2022 대학생 금융보안캠프 개최

마지막 업데이트: 2022년 2월 12일 | 0개 댓글
  • 네이버 블로그 공유하기
  • 네이버 밴드에 공유하기
  • 페이스북 공유하기
  • 트위터 공유하기
  • 카카오스토리 공유하기
2022 대학생 금융보안캠프 참가자들이 기념촬영하고 있다. [사진: 금융보안원]

금융 보안

경찰 10명이 도둑 1명을 못 막는다는 말이 있다. 연일 터지는 2022 대학생 금융보안캠프 개최 보안사고도 마찬가지다. 최첨단 보안 기술을 도입했지만 어디선가 취약점을 뚫고 들어오는 공격을 막기란 사실상 불가능하다. 게다가 최근 APT 공격 추세를 보면, 특정 대기업이나 공공기관만을 겨냥한 것이 아닌, 중소기업으로 옮겨가고 있다. 또한 과거에는 단순히 과시욕이나, 정치적인 혹은 금전적인 목적으로 공격했으나 이제는 목적도 다양해졌다. 이와 관련해 금융보안연구원 정보보안본부 성재모 본부장은 “어느 것을 먼저 보완해야 한다고 할 것 없이 사전 예방시스템 구축, 통제 모니터링, PC 및 서버의 변화 탐지 등 전방위적인 대책이 필요하고 숙련된 보안 전담인력의 지속적 확보가 중요하다”고 강조했다. 또한 성 본부장은 “전자금융의 신뢰성 보장을 위해서는 무엇보다 기업의 CEO가 ‘보안’을 기업의 사회적 책임의 일환으로 접근하는 인식의 변화가 필요하다”고 주장했다. 성 본부장은 오는 5월 8일 열리는 제 3회 파이낸스 IT 월드 2013 컨퍼런스에서 ‘스마트 금융 서비스의 보안 기술 동향 및 전망’이라는 주제로 스마트 금융을 위한 보안 기술을 소개하고 스마트 금융 보안 기술에 대한 전망을 공유할 예정이다. 다음은 성 본부장과의 일문일답이다. CIO 2022 대학생 금융보안캠프 개최 Korea(이하 CIO) : ‘스마트 금융 서비스의 보안 기술 동향 및 전망’이라는 주제로 발표할 예정이다. 주로 어떤 내용을 발표하나? 성재모 본부장(이하 성 본부장) : 스마트 금융 환경에서 어떤 부분을 고려해야 하는지에 대해서라고 보면 된다. 첫 번째, 스마트폰 뱅킹이다. 과거 PC 인터넷 뱅킹 가입자 증가 속도보다 스마트폰 뱅킹 가입자 증가 추세가 훨씬 더 빠르게 진행되고 있다. 현재 국내 스마트폰뱅킹 사용자는 2,500만 명 정도로 추산된다. PC뱅킹은 은행에 가지 않아도 PC만 있으면 언제 어디서나 은행 업무를 처리할.

FIT 2013 인터뷰 | 금융보안연구원 성재모 본부장 "기업의 사회적 책임으로 보안 대책 접근해야"

