검수요청.png검수요청.png

금융보안원

위키원
eom9522 (토론 | 기여)님의 2019년 11월 21일 (목) 09:36 판
이동: 둘러보기, 검색

금융보안원은 안전하고 신뢰할 수 있는 금융환경을 조성하여 금융 이용자의 편의 증진과 금융산업의 발전에 기여 할 목적으로 설립된 금융보안 전담 기관이다. 원장은 김영기이다.

개요

금융보안원은 안전하고 신뢰할 수 있는 금융환경을 조성하기 위해 2015년 4월 출범한 금융권 유일의 보안 전문기관이다. 금융권 사이버 위협탐지, 사이버 공격 대응, 취약점 분석·평가를 통해 각종 사이버 위협으로부터 금융산업을 안전하게 지키고 있으며, 금융보안 기술 연구, 정책 지원, 금융보안표준화, 핀테크 보안, 금융 빅데이터 활성화 지원으로 금융쇠사의 든든한 금융보안 파트너 역할을 충실히 수행하고 있다.

연혁

  • 2014년 02월 20일 : 금융위 업무계획(대통령 보고)에서 「금융보안전담기구」 설립 기본방향 발표
  • 2014년 03월 10일 : 금융위 금융부문 개인정보유출 재발 방지대책에서 「금융보안전담기구」 설립 기본방향 발표
  • 2014년 10월 31일 : 「금융보안전담기구」 설립 기본계획 확정
  • 2015년 03월 18일 : 침해사고대응기관 지정(금융위원회)
  • 2015년 03월 31일 : 사단법인 금융보안원 설립 허가(금융위원회)
  • 2015년 04월 03일 : 금융정보공유·분석센터(금융ISAC) 구축(금융위원회)
  • 2015년 04월 10일 : 사단법인 금융보안원 출범, 초대 김영린 원장 취임
  • 2015년 07월 10일 : 정보보호관리체계(ISMS) 인증기관 지정(과학기술정보통신부)
  • 2015년 12월 24일 : 제2대 허창언 원장 취임
  • 2016년 04월 27일 : 금융보안자문위원회 발족
  • 2016년 05월 31일 : 금융보안원·대검찰청 MOU 체결
  • 2016년 08월 31일 : 개인정보 비식별 조치 지원 전문기관 지정(금융위원회)
  • 2016년 11월 14일 : 금융권 디지털 포렌식 랩 구축
  • 2017년 02월 07일 : 글로벌 금융 사이버위협 정보공유를 위한 금융보안원·글로벌 정보보호 전문업체 MOU 체결
  • 2017년 05월 19일 : 악성코드 감염 예방 수칙 마련
  • 2017년 08월 03일 : 금융 해킹방어 훈련장 구축
  • 2017년 09월 20일 : 금융보안표준화협의회 발족
  • 2017년 09월 22일 : 블록체인 테스트베드 구축
  • 2018년 04월 09일 : 제3대 김영기 원장 취임
  • 2018년 05월 14일 : 2018년 금융보안자문위원회 구성·운영
  • 2018년 07월 18일~20일 : 2018 대학생 금융보안캠프 개최
  • 2018년 09월 19일 : 금융보안원 - 서울과학기술대학교 MOU 체결(총 6개 대학)
  • 2018년 10월 01일 : 사이버 위협정보 공유 자동화 시스템 시범 서비스 오픈
  • 2018년 10월 24일 : 금융정보보호 컨퍼런스(FISCON 2018) 개최
  • 2018년 12월 07일 : 제1회 금융보안관리사 배출, 금융권 자율보안을 위한 표준 7건 제정
  • 2018년 10월 10일 : 금융데이터전략부 신설
  • 2018년 12월 20일 : 보이스피싱 악성 앱 분석 인텔리전스 보고서(Shadow Voice) 발간
  • 2018년 12월 26일 : AI기반 금융보안관제 분석 모델 개발
  • 2019년 01월 02일 : 금융보안 레그테크(RegTech) 서비스 본격 시행
  • 2019년 03월 10일 : 2019년 금융보안포럼 총회 개최
  • 2019년 04월 11일 : 2019년 침해사고 대응훈련 개시
  • 2019년 06월 01일 : 금융권 버그바운티 집중신고제 실시
  • 2019년 06월 20일 : 2019년 금융보안자문위원회 구성·운영
  • 2019년 07월 01일 : 금융권 ISMS-P 통합 인증기관 지정
  • 2019년 07월 10일 : 정보보호의 날 기념 최고경영사 초청 세미나 개최
  • 2019년 07월 10일~12일 : 2019년 대학생 금융보안캠프 개최
  • 2019년 07월 15일 : 금융보안원·고려대학교 MOU 체결(총 7개 대학)
  • 2019년 08월 09일 : 금융보안 위협분석 대회(FIESTA2019) 시상

