문교육 등으로 구성되어 있다. 동 과정을 통해 금융환경의 급격한 디지털 전환을 종합적으로 이해하고, 다각적이고 심층적인 정보보안 전략을 세우기 위한 역량을 제고할 수 있다. | ||
+ | |||
+ | == 주요 활동 == | ||
+ | === 블록체인 보안 표준안 마련 === | ||
+ | 블록체인을 활용한 금융서비스 개발에 필요한 보안 표준안이 마련됐다. 금융보안원은 최근 '금융보안표준화협의회'를 개최하고 블록체인, 금융보안 기술, 금융보안 관리 분야에 대한 표준 7건과 블록체인 관련 기술 보고서 1건을 제정했다고 밝혔다. 금융보안표준은 급변하는 금융보안 기술에 대한 표준체계를 확립해 금융소비자의 편리성과 금융보안의 효율을 높이기 위해 추진되는 것이다. 금융보안원은 금융권 자율보안과 4차 산업혁명 관련 최신 기술의 금융권 도입을 효과적으로 지원하기 위해 금융보안표준화협의회를 발족했으며, 산·학·연 전문가들이 참여하는 블록체인, 금융보안 기술, 금융보안 관리, 신용카드 인프라 등 4개 분야 개발그룹을 구성하고 50여 회 회의를 거쳐 표준 개발 업무를 수행해 왔다. 실효성 있는 표준을 제정하기 위해, 블록체인 분야에서 은행, 금융투자, 생명보험, 여신 등 권역별 금융협회가 표준개발에 참여했으며, 금융정보보호협의회 차원에서 표준화 과제를 사전검토하고 제정될 표준에 대한 검토를 수행했다. 금융보안원은 제정된 표준이 국가, 국제 표준으로 활용될 수 있도록 한국은행 금융정보화추진협의회, TTA, ITU-T, ISO/IEC 등 공적표준기구 표준 제정과 연계하도록 노력하고 있다. 특히, 블록체인 관련 표준에 대해서는 분산원장기술표준포럼과 협력해 금융보안표준이 국내·국제 표준과 연계될 방안을 추진한다.<ref>김선애 기자, 〈[http://www.datanet.co.kr/news/articleView.html?idxno=129357 금융보안원 “블록체인 활용 보안 표준안 마련”]〉, 《데이터넷》, 2018-12-13</ref> | ||
+ | === 금융 블록체인 테스트베드 === | ||
+ | 금융보안원은 금융회사가 4차 산업혁명의 핵심기술인 블록체인을 활용, 안전하고 혁신적인 금융서비스를 개발 제공함으로써 새로운 성장 동력을 마련해 나갈 수 있도록 '금융 블록체인 [[테스트베드]](Test-bed)'구축을 완료하고 본격적으로 가동에 들어갔다. 금융 블록체인 테스트베드는 금융보안원 사원기관을 대상으로 금융회사에 필요한 블록체인 성능, 기능 및 보안 요구사항 등에 대한 [[개념검증]](PoC)과 관련 규제의 검토를 지원한다. 금융 블록체인 테스트베드 본격 가동에 따라 다양한 금융서비스의 블록체인 적용에 대한 테스트 지원 체계를 갖추게 됨으로써 보안성과 효율성을 갖춘 블록체인 기반 금융서비스 개발·제공이 용이해질 것으로 기대된다.<ref>이상일 기자, 〈[http://www.ddaily.co.kr/news/article/?no=160250 금융보안원, 금융 블록체인 테스트베드 본격 가동]〉, 《디지털데일리》, 2017-09-14</ref> 금융 블록체인 테스트베드는 크게 4개 [[노드]]로 구성된다. 금보원 용인 본원에 2개, [[클라우드]] 상에 올라가 있는 2개 노드가 활용된다. 각 노드는 블록체인에 참여할 수 있는 자격을 검증하는 멤버십과 함께 기본적인 피투피 네트워킹, 합의처리, 스마트 계약 기능을 지원한다.<ref>손경호 기자, 〈[http://www.zdnet.co.kr/view/?no=20170914112239&re=R_20170915172456 금융사 블록체인, 테스트베드서 검증 한다]〉, 《지디넷코리아》, 2017-09-14</ref> | ||
+ | === 금융보안 레그테크 서비스 === | ||
+ | 금융보안원은 '금융보안 레그테크 서비스'를 시작하며 향후 금융회사 등 [[레그테크]] 수요자 중심에서 필요한 서비스를 발굴하는 등 레그테크 [[플랫폼]]의 기능을 개선해 나가겠다고 밝혔다. 레그테크(RegTech)는 규제와 기술의 합성어로 복잡하고 다양해지는 금융보안 규제 대응 역량을 강화하고 규제 준수 비용을 절감하기 위한 플랫폼이 필요하다는 요구에 의해 제안되고 있다. 금융보안원은 금융원에서 IT 기술을 활용해 금융보안 규제관련 업무를 효율적으로 처리할 수 있도록 국내 금융보안 환경에 적합한 금융권 공동 레그테크 플랫폼을 구축했으며, 시범운영으로 플랫폼 안정화 과정을 거쳤다. 금융보안 레그테크 플랫폼이 제공하는 서비스는 다음과 같다. | ||
