금융보안 레그테크·빅데이터 중개 플랫폼 구축…AI 보안관제 기술 개발
– ‘취임 100일’ 김영기 금융보안원장 “금융산업 디지털 혁신 지원, 금융보안 전문기관 역할 확립”
금융보안원이 ‘금융보안 레그테크(RegTech)’ 시스템을 구축, 연내 가동해 금융사들이 보안규제 준수 비용을 절감하고 급변하는 규제변화에 신속하게 대응할 수 있도록 지원한다.
금융 분야에서 빅데이터를 안전하게 활용할 수 있도록 ‘빅데이터 중개 플랫폼’도 구축하고, 블록체인 인증 상호연동 표준안을 마련해 시범 구축하기로 했다.
금융산업 디지털 혁신을 지원하기 위해 추진해온 오픈 애플리케이션프로그래밍인터페이스(API) 보안 지원을 확대하고, 블록체인 기술 활용 지원도 강화한다.
사이버위협 탐지 강화를 목표로 현재 개발·테스트 중인 인공지능(AI) 보안관제 기술 연구에 박차를 가하는 한편, 사이버 위협정보공유 시스템도 자동화를 지원하는 방식으로 고도화한다.
김영기 금융보안원장은 17일 취임 100일을 맞아 개최한 기자간담회에서 “디지털 혁신이 금융산업의 핵심적 과제가 돼 있는 변혁의 시기에 3대 원장으로서 임기를 시작했다”고 운을 떼며 “금융보안 전문기관으로서 역할을 충실히 수행해 금융보안원이 금융산업의 신뢰 보호와 디지털 혁신을 지원하는 필수 인프라 제공기관으로서 역할을 확립해나가겠다”고 말하고, 이같이 밝혔다.
이날 김 원장이 밝힌 하반기 중점 추진과제는 ▲금융산업 디지털 혁신·정책 지원 ▲금융권 정보보호 수준 강화 ▲금융보안원 중기발전 계획 수립 ▲사회공헌 활동 강화다.
금융사 오픈API 보안 지원 확대, 블록체인 기술 활용 지원 강화
디지털 혁신 및 정책 지원 강화 일환으로 김 원장은 가장 먼저 “금융회사가 핀테크 기술을 활용해 혁신적이고 안전한 금융서비스를 제공할 수 있도록 기존 금융권 공동 오픈API뿐만 아니라 개별 금융회사 제공 오픈API에 대한 보안 지원을 확대하겠다”고 강조했다.
이미 금융권 개별 오픈API 보안지원 TF를 운영 중으로, 금융회사 개별 오픈API를 이용한 핀테크 서비스의 고객용 소프트웨어(모바일 앱이나 웹)에 대한 보안 취약점 점검, 핀테크 기업의 자체 보안 역량 강화에 필요한 점검 가이드 마련 등을 논의하고 있다.
또 지난해 9월부터 운영 중인 블록체인 테스트베드 인프라를 고도화하고, 올해 안에 블록체인 인증 상호연동 표준초안을 개발해 금융회사, 블록체인 전문기업과 함께 시범 적용할 예정이다.
블록체인 테스트베드는 블록체인 인프라가 없는 금융사에서 블록체인 기술을 활용한 서비스를 개발할 때 테스트 용도로 사용할 수 있는 플랫폼이다.
‘레그테크’로 금융사 보안규제 준수 부담 완화…데이터 활용과 보호 정책 지원
올 하반기 서비스를 시작할 레그테크 시스템은 규제와 기술의 합성어로 ICT기술을 활용해 컴플라이언스 업무를 자동화·효율화하는 기술이다. 금융감독원이 지난해 2월 금융회사 자율보안체계 확립방안의 하나로 언급한 이후 금융보안 레그테크 시스템 구축 계획과 추진방안을 마련해 올 3월부터 시스템 구축을 진행해 왔다.
김 원장은 “레그테크 시스템을 활용하면 그간 수작업으로 진행되던 각종 보안점검 및 보고서 업무가 자동화되고, 복잡한 보안규제 변화를 쉽고 빠르게 검색・확인할 수 있어 금융회사의 보안규제 준수 부담이 크게 완화될 것”이라고 기대했다.
금융보안원은 금융위원회가 지난 3월 발표한 ‘금융분야 데이터 활용 종합방안’과 5월 내놓은 ‘금융분야 개인정보보호 내실화 방안’에 따라 금융회사 정보활용·관리 실태 점검 및 지원 기능을 수행한다.