주요 인물

  • 김영기 : 김영기는 금융보안원 제3대 원장이다. 영남대 경영학과, 성균관대 경영학 석사, 박사 학위를 수료했다. 2005년에 금융감독원 검사지원국 팀장으로 일하다가 2007년 여전감독실 팀장, 2010년 저축은행서비스국 팀장, 2012년 상호여전감독국 국장, 2014년 감독총괄국 국장, 2015년 업무총괄 담당 부원장보, 2016년 은행 담당 부원장보 등의 경력을 쌓고 2018년부터 현재까지 금융보안원 원장이 되었다.

특징

사이버 위협 대응

전 금융권에 대한 침해행위를 24시간 365일 탐지하고 침해사고 발생 시 신속하게 사고원인을 분석하여 피해가 확산되지 않도록 하고 있다. 이를 위해 금융보안관제, 사이버 침해 대응, 취약점 분석·평가 등을 운영 및 시행한다.

  • 금융보안관제

「정보통신기반보호법」제16조에 의거 금융분야 정보공유 분석센터(Information Sharing and Analysis Center, ISAC)를 운영하고 있으며, 빅데이터 기반 보안관제 기법으로 전 금융권에 대한 사이버 위협을 24시간 365일 탐지한다. 금융보안관제센터는 탐지된 사이버 위협정보를 신속히 분석하고 금융회사, 정부기관, 경찰청 유관기관 등에 실시간으로 공유하여 금융권 전반의 사이버 위협 대응능력을 제고한다. 또한, 자체 개발하여 운영 중인 피싱탐지시스템으로 금융회사를 사칭하는 피싱 사이트와 보이스피싱 범죄에 악용되는 악성 앱을 탐지하여 국민들의 소중한 자산을 보호한다.

  • 사이버침해대응

금융권 사이버 공격이 발생한 경우 분석요원이 현장에 출동하여 증거를 수집하고 디지털 포렌식을 통해 사고 원인을 분석한다. 이후 피해 확산과 사고 재발을 막기 위해 금융회사가 대응방안을 수립하는 것을 도와준다. 실제 디도스 공격, 서버 해킹 공격과 유사하나 형태의 침해사고 대응훈련을 인증 실시하여 금융권 사이버공격 대응 역량을 강화한다. 또한, 국내·외에서 유포되는 악성코드 중 금융권에 영향을 끼칠 수 있는 악성코드, 랜섬웨어 등을 수집하고 분석하여 금융회사에 정보를 공유하고 있다. 주요 악성코드와 악성 앱을 지속적으로 주최하고 분석한 결과를 「금융권 사이버 위협 인텔리전스 보고서」로 정리해 발간한다.