경찰 10명이 도둑 1명을 못 막는다는 말이 있다. 연일 터지는 보안사고도 마찬가지다. 최첨단 보안 기술을 도입했지만 어디선가 취약점을 뚫고 들어오는 공격을 막기란 사실상 불가능하다. 게다가 최근 APT 공격 추세를 보면, 2022 대학생 금융보안캠프 개최 특정 대기업이나 공공기관만을 겨냥한 것이 아닌, 중소기업으로 옮겨가고 있다. 또한 과거에는 단순히 과시욕이나, 정치적인 혹은 금전적인 목적으로 공격했으나 이제는 목적도 다양해졌다. 이와 관련해 금융보안연구원 정보보안본부 성재모 본부장은 “어느 것을 먼저 보완해야 한다고 할 것 없이 사전 예방시스템 구축, 통제 모니터링, PC 및 서버의 변화 탐지 등 전방위적인 대책이 필요하고 숙련된 보안 전담인력의 지속적 확보가 중요하다”고 강조했다. 또한 성 본부장은 “전자금융의 신뢰성 보장을 위해서는 무엇보다 기업의 CEO가 ‘보안’을 기업의 사회적 책임의 일환으로 접근하는 인식의 변화가 필요하다”고 주장했다. 성 본부장은 오는 5월 8일 열리는 제 3회 파이낸스 IT 월드 2013 컨퍼런스에서 ‘스마트 금융 서비스의 보안 기술 동향 및 전망’이라는 주제로 스마트 금융을 위한 보안 기술을 소개하고 스마트 금융 보안 기술에 대한 전망을 공유할 예정이다. 다음은 성 본부장과의 일문일답이다. CIO Korea(이하 CIO) : ‘스마트 금융 서비스의 보안 기술 동향 및 전망’이라는 주제로 발표할 예정이다. 주로 어떤 내용을 발표하나? 성재모 본부장(이하 성 본부장) : 스마트 금융 환경에서 어떤 부분을 고려해야 하는지에 대해서라고 보면 된다. 첫 번째, 스마트폰 뱅킹이다. 과거 PC 인터넷 뱅킹 가입자 증가 속도보다 스마트폰 뱅킹 가입자 증가 추세가 훨씬 더 빠르게 진행되고 있다. 현재 국내 스마트폰뱅킹 사용자는 2022 대학생 금융보안캠프 개최 2,500만 명 정도로 추산된다. PC뱅킹은 은행에 가지 않아도 PC만 있으면 언제 어디서나 은행 업무를 처리할.

인터뷰 | 금융보안연 장재환 팀장 “모바일 보안, 해외와 동일한 위협”

스마트폰을 포함한 모바일 디바이스 확산으로 모바일 금융이 전례없는 관심을 모으고 있다. 주요 금융기관들은 스마트폰 전용 모바일 앱을 내놓으며 이런 흐름에 적극 동참하고 있다. 하지만 새로운 금융 거래 환경인만큼 새로운 보안 위협에 대한 우려 또한 적지 않다. 금융보안연구원 u-금융연구팀 장재환 팀장으로부터 모바일 금융 관련 보안의 문제와 전망을 들어본다. 장재환 팀장은 차세대 전자금융환경에 대한 보안 위협 및 대응 방안을 연구하고 있으며, 주요 연구 분야는 모바일 뱅킹 및 모바일 오피스에 대한 보안강화 방안과 클라우드 컴퓨팅 기반에서의 전자금융위협 등이다. 참고로 금융보안연구원 장재환 팀장은 오는 5월 12일 개최되는 한국 IDG 파이낸스 IT 월드 2011 컨퍼런스에 연사로 참여해 “모바일 전자금융 보안 이슈와 향후 전망”이란 주제로 발표할 예정이다. 이번 행사는 “Move on to Smart Finance"란 주제로 개최되는 스탠다드차타드 은행을 비롯한 국내외 금융 IT 리더들이 대거 참석해 IT 보안 정책부터 스마트 금융을 위한 IT 전략까지 금융업계 핫이슈를 점검할 예정이다. 최근 금융권 보안의 최대 이슈는 무엇이라고 생각하는가? 작년에 이어 올해에도 IT 전체의 화두가 되고 있는 스마트폰이나 스마트 Tv 2022 대학생 금융보안캠프 개최 등의 스마트 디바이스에 대한 보안 위협과 대응 방안이 최대 이슈가 될 것으로 예상된다. 이와 함께 고도화된 보안위협(APT)과 모바일 오피스 확산에 따른 위협, 소셜 네트워크를 이용한 피싱, 해킹 역시 중요한 이슈라고 볼 수 있다 모바일 금융의 발전과 확산이 가속화되고 있는데, 이에 대응하는 보안 기술의 발전 속도는 어떤가? 현재 모바일 기기를 활용한 전자금융거래의 보안에 대해서는 기본적으로 PC 수준으로 적용해 보안을 강화하고자 했으며, 악성코드 탐지, 구간 암호화, 가상 키보드 적용, 공인인증 프로그램 등.

