금융보안원 - 2024년 디지털금융 및 사이버보안 이슈 정리

참고자료

[보도자료] 금융보안원이 전망하는 2024년 디지털금융 및 사이버보안 이슈(23.11.2.)

금융보안원

금융보안원이 전망하는 2024년 디지털금융 및 사이버보안 이슈 기획부 2023-11-01

www.fsec.or.kr

내용 : 금융회사 디지털금융･보안업무 종사자, 글로벌 연구기관, 산･학계 전문가 등 약 300여명의 의견을 수렴 확보한 이슈 9가지

1. 자율보안체계 전환

과거 정보보안 규제는 [전자금융감독규정]에 열거된 “규칙”을 이행했는지를 위주로 수행됨. 그러나 이는 상황에 따른 유연한 대응을 어렵게 하고 오히려 규정상 의무만 다하면 면책된다는 인식으로 인해 금융회사의 소극적 대응을 야기한다는 지적이 있었음 .이에, 금융위원회는 금융보안규제를 규칙이 아닌 “목표·원칙” 중심으로 합리화하여 금융회사의 자율적 판단영역을 확대하고 적극적 보안투자를 이끌어 내기 위해 개정안을 마련함.

현행 감독규정 293개 → 166개로 감소
미시적, 세부적 사항은 삭제. 금융보안 핵심은 현행 유지
정보보호를 ‘정보보호부’ → ‘전사의 업무’로 확장하기 위한 의도

(참고자료 : 전자금융감독규정 개정안의 주요내용 및 시사점(24.3.11) )

2. 사이버 복원력 필요

IT복잡성 등으로 인해 금융보안 사고를 원천 차단하기에는 한계가 있음. 따라서, 사고 발생 시 신속한 대응을 강조하는 ‘사이버 복원력’의 설계 및 운영이 필요할 전망

사이버 복원력이란? : 사이버 공격으로부터 전자 데이터와 시스템을 보호하고, 공격이 성공할 경우 신속하게 비즈니스 운영을 재개할 수 있는 능력. 즉, 조직의 기반 시설, 데이터, 애플리케이션 등 IT 시스템에 어떤 이상이 생겨도 원래의 서비스를 복구해 유지할 수 있도록 사전에 준비된 상태. (참고자료 : 일상 위협 '디지털재난'…사이버 복원력이 핵심(23.6.27) )
“카카오 데이터센터 화재로 인해 ‘카카오’ 먹통 사태” 와 유사하게 DDos와 같은 사이버공격으로 시스템 불능상태가 되었을 때, 백업 시스템으로 전환하는 역량 강화를 말하는 것으로 보임 ( 개인적인 생각 )

3. 클라우드 마이그레이션

정부의 규제샌드박스 정책 등으로 금융권에 SaaS 형태의 S/W이용이 확대될 것이며, 이로인한 잠재적인 보안 사각지대가발생되지 않도록 철저한 대응이 필요.

규제샌드박스 : 금융 당국이 금융산업 발전을 위해 기존의 규제를 한시적으로 완화하는 정책
최근 보험사들이 마이크로소프트(MS)의 SaaS(서비스형 소프트웨어)를 내부 업무 시스템에 도입. SaaS는 인터넷이 연결된 상태에서 소프트웨어를 구독해 쓰는 서비스(ex. MS365, 팀즈, 코파일럿) (참고자료 : “디지털 전환 속도 내자”… SaaS 도입하는 보험사(24.2.2.) )
CASB(Cloud Access Service Broker) : SaaS 영역의 보안 취약점을 해결하기 위한 솔루션. MS365를 제공하는 마이크로소프트에서 CASB 솔루션 제공함. 인증, 자격 증명 매핑, 암호화, 맬웨어 감지 등 다양한 보안 기능 제공 (참고자료 : 마이크로소프트 CASB 설명 페이지)
CASB 작동 방식 설명 : LG CNS 블로그 문서

4. 공격채널의 다양화, 영역을 넘나드는 하이브리드 위협 고조

온·오프라인 연계 등 영역을 넘나드는 하이브리드 위협이 확대될 것이며, 공격도구에 AI 등 新기술까지 접목되고 있는 만큼 공격대응 역량 강화 및 국가 간 긴밀한 연대와 민관 협력의 중요성이 강조.