  • 취약점 분석·평가

금융회사의 네트워크 장비, 웹 애플리케이션 등 각종 정보시스템에 잠재된 취약점을 사전에 찾아내고조치하여 금융 사고를 예방하고 안전한 전자금융환경을 조성한다. 신용카드VAN, CMS 사업자 등 금융회사로부터 업무를 위탁받아 사업을 수행하는 전자금융 보조업자를 대상으로 금융회사와 함께 보안 취약점을 합동으로 점검하여 보안 사각지대를 해소한다. 금융당국, 금융보안원, 금융회사, 보안전문업체가 TF를 구성하여 2017년 제정한 「전자금융기반시설 취약점 분석·평가기준」에 최근 신규 보안 취약점을 추가해 매년 개정하여 동 기준을 금융회사가 공동으로 적용할 수 있는 표준화된 평가기준으로 활용하도록 한다.

정책 및 기술 연구

금융보안 정책 지원, 금융보안 신기술 연구 등으로 금융보안 씽크탱크 역할을 수행하고 있다.

  • 금융보안정책 연구

디지털 혁명 시대 금융·IT 환경이 급속히 변화함에 따라, 금융당국 및 금융회사에서 취해야 할 금융정책의 방향도 급변하고 있다. 금융보안원은 국내·외 금융보안 주요 정책 동향을 조사하여 금융당국 앞 각종 정책을 제안하고 정책 수립을 적극 지원한다. 또한 금융회사 수요조사를 통해 보안 가이드를 개발하고, 「전자금융트렌드 및 보안위협 전망」보고서를 매년 발간하고 있다. 금융규제가 점차 복잡하고 다양화되어 금융회사가 준수해야 하는 각종 법령과 가이드가 60여 종에 이르는 가운데, 각종 금융보안 규제관련 업무를 효율적으로 처리할 수 있도록 국내 금융 환경에 적합한 금융보안 레그테크 시스템을 구축했다. 레그테크 시스템에는 컴플라이언스 자동화, 보고서 자동 리포팅, 규제 검색·알림 기능을 이용할 수 있다. 컴플라이언스 관리 자동화 기능은 자율보안평가 등 보안점검 도구(4종)을 제공하는 것으로 각종 보안점검 결과를 시각화하여 관리한다. 금융보안 보고서 자동 리포팅 기능은 보고서를 온라인에서 작성 및 제출하는 것으로 보고서 접수현황을 하눈에 확인하고 관리할 수 있도록 하며 인텔리전스 규제 검색·알림 기능은 금융보안 규제정보 등을 통합하여 검색할 수 있도록 하여 금융보안 정책 이슈 발생 시 신속히 알림이 오도록 되어있다. 금융보안 업무지원 기능은 정책, 가이드 등 금융보안 관련 정보 금융보안 설문, 자문, 커뮤니티 서비스 등을 제공한다.

  • 금융보안기술 연구

금융보안 관련 신기술 및 최신 동향을 심층적으로 연구하여 연구보고서를 인증 발간한다. 또한, 금융당국의 정책을 기술 관점에서 지원하고 산·학·연 협력을 통해 금융회사의 보안강화에 도움이 되는 다양한 금융보안기술 연구를 수행한다. 금융보안원은 한국정보통신기술협회(TTA), ITU-T SGI7 등 국내·외 표준화 가구의 협력체계를 구축하고, 금융보안 관련 표준 개발을 수행한다. 표준 개발 시 금융회사의 수요를 기반으로 표준과제를 선정하여 객관성과 신뢰성이 확보된 기술 표준 체계를 운영하고 있다. 표준 개발을 통해 금융권 자율보안 확립을 지원하고 금융회사가 인공지능, 클라우드 컴퓨팅 블록체인, 비식별기술 등 최신기술을 적시에 검토·도입 하는데 도움을 주고 있다.

금융권 자율보안 지원

금융보안 귲제 패러다임이 금융회사 중심의 자율규제방식으로 변화함에 따라 보안성 검토, 핀테크 보안, ISMS 인증 등의 업무로 금융권 자율보안을 지원하고 있다.