인터뷰 | 금융보안연 장재환 팀장 “모바일 보안, 해외와 동일한 위협”

스마트폰을 포함한 모바일 디바이스 확산으로 모바일 금융이 전례없는 관심을 모으고 있다. 주요 금융기관들은 스마트폰 전용 모바일 앱을 내놓으며 이런 흐름에 적극 동참하고 있다. 하지만 새로운 금융 거래 환경인만큼 새로운 보안 위협에 대한 우려 또한 적지 않다. 금융보안연구원 u-금융연구팀 장재환 팀장으로부터 모바일 금융 관련 보안의 문제와 전망을 들어본다. 장재환 팀장은 차세대 전자금융환경에 대한 보안 위협 및 대응 방안을 연구하고 있으며, 주요 연구 분야는 모바일 뱅킹 및 모바일 오피스에 대한 보안강화 방안과 클라우드 컴퓨팅 기반에서의 전자금융위협 등이다. 참고로 금융보안연구원 장재환 팀장은 오는 5월 12일 개최되는 한국 IDG 파이낸스 IT 월드 2011 컨퍼런스에 연사로 참여해 “모바일 전자금융 보안 이슈와 향후 전망”이란 주제로 발표할 예정이다. 이번 행사는 “Move on to Smart Finance"란 주제로 개최되는 스탠다드차타드 은행을 비롯한 국내외 금융 IT 리더들이 대거 참석해 IT 보안 정책부터 스마트 금융을 위한 IT 전략까지 금융업계 핫이슈를 점검할 예정이다. 최근 2022 대학생 금융보안캠프 개최 금융권 보안의 최대 이슈는 무엇이라고 생각하는가? 작년에 이어 올해에도 IT 전체의 화두가 되고 있는 스마트폰이나 스마트 Tv 등의 스마트 디바이스에 대한 보안 위협과 대응 방안이 최대 이슈가 될 것으로 예상된다. 이와 함께 고도화된 보안위협(APT)과 모바일 오피스 확산에 따른 위협, 소셜 네트워크를 이용한 피싱, 해킹 역시 중요한 이슈라고 볼 수 있다 모바일 금융의 발전과 확산이 가속화되고 있는데, 이에 대응하는 보안 기술의 발전 속도는 어떤가? 현재 모바일 기기를 활용한 전자금융거래의 보안에 대해서는 기본적으로 PC 수준으로 적용해 보안을 강화하고자 했으며, 악성코드 탐지, 구간 암호화, 가상 키보드 적용, 공인인증 프로그램 등.

금융 보안

2022 대학생 금융보안캠프 참가자들이 기념촬영하고 있다. [사진: 금융보안원]

2022 대학생 금융보안캠프 참가자들이 기념촬영하고 있다. [사진: 금융보안원]

[디지털투데이 강진규 기자] 금융보안원은 정부의 사이버보안 인재 양성 정책에 맞춰 금융보안 분야 미래인재 발굴·양성을 위한 2022 대학생 금융보안캠프를 개최했다고 15일 밝혔다.

올해 행사는 코로나19 상황에 따라 참가자의 안전을 고려해 온·오프믹스 형태로 진행됐다.

2022 대학생 금융보안캠프는 8월 8일~11일 온라인으로 열렸고 12일 오프라인 행사가 진행됐다. 이번 행사에는 31개 대학, 85명이 참가했다. 금융보안원은 2017년부터 매년 대학(원)생 대상으로 금융보안캠프를 운영하고 있으며 그동안 총 458명이 수료했다.