이를 위해 비식별(익명) 데이터 공급자와 수요자가 보유정보·필요정보를 상호 확인하고 거래할 수 있는 빅데이터 중개 플랫폼을 구축해 풍부한 데이터 인프라 및 유통시장 조성을 지원할 방침이다.
정보활용동의서 등급제, 금융권 정보활용·관리 실태 상시평가제 등 개인정보보호 내실화 관련 금융당국의 정책 과제도 지원한다.
금융 클라우드 이용 확대 대비 보안대책 마련
금융사가 비중요업무뿐 아니라 중요업무까지도 클라우드 이용할 수 있게 풀어주는 금융위 ‘금융권 클라우드 이용 확대 방안’이 발표됨에 따라 ‘금융권 클라우드 서비스 이용 가이드’ 개정 등 클라우드 보안대책을 마련하는데 있어 역할을 수행하겠다는 방침이다.
현재 금보원은 ‘금융권 클라우드 제도개선 TF’에 참여하고 있다.
김 원장은 “금융사가 클라우드를 이용하면서 생길 수 있는 보안 문제와 관련해 역할을 수행하게 될 것이다. 금융사가 클라우드를 안전하게 이용하기 위한 클라우드 사업자 선정 기준이나 체계적인 보안 방안, 서비스 중단 등 비상시 대응 방안 등에 대한 이슈가 TF에서 논의될 것”이라며 “금융 클라우드 인증제를 도입하게 되면 금보원이 역할을 하게 될 수 있지만, 이와 함께 금융사 자율적으로 이용할 수 있는 두가지 방향성을 제시하고 있는 상황에서 아직 결정된 것이 없어 진행 과정을 봐야 한다”고 말했다.
테라급 디도스 공격 방어 역량 향상, 사이버위협정보공유시스템 고도화
정보보호 수준 강화 측면에서는 금융권 디도스(DDoS) 공격 대응 역량 강화, 사이버 위협정보공유 시스템 자동화 등을 계획하고 있다.
글로벌 클라우드 보안업체와의 공조 대응 서비스와 더불어 비상대응센터의 기존 방어능력을 초과하는 대규모 공격 방어를 목표로 테라급 방어 시스템을 구축한다.
금보원과 금융사 간 사이버위협정보공유체계를 현재 단방향에서 양방향으로 개선하고, 자동화를 확보하기 위해 올해 시스템 구축과 시범테스트를 수행할 예정이다. 내년부터 본격적으로 금융사 시스템과 자동화 연동을 추진할 방침이다.
신기술을 이용한 사이버공격 지능화, 고도화에 대응하기 위해 AI를 활용한 보안관제기술 연구에도 박차를 가한다. 금보원은 지난 6월 AI 기반 연구용 침입탐지 모델을 개발, 테스트 데이터를 활용해 검증한 결과 위협정보를 90% 정확도로 식별하는 성과를 달성했다고 밝혔다.
김 원장은 “보안관제 탐지 능력을 높이기 위해 AI를 활용해 보안관제기술을 고도화하는 측면에서 테스트를 진행해 1단계 작업을 마무리하고 있다”라면서 “테스트 데이터만으로 활용했으나 앞으로 실데이터로 검증해 실효성이 입증되면 보안관제에 적용할 것을 검토하겠다”고 설명했다.
이밖에도 금보원은 금융보안 전문 자격제도를 신설해 오는 7월부터 10월까지 첫 금융보안관리사 과정을 운영한다. 실무형 금융보안 전문인력 양성을 위해 이를 매년 정례화하고, 금융당국과 협의해 금융사 IT경영 실태평가나 감독규정에서 제시하는 IT 보안 인력 검증 지표로 활용할 수 있도록 추진하겠다는 의지도 밝혔다.
아울러 김 원장은 “4차 산업혁명 시대의 급격한 환경 변화 속에서 금융산업이 안정적으로 성장·발전할 수 있도록 중기발전계획을 마련 중”이라며 “시장의 수요 충족과 금융보안 정책 지원 역량 강화로 이어질 수 있는 발전방향과 전략과제 도출에 중점을 두겠다”고 말했다.
글. 바이라인네트워크
<이유지 기자>yjlee@byline.network
