법제도/정책

금융보안원, 암호화폐 해킹 방식에 주목…은행 FDS 운영도 예의 주시

이상일
금융보안원 김영기 원장
금융보안원 김영기 원장

[디지털데일리 이상일기자] 금융보안원이 최근 암호화폐거래소와 은행 부정 로그인 시도 등 사이버공격을 주시하고 있다고 밝혔다. 다만 여러가지 제약요건을 고려할 때 금융보안원이 주도적으로 대응에 나서는 것은 한계가 있다고 덧붙였다.

금융보안원 김영기 원장이 취임 100일 맞아 금융보안원의 하반기 전략 등을 밝혔다. 금융보안원은 올해 설립 4년차에 접어들며 매우 중요한 성장기를 맞이하고 있는 상황이다. 금융보안원은 중장기 전략 수립 등을 통해 금융권 보안 역량 제고에 나선다는 계획이다.

17일 여의도에서 개최된 기자간담회에서 김영기 원장은 “금융보안원 본연의 역할인 안전한 금융보안 기반 확립에 역량을 집중하는 동시에 시장이 가장 필요로 하는 금융보안 수요를 적시에, 제대로 충족시키기 위해 시장과의 소통을 강화하는데 힘써왔다”며 “또한, 금융보안 전문가 육성을 위해서도 지속적으로 노력했다”고 밝혔다.

금융보안원은 금융회사에 대한 취약점 분석·평가, 침해사고대응훈련, 정보보호관리체계(ISMS) 인증 등 침해위협 예방·탐지·대응 전 단계에 걸친 보안 서비스를 제공하는 한편 최신 악성코드, 피싱유형 등을 분석해 새로운 유형의 피싱 탐지 기법을 개발 및 적용함으로써 올 상반기 약 256억원 상당의 국민의 재산을 보호하는 성과를 거뒀다.

또, 금융회사의 자율보안체계 안착 지원을 위해 6월 ‘스마트폰 전자금융서비스 보안가이드 전면 개정’과 ‘보안관제 수준진단 가이드 제작 및 배포’를 완료했다.

김 원장은 주요 금융회사 CEO 및 최고정보책임자(CISO) 면담을 통해 금융사와 정보보호의 중요성에 대한 공감대를 형성하고 유기적인 협력관계를 공고히 하는 한편 ‘금융보안 최고책임자 과정’ 운영 등을 통해 금융 현장과의 스킨십을 강화하기도 했다.

김 원장은 “취임 후 가장 주안점을 뒀던 것이 금융회사의 금융보안 거버넌스를 확립하는 것”이었다며 “20여개 금융사 CEO와 CISO 면담을 통해 정보보호 중요성 공감대를 형성했다”고 강조했다.

금융 보안 역량 강화를 위한 교육사업도 적극 추진했다. 금융보안 업무 수행을 위해 직급별로 요구되는 전문역량을 개발할 수 있도록 체계적이고 전문적인 교육을 실시했다. 또한 4차 산업혁명 기술 활용 연구 및 관련 T/F 운영을 통해 ▲인공지능을 활용한 보안관제기술 연구 ▲악성코드 분석 공동연구를 진행했다.

인공지능 보안관제기술 연구의 경우 오는 10월까지 5개월간 진행될 예정으로 금융보안원의 공격그룹 프로파일링 기술과 국민대학교의 인공지능 활용 악성코드 분석 기술을 연계한 공동기술연구를 통해 지능형 사이버공격 추적 모델을 개발할 계획이다. 또, 연구결과 도출된 인공지능 기술 적용가능 모델 중에서 업무 개선도 및 구현 용이성이 높은 모델을 선별해 기본 기능을 구현한 프로토타입 프로그램을 개발할 계획이다.

김 원장은 올 하반기 중점 추진계획으로 금융산업 디지털 혁신을 위한 정책지원을 강화해 나갈 계획이다. 이를 위해 ▲개별 금융회사 오픈API에 대한 보안지원 확대 ▲금융권 블록체인 기술 활용 지원 강화 ▲금융권 공동의 금융보안 레그테크 시스템 구축 ▲빅데이터 중개 플랫폼 운영 등 정책 지원 기능 강화 등을 꼽았다.