올해 금융보안캠프는 ▲정보보안 세미나(온라인) ▲취업 설명회 ▲아이디어 경연 등의 프로그램으로 구성해 금융업권 보안 전문가가 되기 위한 생생한 정보와 경험을 제공했다. 최신 정보보호 이슈 및 동향 등 각 분야 금융보안 전문가들의 지식·경험을 공유할 수 있는 온라인 세미나 및 퀴즈가 진행됐다. 또 금융 분야 각 업권별 정보보호 멘토가 금융권 주요 업무와 IT·금융업 취업에 필요한 필수 역량 및 노하우를 전수했다.

그리고 안전한 디지털 금융혁신 및 정보보호 강화를 위한 아이디어 경연을 실시하고, 경연(예선·본선) 과정에 보안 전문가인 금융보안원 직원들이 멘토로 참여했다.

금융보안 전 분야를 대상으로 한 아이디어 경연에서는 정보주체의 동의 여부에 따라 분산신원인증(DID) 또는 영지식 증명을 택해 데이터를 자유롭게 거래할 수 있는 플랫폼을 제안한 DID와 영지식 증명을 활용한 정보주체 권리보장 마이데이터 거래 플랫폼 아이디어가 최우수상 수상작으로 선정됐다.

김철웅 금융보안원 원장은 “디지털 전환 가속화에 따라 사이버보안 인력 수요가 나날이 증가하는 가운데 대학생 금융보안캠프는 사이버보안 인재 양성의 디딤돌 역할을 한다는 점에서 의의가 크다”며 “앞으로도 대학생 금융보안캠프를 통해 국내 IT인재의 잠재력을 조기 발굴하고 미래의 우수한 보안 인력이 확보될 수 있도록 다양하고 유익한 프로그램을 지속적으로 개발·제공할 것”이라고 말했다.

금융보안원 “데이터 주권 확보의 핵심은 보안…안전한 마이데이터 사업 정착 돕겠다”

[IT동아 김동진 기자] 올해 1월부터 마이데이터(본인신용정보관리업) 사업이 전면 시행됐다. 마이데이터 사업은 소비자 개인이 자신의 금융데이터에 관한 제공 범위나 접근 승인 여부 등을 직접 결정해 데이터 주권을 확립하겠다는 목적으로 추진됐다. 이에 따라 소비자가 동의할 경우, 여러 금융사에 흩어진 개인 금융정보를 통합, 2022 대학생 금융보안캠프 개최 분석해 다양한 맞춤형 서비스를 제공할 수 있게 됐다.

예컨대 정유사업자와 통신, 유통사업자가 보유한 데이터를 한곳에 모아 특정 차종의 소유주가 2022 대학생 금융보안캠프 개최 2022 대학생 금융보안캠프 개최 선호하는 스마트폰은 무엇이고, 백화점에서의 소비성향은 어떠한지를 분석해 맞춤형 금융 서비스를 제시하는 방식이다. 사업자 입장에서는 적재적소에 마케팅을 전개할 수 있어, 마케팅 비용 대비 효율을 높일 수 있다. 이러한 이해관계가 일치해 이종산업 간 데이터 동맹이 활발히 추진되고 있지만, 데이터 주체인 소비자는 방대한 2022 대학생 금융보안캠프 개최 데이터가 한곳에 모이는 만큼, 안전하게 내 정보가 지켜질지 우려를 표한다.

이같은 우려를 불식시키기 위해 마이데이터 보안을 전담하는 기관이 있다. 금융보안원이다. 박진석 금융보안원 디지털전략본부장은 마이데이터 전면 시행에 대비해 금융보안원이 전개한 다양한 보안강화 활동을 소개하며, 앞으로도 빈틈없는 보안을 유지하겠다고 강조했다.