  • 보안성 검토

전자금융환경 변화에 따라 간편결제, 블록체인 등 신기술이 금융서비스에 접목되면서 이에 대한 보안이 더욱 중요해지고 있다. 「전자금융감독규정」 제36조에 따르면 금융회사는 '신규 전자금융 업무'를 수행할 경우 서비스가 충분히 안전한지 '자체 보안성심의'를 반드시 실시해야 한다. 이때 금융회사는 금융보안원에 지원을 요청할 수 있으며 금융보안원은 보안성 검토를 수행하여 보안대책의 적정성 등을 검토하고 미비점을 개선하도록 권고한다. 또한, 금융회사에서 '자체 보안성심의'를 실시할 때 기준으로 활용하라 수 있도록 「금융회사 자체 보안성심의 가이드」를 제공하고 매년 최신 법규에 따라 개정하고 있다. 보안성 검토 분야로는 블록체인, 간편결제, 생체인증, AI, HTML 5, FIDO, NFC, 간편인증, 간편송금, OTP, 클라우드 등이 있다.

  • 핀테크 보안

금융당국의 핀테크 활성화 및 자율보안체계 확립정책에 따라, 핀테크 서비스 개발 단계에 따라 보안상담, 보안컨설팅, 보안수준진단 서비스를 제공한다. 또한, 블록체인 성능, 기능 및 보안요구사항 등에 대해 개념검증을 할 수 있는 블록체인 테스트베드 인프라를 운영하여 금융회사가 혁신적인 금융서비스를 개발할 수 있도록 지원하고 있다. 그리고 금융시장의 오픈 API 확대 추세 및 금융당국의 활성화 추진 정책에 따라, 금융권 오픈 API에 대한 보안지원을 확대하고 보안점검 가이드를 발견하여 안전한 금융권 오픈 API 생태계를 조성한다.

  • 정보보호관리체계 인증

「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제47조에 따라 금융회사를 대상으로 정보보호 관리체계 심사 및 인증을 수행하고 있다. ISMS 인증을 통해 금융회사는 전사적인 정보보호 관리체계를 강화할 수 있으며, 각종 보안위협으로부터 주요 정보자산을 안전하게 보호할 수 있다. 금융권에 적용되는 법규와 표준을 참조하여 ISMS 인증심사 시 점검하는 항목을 추가하고 보완하여 금융권에 적합한 인증기준을 개발한다.

데이터 경제 활성화 지원

금융분야 데이터 활용·보호와 금융권 개인(신용)정보 처리의 보안 수준을 제고한다.

  • 빅데이터 활용 지원

금융보안원은 금융회사가 데이터 경쟁력을 확보하고 혁신적인 고부가가치의 금융 서비스를 창출할 수 있도록 안전한 빅데이터 분석·활용을 지원한다. 금융권 빅데이터 관련 실무자로 구성된 금융 빅데이터 협의회를 운영하여 금융회사 간 빅데이터 활용사례를 공유한다. 또한, 매년 빅데이터 활용 금융 아이디어 공모전을 개최하고 있으며, 우수 아이디어를 선정하여 시상하고 금융권에 공유하여 빅데이터를 활용한 혁신금융서비스 발굴을 지원한다. 향후 금융 분야 빅데이터를 안전하게 거래할 수 있는 플랫폼을 구축하여 다양한 데이터가 금융보안원의 빅데이터 플랫폼을 통해 유통·활용될 것으로 기대한다. 동시에 혁신적인 금융서비스가 창출되고 핀테크 스타트업이 금융 빅데이터를 안전하게 활용할 수 있도록 적극 지원할 계획이다. 또한, 개인의 정보 주권을 보장하기 위해 금융회사에 저장된 정보를 정보주체인 개인이 관리·활용할 수 있도록 하는 금융분야 마이데이터 사업과 관련하여, 데이터 송수신에 사용되는 API 규격 표준화 시 보안 고려사항을 도출하고 API 취약점을 사전에 분석하고 평가하는 업무를 제공할 계획이다.