+ | *'''컴플라이언스 관리 자동화''' | ||
+ | :금융권에서 수작업으로 관리했던 자율보안평가 등 각종 금융보안 점검 업무를 자율보안 평가, 보안과제 수준진단, 침해사고 준비도 평가, 관리체계 점검 등 4종의 점검도구를 이용해 자동화 처리한다. 보안점검 결과를 자동으로 신청해 금융회사에 제공하며, 점검항목 증빙자료 관리 등 점검 편의 기능도 지원한다. | ||
+ | *'''금융보안 보고서 자동 리포팅''' | ||
+ | :외주직원 보안점검 결과 등 주기적이고 반복적인 금융보안 보고서 제출 및 관리 업무를 레그테크 플랫폼의 보고서 리포팅 인프라를 활용해 자동으로 처리한다. | ||
+ | *'''인텔리전스 규제 검색·알림''' | ||
+ | :금융회사가 각종 금융보안 규제 변화를 신속하게 인지하고 대응할 수 있도록 금융보안 규제에 특화된 검색 및 알림 서비스를 제공한다. 검색 기능은 여러 곳에 분산돼 있는 각종 금융보안 관련 정보에 키워드 검색을 제공한다. 레그테크 플랫폼의 지능형 검색기능을 활용해 간단한 키워드 입력만으로도 통합 검색할 수 있다. 알리 기능은 금융보안 관련 정부 정책발표, 법 개정 등 정책 이슈가 발생할 때 유용하다. 푸쉬 방식의 알림메시지를 통해 금융회사 보안담당자에게 신속하게 알려준다. | ||
+ | *'''금융보안 업무지원''' | ||
+ | :금융회사가 금융보안 관련 업무 처리 시 애로사항을 해결할 수 있도록 금융보안 자문서비스를 제공하며, 금융회사 보안담당자 간 설문 등 커뮤니티 서비스를 제공한다. 금융보안원 관계자는 "금융산업의 디지털 전환이 본격화되는 시대에 금융사의 규제대응 역량 확보는 필수적이다. 금융권에서는 디지털 혁신 추진 과정에서 발생될 수 있는 새로운 금융IT·보안 리스크에 효과적으로 대응할 수 있도록 금융보안 레그테크 플랫폼을 적극 활용하기 바란다"고 밝혔다. | ||
+ | |||
+ | == 행사 == | ||
+ | === 대학생 금융보안 캠프 === | ||
+ | 금융보안원은 정보보호의 달을 맞아 개최한 '2019 대학생 금융보안 캠프'를 성공적으로 마무리했다. 금융보안 캠프는 정보보호 분야에 관심과 재능이 있는 전국 36개 대학교 100여 명 학생을 대상으로 [[KB국민은행]] 천안연수원에서 2박 3일 동안 진행됐다. 금융보안원은 지난 2017년부터 금융보안에 적성과 재능을 가진 인재를 조기 발굴하고 진로 탐색을 돕기 위해 정보보호 관련 학과 대학생을 대상으로 금융보안 캠프를 개최하고 있다. 이번 캠프는 정보보안 세미나, 금융보안 관련 진로 탐색 멘토링, 금융 빅데이터 활용 아이디어 콘테스트 등 다양한 프로그램으로 구성됐다. 정보보안 세미나에서는 금융보안 직원들이 '금융권 취약점평가 현장 이야기', '사이버 침해대응 현장 이야기', '금융권 데이터 활용 정책 동향을 주제로 보안 실무에서 겪은 생생한 이야기와 직무 개발 경험담'을 공유했다. 또한, 캠프 참가자들이 진로에 관련된 조언을 들을 수 있도록 금융회사 정보보호 전문가 초청 토크콘서트를 열고 은행, 금융투자, 보험, 카드 등 다양한 금융업권의 보안 전문가들이 각 금융사의 인재상과 취업 준비비결을 들려주는 멘토링 프로그램도 진행했다. 아울러 금융보안원 공채 직원으로 구성된 멘토 5명이 학생들과 함께 2박 3일 동안 캠프에 참여하며 취업과 진로 문제 등에 진술하고 유익한 멘토링을 제공했다. 그리고 빅데이터 활용에 관한 아이디어를 겨루는 금융 빅데이터 활용 아이디어 콘테스트도 개최해 3개 조를 선발해 시상을 진행했다.<ref>문지현 기자, 〈[https://www.kbanker.co.kr/news/articleView.html?idxno=84261 금융보안원, 2019 대학생 금융보안캠프 성료]〉, 《대한금융신문》, 2019-07-15</ref> | ||
+ | === FISCON 2019 === | ||