박진석 금융보안원 디지털전략본부장

박진석 금융보안원 디지털전략본부장

―마이데이터 전면 시행 전 보안 강화를 위해 추진한 사항들을 소개해달라.

마이데이터 전면 시행에 앞서 안전한 방식으로 소비자가 개인신용정보를 전송할 수 있도록 관련 규격과 절차를 담은 ‘표준 API 규격’을 개발해 지난해 9월 배포했다.

기존에는 소비자의 인증 관련 정보를 미리 받아 쌓아놓고, 고객의 요청이 있을 때 사업자가 접근해 인증하는 방식이었기 때문에 유출 가능성이 컸다. 이를 개선해 서비스 개발 단계부터 금융보안원이 제시한 표준 규격을 사용하고, 개인의 요청이 있으면 정보제공자가 정보토큰을 발급하는 방식으로 보안을 강화했다. 해당 토큰에는 유효기간이 부여되기 때문에 사용 후 특정 시간이 지나면 사라져 데이터 유출 위험을 줄일 수 있다.

마이데이터 사업자가 보안 취약점을 개선했는지 여부도 점검하고 있다. 지난해 2022 대학생 금융보안캠프 개최 금융당국은 신용정보업 감독규정을 개정해 마이데이터 사업자에게 연 1회 보안 취약점을 점검하도록 의무를 부여했다. 이에 따라 보안전문 기업 등으로 구성한 27개 외부 평가전문기관이 점검에 나서 취약점을 발견하면 시정하도록 권고하고, 그 결과를 금융보안원이 확인한다.

이 규정에 따라 지난해 40개 마이데이터 사업자가 2022 대학생 금융보안캠프 개최 취약점 점검을 마쳤으며, 1월 사업 전면 시행 과정에서 서비스를 제공한 마이데이터 사업자 34개사도 점검을 완료했다.

이 밖에도 금융보안원은 지난 1월부터 2월까지 마이데이터 사업 전면 시행에 따라, 혹시 모를 해킹과 정보유출 상황에 대비해 신속 대응지원체계를 24시간 가동한 바 있다.

금융보안원 마이데이터 신속 대응지원체계 조직도. 출처=금융보안원

금융보안원 마이데이터 신속 대응지원체계 조직도. 출처=금융보안원

마이데이터 사업자를 대상으로 해킹 시도 모니터링과 취약점 분석 및 침해사고 대응 등의 내용을 담은 보안관제 서비스도 제공하고 있다.

―마이데이터 사업의 기반이 된 데이터 3법이 2020년 8월 시행됐다. 이후 금융보안원은 데이터전문기관으로 선정되기도 했는데, 어떤 역할을 하고 있나?

데이터전문기관은 기업 간 데이터 결합을 안전하고 효율적으로 지원하는 역할을 수행한다. 금융보안원은 2020년 8월, 데이터전문기관으로 선정된 이후 약 80건의 데이터결합을 지원했다.

지금까지 적게는 양자 간 데이터 결합부터 많게는 11자 간 데이터 결합을 지원했으며, 결합에 참여했던 기업이 재참여하는 비율도 높다. 최근에는 마이데이터 시행으로 은행과 보험, 핀테크, 유통, 통신, 공공 등 다양한 업권에서 데이터 결합을 신청하고 있다.

이종산업 간 데이터를 주고받는 과정에서 유출 또는 재식별로 인한 보안사고를 방지하기 위해, 결합 관련 사항을 기록해 관리하고 주기적으로 취약점을 분석, 평가하고 있다.

―이종산업 간 안전한 데이터 거래를 위해 금융데이터거래소도 직접 운영하고 있다고?

그렇다. 금융데이터거래소는 2018년 3월, 금융위원회가 제시한 금융분야 데이터 활용 및 정보보호 종합방안에 따라, 안전한 데이터 거래를 위해 금융보안원이 직접 구축해 운영하고 있다.