  • 개인(신용)정보 보호

금융회사는 「개인정보 보호법」, 「신용정보의 이용 및 보호에 관한 법률」에 따라 개인(신용)정보 처리를 위탁받은 신용정보회사, 손해사정회사, 감정평가사 등이 정보를 분실·도난·유출·변조·훼손 되지 않도록 안전하게 처리하고 있는지 감독해야 한다. 개별 금융회사가 모든 수탁사를 일일이 점검할 시 중복점검 등 비효율이 발생하므로 금융보안원은 금융회사의 신청을 받아 개인(신용)정보 처리 업무 수탁자에 대한 공동점검을 수행한다. 금융권 수탁자 공동점검을 통해 수탁자의 개인(신용)정ㅂ의 보호 수준을 제고하고 금융소비자의 개신(신용)정보 보호를 강화하고 있다. 개인정보보호관련 3법(개인정보보호법, 정보통신망법, 신용정보법)이 개정될 경우 금융위원회의 「금융분야 개인정보보호 내실화 방안」(18.05월 발표)에 따라 금융회사 정보활용·관리 상시평가제, 정보보호 우수기관 인증마크제, 정보활용 동의서 등급제 업무를 수행할 예정이다.

금융보안 교육

금융회사 임직원을 대상으로 금융보안 분야의 전문교육을 인증 실시하여 금융보안 역량을 제고한다.

  • 금융회사 임·직원 교육

정보보호최고책임자(CISO), IT·정보보호 부서장, 정보보호 실무자 등 대상별로 특화하여 금융IT·보안 분야 환경 변화에 따른 최신 이슈 및 수요를 반영한 사이버 교육과 맞춤형 오프라인 교육을 제공한다. 특히, 사이버워룸 형식의 해킹방어 훈련장에서 쵯니 해킹 시나리오 기반 실습교육을 진행하는 등 교육생이 전자금융 침해사고 대응 역량을 기를 수 있는 다양한 교육과정을 운영한다.

  • 금융보안관리사 자격제도 운영

금융 정보보호 관련 법제도·서비스 전반에 대한 실무지식과 금융 IT·보안위협 발생 시 대응할 수 있는 직무 능력을 갖춘 전문가 양성을 위해 교육과정과 연계된 금융보안관리사 자격제도를 운영한다. 금융보안관리사 자격제도는 금융업권 IT·보안 실무경력이 3년 이상인 담당자를 모집 대상으로하며 자격을 취득하기 위해서는 금융보안원의 전문교육 이수 후 검정시험에 합격해야 한다.

  • 금융보안 최고책임자 과정 운영

금융권에 디지털 전환 바람이 거세게 불고 있는 가운데, 금융IT 혁신기술의 안정적 도입과 정착에 필요한 통합적 위험 관리자로서 정보보호최고책임자(CISO)의 역할이 부각되고 있다. 금융보안원은 우리나라 금융회사의 보안을 책임지는 리더들이 급변하는 대내·외 환경 변화에 능동적으로 대응할 수 있도록 CISO의 전략적 리더십 함양을 목표로 하는 '금융보안 최고책임자 과정'을 운영하고 있다. 해당 과정은 금융보안 관련 정책·기술 강의와 리더십 강화를 위한 특강, 비즈니스 전략 수립을 위한 전문교육 등으로 구성되어 있다. 동 과정을 통해 금융환경의 급격한 디지털 전환을 종합적으로 이해하고, 다각적이고 심층적인 정보보안 전략을 세우기 위한 역량을 제고할 수 있다.

참고자료

같이 보기


  질문.png 이 문서는 로고가 필요합니다.  

  검수요청.png검수요청.png 이 금융보안원 문서는 공공기관에 관한 글로서 검토가 필요합니다. 위키 문서는 누구든지 자유롭게 편집할 수 있습니다. [편집]을 눌러 문서 내용을 검토·수정해 주세요.