+ | 금융보안원이 국내 최대 금융보안 콘퍼런스 'FISCON 2019'를 11월 7일, 서울 여의도 콘래드 호텔에서 금융회사를 비롯한 산-학-연 전문가, 일반인, 학생 등 800여 명이 참석한 가운데 성황리에 개최됐다. 'FISCON 2019'는 '디지털 대전환 시대, 금융보안의 미래'라는 주제로 진행됐으며, [[신승원]] [[카이스트]] 교수의 '현실세계에 대한 위협인 다크웹' 특별강연, [[고학수]] [[서울대학교]] 교수의 '금융분야 인공지능 기술의 활용과 도전' 기조 강연 및 정책(디지털 금융 안전 및 금융소비자 보호), 기술(혁신기술과 위험`관리), 대응(사이버위협 인텔리전스) 분야 총 18개 주제 발표로 진행됐다. 특히, 금융권 정보보호 관계자만 참석하는 2개의 비공개 세션을 마련해 금융감독원에서 금융의 디지털 전환에 따른 위험 관리 방안을, 금융보안원에서 최근 금융권 사이버 위협 사례를 발표하고, 관련 현안과 이슈를 공유하고 이에 대해 심도 있게 논의했다. 또한, '2019 디지털 금융혁신과 금융보안 공모전'에 대한 시상식도 했다. 논문 분야는 총 5편이 선정(대상 1, 최우수상 1, 우수상 1, 장려상 2)되었고, 대상은 [[국민대학교]]팀이, 최우수상은 [[BNK부산은행]]·[[SK인포섹]]팀이 각각 수상했다. 아이디어 분야는 총 6편이 선정(최우수상 1, 우수상 2, 장려상 3)되었고, 최우수상은 [[NH농협은행]]·[[삼성SDS]]팀이 수상했다.<ref>길민권 기자, 〈[https://www.dailysecu.com/news/articleView.html?idxno=78049 국내 최대 금융보안 컨퍼런스 ‘FISCON 2019’ 개최]〉, 《데일리시큐》, 2019-11-07</ref> | ||
+ | |||
+ | {{각주}} | ||
− | ==참고자료== | + | == 참고자료 == |
* 금융보안원 공식 홈페이지 - http://www.fsec.or.kr/fsec/index.do | * 금융보안원 공식 홈페이지 - http://www.fsec.or.kr/fsec/index.do | ||
+ | * 문지현 기자, 〈[https://www.kbanker.co.kr/news/articleView.html?idxno=84261 금융보안원, 2019 대학생 금융보안캠프 성료]〉, 《대한금융신문》, 2019-07-15 | ||
+ | * 길민권 기자, 〈[https://www.dailysecu.com/news/articleView.html?idxno=78049 국내 최대 금융보안 컨퍼런스 ‘FISCON 2019’ 개최]〉, 《데일리시큐》, 2019-11-07 | ||
+ | * 김선애 기자, 〈[http://www.datanet.co.kr/news/articleView.html?idxno=129357 금융보안원 “블록체인 활용 보안 표준안 마련”]〉, 《데이터넷》, 2018-12-13 | ||
+ | * 이상일 기자, 〈[http://www.ddaily.co.kr/news/article/?no=160250 금융보안원, 금융 블록체인 테스트베드 본격 가동]〉, 《디지털데일리》, 2017-09-14 | ||
+ | * 손경호 기자, 〈[http://www.zdnet.co.kr/view/?no=20170914112239&re=R_20170915172456 금융사 블록체인, 테스트베드서 검증 한다]〉, 《지디넷코리아》, 2017-09-14 | ||
+ | * 김선애 기자, 〈[http://www.datanet.co.kr/news/articleView.html?idxno=130506 금융보안원, 레그테크 플랫폼 서비스 개시…금융IT·보안 위험 대응]〉, 《데이터넷》, 2019-01-23 | ||
+ | |||
==같이 보기== | ==같이 보기== | ||
+ | * [[김영기 (원장)|김영기]] | ||
+ | |||
+ | {{공공기관|검토 필요}} |
2021년 8월 12일 (목) 23:37 기준 최신판
금융보안원은 안전하고 신뢰할 수 있는 금융환경을 조성하여 금융 이용자의 편의 증진과 금융산업의 발전에 기여할 목적으로 설립된 금융보안 전담 기관이다. 원장은 김영기이다.
금융보안원이 블록체인 산업혁신 컨퍼런스 2019 행사를 후원합니다. |
목차
개요[편집]
금융보안원은 안전하고 신뢰할 수 있는 금융환경을 조성하기 위해 2015년 4월 출범한 금융권 유일의 보안 전문기관이다. 금융권 사이버 위협탐지, 사이버 공격 대응, 취약점 분석·평가를 통해 각종 사이버 위협으로부터 금융산업을 안전하게 지키고 있으며, 금융보안 기술 연구, 정책 지원, 금융보안 표준화, 핀테크 보안, 금융 빅데이터 활성화 지원으로 금융회사의 든든한 금융보안 파트너 역할을 충실히 수행하고 있다.블록체인 성능, 기능 및 보안요구사항 등에 대해 개념검증을 할 수 있는 블록체인 테스트베드 인프라를 확충하여 금융회사가 혁신적인 금융서비스를 개발할 수 있도록 지원하였고, 블록체인 기반 금융권 공동인증서비스인 뱅크사인과 체인ID 상호연동을 위한 블록체인 보안 표준 4건을 포함한 금융보안 표준 9건을 제정하여 최신 기술이 금융권에 안정적으로 도입될 수 있도록 했다.