현재 106개 기업이 참여해 1174건의 데이터 상품을 거래했으며, 누적 거래액은 약 11억원이다.

국내 데이터 유통시장이 이제 막 형성되고 있는 초기 단계이기 때문에 거래소 활성화에 어려움이 있다.

따라서 올해 공급자와 수요자 간 매칭 기능을 강화하고, 금융부문 데이터 활용 사례를 적극 발굴해 공유할 예정이다. 금융데이터를 활용하는 방법에 대한 교육도 강화할 계획이다.

박진석 금융보안원 디지털전략본부장

박진석 금융보안원 디지털전략본부장

―올해 금융보안원의 중점 추진사항은 무엇인가

마이데이터 사업이 성공적으로 안착할 수 있도록 오는 9월, 마이데이터 통합인증 중계시스템을 운영할 예정이다.

해당 시스템이 본격 운영되면, 모든 연동 대상 기관(정보제공자, 중계기관, 인증기관)은 통합인증 중계시스템에 한 번만 연동하면 지속해서 이용할 수 있다.

이에 따라 정보제공자 또는 중계기관이 모든 인증기관과 개별적으로 연동하지 않아도 되기 때문에 연동, 관리 비용을 대폭 절감할 수 있을 것이다.

또 다양한 인증기관의 신규 인증수단 도입이 편리해지고, 소비자의 인증수단 선택권 확대와 이용 편의성 제고도 기대된다.

앞으로도 금융소비자가 보안이 확보된 상태에서 안전하고 편리하게 마이데이터 서비스를 이용할 수 있도록 전담기관으로서 다양한 지원책을 발굴하겠다.

금융 보안

잠깐! 현재 Internet Explorer 8이하 버전을 이용중이십니다. 최신 브라우저(Browser) 사용을 권장드립니다!

  • 길민권 기자
  • 승인 2022.08.03 13:18

금융보안원(원장 김철웅)은 사이버 보안 취약점을 선제적으로 발굴·제거해 금융소비자 보호와 금융서비스 안전성을 강화하기 위한 2022년 금융권 버그바운티(Bug Bounty)를 실시한다고 밝혔다. 금융보안원은 2019년부터 현재까지 운영중이다.

이번에 신고대상도 확대됐다. 인터넷뱅킹 보안 프로그램 외에도 11개 금융회사의 전자금융 관련 모바일 앱을 취약점 신고 대상으로 확대한 것이다.

은행·금융투자·보험·전자금융 권역의 ▲케이뱅크 ▲카카오뱅크 ▲한화손해보험 ▲메트라이프생명보험 ▲흥국화재해상보험 ▲DGB생명보험 ▲네이버파이낸셜 등 11개 금융회사가 금융권 버그바운티에 참여할 예정이다.

또 Non-ActiveX 소프트웨어 외 다수 금융회사가 사용하는 민간 소프트웨어에 대해서도 신고 대상에 포함해 대상을 다방면으로 확대했다.

포상은 신고된 취약점은 금융소비자 피해 가능성 등을 평가해 등급에 따라 최대 1천만원의 포상금을 지급한다.

올해부터는 우수 취약점 신고자에 대해 포상금뿐만 아니라 금융보안원 입사지원 시 우대도 제공할 계획이다.

참가자가 금융보안원에 신고한 주요 보안 취약점은 금융회사 또는 소프트웨어 개발사에 신속하게 공유해 보안 패치, 업데이트 개발을 지원할 계획이다.

금융보안원 김철웅 원장은 “디지털 건전성(Digital Soundness)을 유지하기 위해서는 사전에 보안 취약점을 식별하고, 제거하는 것이 매우 중요하다”면서 “지속적으로 금융권 버그바운티 신고대상과 참여기관을 확대해 나감으로써 화이트해커 등 역량있는 보안전문가들이 적극적으로 참여할 수 있도록 하겠다”고 밝혔다.

0 개 댓글

답장을 남겨주세요