또 4년차에 접어든 금융보안원의 중기발전계획 수립을 통해 새로운 도약 기반도 마련할 계획이다.

금융보안원은 현재 4차 산업혁명 시대의 급격한 환경 변화 속에서 금융산업이 안정적으로 성장·발전할 수 있도록 금융보안 전문기관으로서 역할을 다하고 금융산업의 성장을 뒷받침하기 위한 중기발전계획을 마련 중이다.

김 원장은 “금융보안원은 금융보안 전 영역에 걸쳐 종합적인 전문 서비스를 제공하고 있으며, 앞으로도 금융과 기술의 발전에 따라 더욱더 많은 역할과 책임이 주어질 것”이라며 “앞으로도 금융보안 전문기관으로서의 역할을 충실히 수행해 금융보안원이 금융 산업의 신뢰 보호와 디지털 혁신을 지원하는 필수 인프라 제공기관으로서 역할을 확립해나가는 모습을 지켜봐달라”고 밝혔다.

다음은 기자간담회 일문일답

▲암호화폐 거래소 관련 금융소비자보호를 위한 금융보안원의 역할은.

-암호화폐 거래소가 사회적 이슈가 되고 있는데 암호화폐 자체가 제도화되지 않고 있어 우리가 적극적으로 역할을 하는 것은 한계가 있다. 다만 해킹 유형과 방식에 대해 관심을 기울이고 있고 정부의 정책이 거래소에 대해 바뀔 가능성이 있기 때문에 지속적으로 모니터링을 하고 있다. 현재 인터넷진흥원을 중심으로 대응하고 있는데 금융보안원이 나서서 적극적으로 대응하는 데는 제도적 한계가 있다. 시장 상황을 예의주시하고 있다.

▲FDS 관련한 장애 및 사고 등이 금융권에 일어나고 있는데 금보원의 시각은.
-최근 은행을 대상으로 로그인 부정시도가 있었는데 인터넷뱅킹은 우리의 보안관제 대상은 아니다. 다만 은행들이 선제적으로 대응할 부분이 없는지 관심을 가지고 있다. 각 은행별로 FDS시스템이 어떻게 차이가 있는지 등을 살펴보고 있다. FDS 공유시스템을 통해 부정 접속한 아이디, 패스워드 등을 공유하기도 했다. 추가로 금융권에서만 이러한 정보가 활용되는 것이 아니기 때문에 인터넷진흥원과도 정보 공유를 해 추가 피해를 막았다.

▲인공지능 보안관제의 실제 도입 시기는?

-보안관제데이터를 많이 쌓아왔다. 관제능력, 탐지능력을 고도화하기 위해 인공지능을 도입하고 1단계 사업을 마무리했다. 앞으로 실제 데이터를 가지고 테스트를 해 실효성이 입증되면 내년도부터 적용하는 방안을 생각하고 있다.

▲금융 클라우드 보안과 관련해 구체적인 금보원의 역할은?

-클라우드 이용확대와 관련해 시장의 관심이 큰 것으로 안다. 신용정보까지 포함하는 시스템도 클라우드 적용이 가능해지는데 우리도 보안과 관련해서 역할이 있을 것으로 본다. 금융사가 클라우드를 안전하게 사용하기 위해서 클라우드 사업자 선정기준, 보안관리체계 방안, 서비스 중단 시 대비한 금융사의 대응 전략등이 이슈가 될 것이다. 이러한 것이 TF에서 논의될 것이고 보안 부분에 대해선 우리가 역할을 하게 될 것이다. 클라우드 인증의 경우 금융사가 자율적으로 클라우드 업체를 선정할 것인지 인증 업체를 선택할 것인지 논의 중인데 공공클라우드처럼 인증제로 간다면 금보원이 상당한 역할을 하겠지만 TF논의를 지켜봐야 할 것 같다.

<이상일 기자>2401@ddaily.co.kr
이상일
2401@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널