연혁[편집]
- 2014년 02월 20일 : 금융위 업무계획(대통령 보고)에서 「금융보안전담기구」 설립 기본방향 발표
- 2014년 03월 10일 : 금융위 금융부문 개인정보유출 재발 방지대책에서 「금융보안전담기구」 설립 기본방향 발표
- 2014년 10월 31일 : 「금융보안전담기구」 설립 기본계획 확정
- 2015년 03월 18일 : 침해사고대응기관 지정(금융위원회)
- 2015년 03월 31일 : 사단법인 금융보안원 설립 허가(금융위원회)
- 2015년 04월 03일 : 금융정보공유·분석센터(금융ISAC) 구축(금융위원회)
- 2015년 04월 10일 : 사단법인 금융보안원 출범, 초대 김영린 원장 취임
- 2015년 07월 10일 : 정보보호관리체계(ISMS) 인증기관 지정(과학기술정보통신부)
- 2015년 12월 24일 : 제2대 허창언 원장 취임
- 2016년 04월 27일 : 금융보안자문위원회 발족
- 2016년 05월 31일 : 금융보안원·대검찰청 MOU 체결
- 2016년 08월 31일 : 개인정보 비식별 조치 지원 전문기관 지정(금융위원회)
- 2016년 11월 14일 : 금융권 디지털 포렌식 랩 구축
- 2017년 02월 07일 : 글로벌 금융 사이버위협 정보공유를 위한 금융보안원·글로벌 정보보호 전문업체 MOU 체결
- 2017년 05월 19일 : 악성코드 감염 예방 수칙 마련
- 2017년 08월 03일 : 금융 해킹방어 훈련장 구축
- 2017년 09월 20일 : 금융보안표준화협의회 발족
- 2017년 09월 22일 : 블록체인 테스트베드 구축
- 2018년 04월 09일 : 제3대 김영기 원장 취임
- 2018년 05월 14일 : 2018년 금융보안자문위원회 구성·운영
- 2018년 07월 18일~20일 : 2018 대학생 금융보안캠프 개최
- 2018년 09월 19일 : 금융보안원 - 서울과학기술대학교 MOU 체결(총 6개 대학)
- 2018년 10월 01일 : 사이버 위협정보 공유 자동화 시스템 시범 서비스 오픈
- 2018년 10월 24일 : 금융정보보호 컨퍼런스(FISCON 2018) 개최
- 2018년 12월 07일 : 제1회 금융보안관리사 배출, 금융권 자율보안을 위한 표준 7건 제정
- 2018년 10월 10일 : 금융데이터전략부 신설
- 2018년 12월 20일 : 보이스피싱 악성 앱 분석 인텔리전스 보고서(Shadow Voice) 발간
- 2018년 12월 26일 : AI기반 금융보안관제 분석 모델 개발
- 2019년 01월 02일 : 금융보안 레그테크(RegTech) 서비스 본격 시행
- 2019년 03월 10일 : 2019년 금융보안포럼 총회 개최
- 2019년 04월 11일 : 2019년 침해사고 대응훈련 개시
- 2019년 06월 01일 : 금융권 버그 바운티 집중신고제 실시
- 2019년 06월 20일 : 2019년 금융보안자문위원회 구성·운영
- 2019년 07월 01일 : 금융권 ISMS-P 통합 인증기관 지정
- 2019년 07월 10일 : 정보보호의 날 기념 최고경영사 초청 세미나 개최
- 2019년 07월 10일~12일 : 2019년 대학생 금융보안캠프 개최
- 2019년 07월 15일 : 금융보안원·고려대학교 MOU 체결(총 7개 대학)
- 2019년 08월 09일 : 금융보안 위협분석 대회(FIESTA2019) 시상
주요 인물[편집]
- 김영기 : 김영기는 금융보안원 제3대 원장이다. 영남대 경영학과, 성균관대 경영학 석사, 박사 학위를 수료했다. 2005년에 금융감독원 검사지원국 팀장으로 일하다가 2007년 여전감독실 팀장, 2010년 저축은행 서비스국 팀장, 2012년 상호여전감독국 국장, 2014년 감독총괄국 국장, 2015년 업무 총괄 담당 부원장보, 2016년 은행 담당 부원장보 등의 경력을 쌓고 2018년부터 현재까지 금융보안원 원장이 되었다.
특징[편집]
사이버 위협 대응[편집]
전 금융권에 대한 침해행위를 24시간 365일 탐지하고 침해사고 발생 시 신속하게 사고원인을 분석하여 피해가 확산되지 않도록 하고 있다. 이를 위해 금융보안관제, 사이버 침해 대응, 취약점 분석·평가 등을 운영 및 시행한다.
- 금융보안관제
- 「정보통신기반보호법」제16조에 의거 금융 분야 정보공유분석센터(Information Sharing and Analysis Center, ISAC)를 운영하고 있으며, 빅데이터 기반 보안관제 기법으로 전 금융권에 대한 사이버 위협을 24시간 365일 탐지한다. 금융보안관제센터는 탐지된 사이버 위협정보를 신속히 분석하고 금융회사, 정부 기관, 경찰청 유관기관 등에 실시간으로 공유하여 금융권 전반의 사이버 위협 대응 능력을 제고한다. 또한, 자체 개발하여 운영 중인 피싱탐지시스템으로 금융회사를 사칭하는 피싱 사이트와 보이스피싱 범죄에 악용되는 악성 앱을 탐지하여 국민들의 소중한 자산을 보호한다.
- 사이버침해대응
- 금융권 사이버 공격이 발생한 경우 분석 요원이 현장에 출동하여 증거를 수집하고 디지털 포렌식을 통해 사고 원인을 분석한다. 이후 피해 확산과 사고 재발을 막기 위해 금융회사가 대응 방안을 수립하는 것을 도와준다. 실제 디도스 공격, 서버 해킹 공격과 유사하나 형태의 침해사고 대응훈련을 인증 실시하여 금융권 사이버 공격 대응 역량을 강화한다. 또한, 국내·외에서 유포되는 악성코드 중 금융권에 영향을 끼칠 수 있는 악성코드, 랜섬웨어 등을 수집하고 분석하여 금융회사에 정보를 공유하고 있다. 주요 악성코드와 악성 앱을 해서 추적하고 분석한 결과를 「금융권 사이버 위협 인텔리전스 보고서」로 정리해 발간한다.
- 취약점 분석·평가
- 금융회사의 네트워크 장비, 웹 애플리케이션 등 각종 정보시스템에 잠재된 취약점을 사전에 찾아내고 조치하여 금융 사고를 예방하고 안전한 전자 금융환경을 조성한다. 신용카드 VAN, CMS 사업자 등 금융회사로부터 업무를 위탁받아 사업을 수행하는 전자금융 보조업자를 대상으로 금융회사와 함께 보안 취약점을 합동으로 점검하여 보안 사각지대를 해소한다. 금융당국, 금융보안원, 금융회사, 보안전문업체가 TF를 구성하여 2017년 제정한 「전자금융기반시설 취약점 분석·평가기준」에 최근 신규 보안 취약점을 추가해 매년 개정하여 동 기준을 금융회사가 공동으로 적용할 수 있는 표준화된 평가 기준으로 활용하도록 한다.