웜GPT : 피싱 메일 생성과 배포를 돕는 사이버 범죄용 인공지능(AI) 챗봇. 기존 모델의 자체적인 안전장치인 '가드 레일'을 제거, 사용자의 악의적인 요청에 잘 대응할 수 있게 만들어짐. (참고기사 : 피싱 메일 생성·배포하는 '웜GPT' 등장..."사이버 범죄에 활용" (23.7.24) )
대응방안 : 이메일 보안관제 서비스 도입. 악성메일 모니터링, 악성 공격 패턴 분석, 위협 정보등을 제공받을 수 있음. (참고기사 : 해커는 '웜GPT'로 당신의 이메일 노린다…SK쉴더스가 제안한 대응 키워드 '보안관제'(23.12.5.) )

5. S/W 공급망 공격 성행, SBOM의 중요성이 강조(오픈소스 관련)

금융권에 오픈소스 등을 활용한 S/W 개발이 일상화되면서 S/W 공급망 공격을 예방하기 위한 대책으로 SBOM활용이본격화될 전망

SBOM(Software Bill of Materials) (출처 : 오픈소스 취약점 노린 SW 공급망 보안 위협, ‘SBOM’이 해결사 될까(23.1.31) )
- 설명 : SBOM은 SW를 구성하고 있는 컴포넌트에 대한 메타정보를 목록화한 것이라고 간략히 설명할 수 있다. 좀 더 구체적으로는 SW 제품 개발을 위해 활용된 라이브러리, 프레임워크 및 기타 구성요소들에 대한 세부 목록과 함께 각 요소들이 어떤 관계를 갖고 있는지를 기술한 문서로, 기업 및 조직이 SW 제품의 취약성을 신속하게 파악하고 위험을 최소화할 수 있도록 도울 수 있다. 즉 SBOM을 활용하면 SW에 사용되는 모든 구성요소를 쉽게 식별하고 추적할 수 있으므로 보안 취약점을 빠르게 찾아내고 해결할 수 있다는 것이다.
- SBOM은 소프트웨어에 대한 메타정보들을 담은 문서를 말하며, 소프트웨어로부터 SBOM을 추출하는 솔루션들이 존재함.

6. 피싱 범죄, '내 얼굴과 목소리까지도?' 딥페이크 기술 악용

개인의 목소리, 얼굴 등을 진짜인 것 처럼 제작하는 딥페이크(Deepfake) 악용 금융사기 범죄가 현실화될 것으로 보여, 금융사기 예방을 위한 정책 마련은 물론 금융소비자 홍보 강화 등도필요

7. 모든 것을 담는다, 디지털지갑 경쟁 가속화

자체 인증서를 기반으로 본인확인, 전자문서 중계 등을 모바일앱에서 제공하는 디지털지갑 사업 경쟁이 금융권에 본격화될것이며, 신원도용 등을 방지하기 위한 보안성 확보 노력이 강화될 전망

8. AI의 안전성과 신뢰성 확보, 책임감 있는 AI 구현

AI 기반 초개인화(Hyper-Personalization) 금융서비스의 확산과 더불어 AI의 신뢰성과 투명성을 전제하는 책임감 있는 AI (Responsible AI)을 위한 노력이 동반될 필요

9. 사물과 디지털금융의 만남, 금융 사물인터넷(FoT)

웨어러블 기기 결제 등 금융권 사물인터넷(FoT, Finance of Things) 확산과 더불어 새로운 보안위협이 등장할 것이므로 서비스 설계부터 보안성을 고려(Security by Design)하는 등 사고 발생 위험에 대비

Waltz for programming