정책 및 기술 연구[편집]
금융보안 정책 지원, 금융보안 신기술 연구 등으로 금융보안 씽크탱크 역할을 수행하고 있다.
- 금융보안정책 연구
- 디지털 혁명 시대 금융·IT 환경이 급속히 변화함에 따라, 금융당국 및 금융회사에서 취해야 할 금융정책의 방향도 급변하고 있다. 금융보안원은 국내·외 금융보안 주요 정책 동향을 조사하여 금융당국 앞 각종 정책을 제안하고 정책 수립을 적극적으로 지원한다. 또한 금융회사 수요조사를 통해 보안 가이드를 개발하고, 「전자금융트렌드 및 보안위협 전망」보고서를 년마다 발간하고 있다. 금융규제가 점차 복잡하고 다양화되어 금융회사가 준수해야 하는 각종 법령과 가이드가 60여 종에 이르는 가운데, 각종 금융보안 규제 관련 업무를 효율적으로 처리할 수 있도록 국내 금융 환경에 적합한 금융보안 레그테크 시스템을 구축했다. 레그테크 시스템에는 컴플라이언스 자동화, 보고서 자동 리포팅, 규제 검색·알림 기능을 이용할 수 있다. 컴플라이언스 관리 자동화 기능은 자율보안 평가 등 보안 점검 도구(4종)를 제공하는 것으로 각종 보안 점검 결과를 시각화하여 관리한다. 금융보안 보고서 자동 리포팅 기능은 보고서를 온라인에서 작성 및 제출하는 것으로 보고서 접수현황을 한눈에 확인하고 관리할 수 있도록 하며 인텔리전스 규제 검색·알림 기능은 금융보안 규제정보 등을 통합하여 검색할 수 있도록 하여 금융보안 정책 이슈 발생 시 신속히 알림이 오게 되어있다. 금융보안 업무지원 기능은 정책, 가이드 등 금융보안 관련 정보 금융보안 설문, 자문, 커뮤니티 서비스 등을 제공한다.
- 금융보안기술 연구
- 금융보안 관련 신기술 및 최신 동향을 심층적으로 연구하여 연구보고서를 인증 발간한다. 또한, 금융당국의 정책을 기술 관점에서 지원하고 산·학·연 협력을 통해 금융회사의 보안 강화에 도움이 되는 다양한 금융보안기술 연구를 수행한다. 금융보안원은 한국정보통신기술협회(TTA) 등 국내·외 표준화 기구의 협력체계를 구축하고, 금융보안 관련 표준 개발을 수행한다. 표준 개발 시 금융회사의 수요를 기반으로 표준과제를 선정하여 객관성과 신뢰성이 확보된 기술 표준 체계를 운영하고 있다. 표준 개발을 통해 금융권 자율보안 확립을 지원하고 금융회사가 인공지능, 클라우드 컴퓨팅 블록체인, 비식별기술 등 최신기술을 적시에 검토·도입하는데 도움을 주고 있다.
금융권 자율보안 지원[편집]
금융보안 규제 패러다임이 금융회사 중심의 자율규제방식으로 변화함에 따라 보안성 검토, 핀테크 보안, ISMS 인증 등의 업무로 금융권 자율보안을 지원하고 있다.
- 보안성 검토
- 전자 금융환경 변화에 따라 간편결제, 블록체인 등 신기술이 금융서비스에 접목되면서 이에 대한 보안이 더욱 중요해지고 있다. 「전자금융감독규정」 제36조에 따르면 금융회사는 '신규 전자 금융 업무'를 수행할 경우 서비스가 충분히 안전한지 '자체 보안성 심의'를 반드시 실시해야 한다. 이때 금융회사는 금융보안원에 지원을 요청할 수 있으며 금융보안원은 보안성 검토를 수행하여 보안 대책의 적정성 등을 검토하고 미비점을 개선하도록 권고한다. 또한, 금융회사에서 '자체 보안성 심의'를 실시할 때 기준으로 활용하라 수 있도록 「금융회사 자체 보안성심의 가이드」를 제공하고 매년 최신 법규에 따라 개정하고 있다. 보안성 검토 분야로는 블록체인, 간편결제, 생체인증, AI, HTML 5, FIDO, NFC, 간편인증, 간편송금, OTP, 클라우드 등이 있다.
- 핀테크 보안
- 금융당국의 핀테크 활성화 및 자율보안체계 확립정책에 따라, 핀테크 서비스 개발 단계에 따라 보안 상담, 보안 컨설팅, 보안 수준 진단 서비스를 제공한다. 또한, 블록체인 성능, 기능 및 보안 요구사항 등에 대해 개념검증을 할 수 있는 블록체인 테스트베드 인프라를 운영하여 금융회사가 혁신적인 금융서비스를 개발할 수 있도록 지원하고 있다. 그리고 금융시장의 오픈 API 확대 추세 및 금융당국의 활성화 추진 정책에 따라, 금융권 오픈 API에 대한 보안 지원을 확대하고 보안 점검 가이드를 발견하여 안전한 금융권 오픈 API 생태계를 조성한다.
- 정보보호관리체계 인증
- 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제47조에 따라 금융회사를 대상으로 정보보호 관리체계 심사 및 인증을 수행하고 있다. ISMS 인증을 통해 금융회사는 전사적인 정보보호 관리체계를 강화할 수 있으며, 각종 보안 위협으로부터 주요 정보자산을 안전하게 보호할 수 있다. 금융권에 적용되는 법규와 표준을 참조하여 ISMS 인증심사 시 점검하는 항목을 추가하고 보완하여 금융권에 적합한 인증기준을 개발한다.
데이터 경제 활성화 지원[편집]
금융 분야 데이터 활용·보호와 금융권 개인(신용)정보 처리의 보안 수준을 제고한다.
- 빅데이터 활용 지원
- 금융보안원은 금융회사가 데이터 경쟁력을 확보하고 혁신적인 고부가가치의 금융 서비스를 창출할 수 있도록 안전한 빅데이터 분석·활용을 지원한다. 금융권 빅데이터 관련 실무자로 구성된 금융 빅데이터 협의회를 운영하여 금융회사 간 빅데이터 활용사례를 공유한다. 또한, 매년 빅데이터 활용 금융 아이디어 공모전을 개최하고 있으며, 우수 아이디어를 선정하여 시상하고 금융권에 공유하여 빅데이터를 활용한 혁신금융서비스 발굴을 지원한다. 향후 금융 분야 빅데이터를 안전하게 거래할 수 있는 플랫폼을 구축하여 다양한 데이터가 금융보안원의 빅데이터 플랫폼을 통해 유통·활용될 것으로 기대한다. 동시에 혁신적인 금융서비스가 창출되고 핀테크 스타트업이 금융 빅데이터를 안전하게 활용할 수 있도록 적극적으로 지원할 계획이다. 또한, 개인의 정보 주권을 보장하기 위해 금융회사에 저장된 정보를 정보 주체인 개인이 관리·활용할 수 있도록 하는 금융 분야 마이데이터 사업과 관련하여, 데이터 송수신에 사용되는 API 규격 표준화 시 보안 고려사항을 도출하고 API 취약점을 사전에 분석하고 평가하는 업무를 제공할 계획이다.
- 개인(신용)정보 보호
- 금융회사는 「개인정보 보호법」, 「신용정보의 이용 및 보호에 관한 법률」에 따라 개인(신용)정보 처리를 위탁받은 신용정보회사, 손해사정회사, 감정평가사 등이 정보를 분실·도난·유출·변조·훼손되지 않도록 안전하게 처리하고 있는지 감독해야 한다. 개별 금융회사가 모든 수탁사를 일일이 점검할 시 중복점검 등 비효율이 발생하므로 금융보안원은 금융회사의 신청을 받아 개인(신용)정보 처리 업무 수탁자에 대한 공동점검을 수행한다. 금융권 수탁자 공동점검을 통해 수탁자의 개인(신용)정보의 보호 수준을 제고하고 금융소비자의 개신(신용)정보 보호를 강화하고 있다. 개인정보보호 관련 3법(개인정보보호법, 정보통신망법, 신용정보법)이 개정될 경우 금융위원회의 「금융분야 개인정보보호 내실화 방안」(18.05월 발표)에 따라 금융회사 정보 활용·관리 상시평가제, 정보보호 우수기관 인증마크제, 정보 활용 동의서 등급제 업무를 수행할 예정이다.
금융보안 교육[편집]
금융회사 임직원을 대상으로 금융보안 분야의 전문교육을 인증 실시하여 금융보안 역량을 제고한다.
- 금융회사 임·직원 교육
- 정보보호최고책임자(CISO), IT·정보보호 부서장, 정보보호 실무자 등 대상별로 특화하여 금융IT·보안 분야 환경 변화에 따른 최신 이슈 및 수요를 반영한 사이버 교육과 맞춤형 오프라인 교육을 제공한다. 특히, 사이버워룸 형식의 해킹 방어 훈련장에서 최신 해킹 시나리오 기반 실습 교육을 진행하는 등 교육생이 전자 금융 침해사고 대응 역량을 기를 수 있는 다양한 교육과정을 운영한다.
- 금융보안관리사 자격제도 운영
- 금융 정보보호 관련 법제도·서비스 전반에 대한 실무지식과 금융 IT·보안 위협 발생 시 대응할 수 있는 직무 능력을 갖춘 전문가 양성을 위해 교육과정과 연계된 금융보안관리사 자격제도를 운영한다. 금융보안관리사 자격제도는 금융업권 IT·보안 실무경력이 3년 이상인 담당자를 모집 대상으로 하며 자격을 취득하기 위해서는 금융보안원의 전문교육 이수 후 검정시험에 합격해야 한다.
- 금융보안 최고책임자 과정 운영
- 금융권에 디지털 전환 바람이 거세게 불고 있는 가운데, 금융IT 혁신기술의 안정적 도입과 정착에 필요한 통합적 위험 관리자로서 정보보호최고책임자(CISO)의 역할이 부각되고 있다. 금융보안원은 우리나라 금융회사의 보안을 책임지는 리더들이 급변하는 대내·외 환경 변화에 능동적으로 대응할 수 있도록 CISO의 전략적 리더십 함양을 목표로 하는 '금융보안 최고책임자 과정'을 운영하고 있다. 해당 과정은 금융보안 관련 정책·기술 강의와 리더십 강화를 위한 특강, 비즈니스 전략 수립을 위한 전문교육 등으로 구성되어 있다. 동 과정을 통해 금융환경의 급격한 디지털 전환을 종합적으로 이해하고, 다각적이고 심층적인 정보보안 전략을 세우기 위한 역량을 제고할 수 있다.
주요 활동[편집]
블록체인 보안 표준안 마련[편집]
블록체인을 활용한 금융서비스 개발에 필요한 보안 표준안이 마련됐다. 금융보안원은 최근 '금융보안표준화협의회'를 개최하고 블록체인, 금융보안 기술, 금융보안 관리 분야에 대한 표준 7건과 블록체인 관련 기술 보고서 1건을 제정했다고 밝혔다. 금융보안표준은 급변하는 금융보안 기술에 대한 표준체계를 확립해 금융소비자의 편리성과 금융보안의 효율을 높이기 위해 추진되는 것이다. 금융보안원은 금융권 자율보안과 4차 산업혁명 관련 최신 기술의 금융권 도입을 효과적으로 지원하기 위해 금융보안표준화협의회를 발족했으며, 산·학·연 전문가들이 참여하는 블록체인, 금융보안 기술, 금융보안 관리, 신용카드 인프라 등 4개 분야 개발그룹을 구성하고 50여 회 회의를 거쳐 표준 개발 업무를 수행해 왔다. 실효성 있는 표준을 제정하기 위해, 블록체인 분야에서 은행, 금융투자, 생명보험, 여신 등 권역별 금융협회가 표준개발에 참여했으며, 금융정보보호협의회 차원에서 표준화 과제를 사전검토하고 제정될 표준에 대한 검토를 수행했다. 금융보안원은 제정된 표준이 국가, 국제 표준으로 활용될 수 있도록 한국은행 금융정보화추진협의회, TTA, ITU-T, ISO/IEC 등 공적표준기구 표준 제정과 연계하도록 노력하고 있다. 특히, 블록체인 관련 표준에 대해서는 분산원장기술표준포럼과 협력해 금융보안표준이 국내·국제 표준과 연계될 방안을 추진한다.[1]
금융 블록체인 테스트베드[편집]
금융보안원은 금융회사가 4차 산업혁명의 핵심기술인 블록체인을 활용, 안전하고 혁신적인 금융서비스를 개발 제공함으로써 새로운 성장 동력을 마련해 나갈 수 있도록 '금융 블록체인 테스트베드(Test-bed)'구축을 완료하고 본격적으로 가동에 들어갔다. 금융 블록체인 테스트베드는 금융보안원 사원기관을 대상으로 금융회사에 필요한 블록체인 성능, 기능 및 보안 요구사항 등에 대한 개념검증(PoC)과 관련 규제의 검토를 지원한다. 금융 블록체인 테스트베드 본격 가동에 따라 다양한 금융서비스의 블록체인 적용에 대한 테스트 지원 체계를 갖추게 됨으로써 보안성과 효율성을 갖춘 블록체인 기반 금융서비스 개발·제공이 용이해질 것으로 기대된다.[2] 금융 블록체인 테스트베드는 크게 4개 노드로 구성된다. 금보원 용인 본원에 2개, 클라우드 상에 올라가 있는 2개 노드가 활용된다. 각 노드는 블록체인에 참여할 수 있는 자격을 검증하는 멤버십과 함께 기본적인 피투피 네트워킹, 합의처리, 스마트 계약 기능을 지원한다.[3]
금융보안 레그테크 서비스[편집]
금융보안원은 '금융보안 레그테크 서비스'를 시작하며 향후 금융회사 등 레그테크 수요자 중심에서 필요한 서비스를 발굴하는 등 레그테크 플랫폼의 기능을 개선해 나가겠다고 밝혔다. 레그테크(RegTech)는 규제와 기술의 합성어로 복잡하고 다양해지는 금융보안 규제 대응 역량을 강화하고 규제 준수 비용을 절감하기 위한 플랫폼이 필요하다는 요구에 의해 제안되고 있다. 금융보안원은 금융원에서 IT 기술을 활용해 금융보안 규제관련 업무를 효율적으로 처리할 수 있도록 국내 금융보안 환경에 적합한 금융권 공동 레그테크 플랫폼을 구축했으며, 시범운영으로 플랫폼 안정화 과정을 거쳤다. 금융보안 레그테크 플랫폼이 제공하는 서비스는 다음과 같다.
- 컴플라이언스 관리 자동화
- 금융권에서 수작업으로 관리했던 자율보안평가 등 각종 금융보안 점검 업무를 자율보안 평가, 보안과제 수준진단, 침해사고 준비도 평가, 관리체계 점검 등 4종의 점검도구를 이용해 자동화 처리한다. 보안점검 결과를 자동으로 신청해 금융회사에 제공하며, 점검항목 증빙자료 관리 등 점검 편의 기능도 지원한다.
- 금융보안 보고서 자동 리포팅
- 외주직원 보안점검 결과 등 주기적이고 반복적인 금융보안 보고서 제출 및 관리 업무를 레그테크 플랫폼의 보고서 리포팅 인프라를 활용해 자동으로 처리한다.
- 인텔리전스 규제 검색·알림
- 금융회사가 각종 금융보안 규제 변화를 신속하게 인지하고 대응할 수 있도록 금융보안 규제에 특화된 검색 및 알림 서비스를 제공한다. 검색 기능은 여러 곳에 분산돼 있는 각종 금융보안 관련 정보에 키워드 검색을 제공한다. 레그테크 플랫폼의 지능형 검색기능을 활용해 간단한 키워드 입력만으로도 통합 검색할 수 있다. 알리 기능은 금융보안 관련 정부 정책발표, 법 개정 등 정책 이슈가 발생할 때 유용하다. 푸쉬 방식의 알림메시지를 통해 금융회사 보안담당자에게 신속하게 알려준다.
- 금융보안 업무지원
- 금융회사가 금융보안 관련 업무 처리 시 애로사항을 해결할 수 있도록 금융보안 자문서비스를 제공하며, 금융회사 보안담당자 간 설문 등 커뮤니티 서비스를 제공한다. 금융보안원 관계자는 "금융산업의 디지털 전환이 본격화되는 시대에 금융사의 규제대응 역량 확보는 필수적이다. 금융권에서는 디지털 혁신 추진 과정에서 발생될 수 있는 새로운 금융IT·보안 리스크에 효과적으로 대응할 수 있도록 금융보안 레그테크 플랫폼을 적극 활용하기 바란다"고 밝혔다.
행사[편집]
대학생 금융보안 캠프[편집]
금융보안원은 정보보호의 달을 맞아 개최한 '2019 대학생 금융보안 캠프'를 성공적으로 마무리했다. 금융보안 캠프는 정보보호 분야에 관심과 재능이 있는 전국 36개 대학교 100여 명 학생을 대상으로 KB국민은행 천안연수원에서 2박 3일 동안 진행됐다. 금융보안원은 지난 2017년부터 금융보안에 적성과 재능을 가진 인재를 조기 발굴하고 진로 탐색을 돕기 위해 정보보호 관련 학과 대학생을 대상으로 금융보안 캠프를 개최하고 있다. 이번 캠프는 정보보안 세미나, 금융보안 관련 진로 탐색 멘토링, 금융 빅데이터 활용 아이디어 콘테스트 등 다양한 프로그램으로 구성됐다. 정보보안 세미나에서는 금융보안 직원들이 '금융권 취약점평가 현장 이야기', '사이버 침해대응 현장 이야기', '금융권 데이터 활용 정책 동향을 주제로 보안 실무에서 겪은 생생한 이야기와 직무 개발 경험담'을 공유했다. 또한, 캠프 참가자들이 진로에 관련된 조언을 들을 수 있도록 금융회사 정보보호 전문가 초청 토크콘서트를 열고 은행, 금융투자, 보험, 카드 등 다양한 금융업권의 보안 전문가들이 각 금융사의 인재상과 취업 준비비결을 들려주는 멘토링 프로그램도 진행했다. 아울러 금융보안원 공채 직원으로 구성된 멘토 5명이 학생들과 함께 2박 3일 동안 캠프에 참여하며 취업과 진로 문제 등에 진술하고 유익한 멘토링을 제공했다. 그리고 빅데이터 활용에 관한 아이디어를 겨루는 금융 빅데이터 활용 아이디어 콘테스트도 개최해 3개 조를 선발해 시상을 진행했다.[4]
FISCON 2019[편집]
금융보안원이 국내 최대 금융보안 콘퍼런스 'FISCON 2019'를 11월 7일, 서울 여의도 콘래드 호텔에서 금융회사를 비롯한 산-학-연 전문가, 일반인, 학생 등 800여 명이 참석한 가운데 성황리에 개최됐다. 'FISCON 2019'는 '디지털 대전환 시대, 금융보안의 미래'라는 주제로 진행됐으며, 신승원 카이스트 교수의 '현실세계에 대한 위협인 다크웹' 특별강연, 고학수 서울대학교 교수의 '금융분야 인공지능 기술의 활용과 도전' 기조 강연 및 정책(디지털 금융 안전 및 금융소비자 보호), 기술(혁신기술과 위험`관리), 대응(사이버위협 인텔리전스) 분야 총 18개 주제 발표로 진행됐다. 특히, 금융권 정보보호 관계자만 참석하는 2개의 비공개 세션을 마련해 금융감독원에서 금융의 디지털 전환에 따른 위험 관리 방안을, 금융보안원에서 최근 금융권 사이버 위협 사례를 발표하고, 관련 현안과 이슈를 공유하고 이에 대해 심도 있게 논의했다. 또한, '2019 디지털 금융혁신과 금융보안 공모전'에 대한 시상식도 했다. 논문 분야는 총 5편이 선정(대상 1, 최우수상 1, 우수상 1, 장려상 2)되었고, 대상은 국민대학교팀이, 최우수상은 BNK부산은행·SK인포섹팀이 각각 수상했다. 아이디어 분야는 총 6편이 선정(최우수상 1, 우수상 2, 장려상 3)되었고, 최우수상은 NH농협은행·삼성SDS팀이 수상했다.[5]
각주[편집]
- ↑ 김선애 기자, 〈금융보안원 “블록체인 활용 보안 표준안 마련”〉, 《데이터넷》, 2018-12-13
- ↑ 이상일 기자, 〈금융보안원, 금융 블록체인 테스트베드 본격 가동〉, 《디지털데일리》, 2017-09-14
- ↑ 손경호 기자, 〈금융사 블록체인, 테스트베드서 검증 한다〉, 《지디넷코리아》, 2017-09-14
- ↑ 문지현 기자, 〈금융보안원, 2019 대학생 금융보안캠프 성료〉, 《대한금융신문》, 2019-07-15
- ↑ 길민권 기자, 〈국내 최대 금융보안 컨퍼런스 ‘FISCON 2019’ 개최〉, 《데일리시큐》, 2019-11-07
참고자료[편집]
- 금융보안원 공식 홈페이지 - http://www.fsec.or.kr/fsec/index.do
- 문지현 기자, 〈금융보안원, 2019 대학생 금융보안캠프 성료〉, 《대한금융신문》, 2019-07-15
- 길민권 기자, 〈국내 최대 금융보안 컨퍼런스 ‘FISCON 2019’ 개최〉, 《데일리시큐》, 2019-11-07
- 김선애 기자, 〈금융보안원 “블록체인 활용 보안 표준안 마련”〉, 《데이터넷》, 2018-12-13
- 이상일 기자, 〈금융보안원, 금융 블록체인 테스트베드 본격 가동〉, 《디지털데일리》, 2017-09-14
- 손경호 기자, 〈금융사 블록체인, 테스트베드서 검증 한다〉, 《지디넷코리아》, 2017-09-14
- 김선애 기자, 〈금융보안원, 레그테크 플랫폼 서비스 개시…금융IT·보안 위험 대응〉, 《데이터넷》, 2019-01-23
같이 보기[편집]