[김영기 금융보안원장] “모바일앱 테마점검 추가…2선보안 공고화”

[한국금융신문 정선은 기자] “올해는 ‘금융앱(APP) 정보보호 강화’를 주제로 업권별 테마식 점검을 추가 실시해서 모바일 전자금융서비스 보안성 확보에 최선을 다하고 있다.”

김영기닫기김영기기사 모아보기 금융보안원장(사진)은 29일 한국금융신문과의 인터뷰에서 “금융회사 요청으로 전자금융거래용 모바일 앱에 대한 보안 취약점 분석·평가를 수행하고 있다”며 이같이 전했다.

임기 3년 중 이제 100일을 보낸 김영기 원장은 “금융보안이 금융 디지털 혁신의 성공여부를 결정짓는 관건”이라고 강조하며 금융보안 수요 확대에 대응해 나가고 있다.

◇ 스마트폰뱅킹 시대 맞춤 보안

금융보안원은 올 6월 ‘스마트폰 전자금융서비스 보안가이드’를 전면 개정했다. 생체인증 확산, 모바일 간편결제 증가 등 변화한 모바일 금융거래 환경을 반영하기 위해서다.

개정 가이드라인에 계획 → 분석·설계→ 구현·검증 → 운영·관리 등 서비스 생명주기에 맞춰 금융회사가 준수해야 할 보안관리 사항을 구체적으로 정의했다.

금융회사는 가이드라인 내용에 따라 앱분석·설계·개발·테스트 등을 실시하고, 실제 서비스 제공 전에는 보안 취약점을 제거하기 위한 취약점 분석·평가를 수행하게 된다. 또 수시로 앱 위·변조나 가짜(Fake) 앱 생성 여부 등 해킹 시도를 모니터링하고 있다.

새로운 공격이 발생할 경우 금융회사와 금융보안원이 공동 대응을 하고 있다. 김영기 원장은 “신(新) IT기술이 적용되면서 모바일 금융거래 보안 환경도 빠르게 변화할 것으로 예상되고 있다”며 “금융권이 이러한 환경변화에 적시 대응할 수 있도록 금융회사 의견을 수렴해 관련 가이드라인 제·개정 작업을 지속적으로 추진할 계획”이라고 전했다.

기존 보안점검 외에 집중 테마점검 주제로 모바일 금융앱 취약점 분석이 선정된 것도 새로운 보안 수요에 대응하는 것이다.

일단 전자금융거래용 모바일 앱을 이용할 때 인증이나 이체 관련된 오류가 발생하는 경우는 대부분 일부 프로그램 상의 오류로 파악되고 있어서 보안상의 문제로 직결되는 경우는 드물다는 설명이다.

김영기 원장은 기존 인증방식보다 이용 편의성이 높아 많이 사용되고 있는 생체인증도 최근에는 스마트폰의 보안영역(TEE·Trusted Execution Environment)을 이용해 안전하게 처리 가능하다고 했다.

물론 생체인증에 이용되는 생체정보는 한번 유출되면 비밀번호와는 달리 재발급하기가 어렵기 때문에 생체정보가 유출되지 않도록 안전하게 보관하고 관리해야 한다고 짚었다.

김영기 원장은 “기술 발전 속도도 빠르고 보안만으로 모든게 완벽할 수는 없지만 접근기법이나 보안수단이 계속 나올 것”이라며 “특히 모바일 쪽은 계속 커나가는 분야여서 취약점 분석을 위한 내부 기술 연구와 전문성 교류·전파도 해나가고 있다”고 말했다.

은행권에 확산되고 있는 인공지능(AI) 챗봇(chat bot)이 고려해야 될 보안 위협도 짚었다. 자기 스스로 학습해서 대답하다 보면 금융소비자와 대화하는 중에 예상치 못하는 개인정보나 신용정보들이 나갈 수 있고, 민감정보도 의도치 않게 유출될 수 있기 때문이다.

또 해커가 인공지능(AI)에게 시스템 공격이나 개인정보 유출을 유도하더라도 이것을 정상요청으로 착각해 도와주는 문제도 발생할 수 있다.

김영기 원장은 “현재까지 AI 챗봇이 개인·신용정보를 적극 활용하지는 않고 있기 때문에 위험수준이 높지는 않다”면서도 “향후 AI 챗봇이 개인·신용정보를 활용한 다양한 서비스를 제공할 수 있으므로 금융보안 AI 기술연구 등을 통해 관련 대책을 검토하고 있다”고 전했다.

◇ AI 관제 기술 고도화 추진

금융보안원은 금융권 통합보안 관제에서 국가정보원(국가사이버안전센터), 개별 금융회사 자체 보안관제 사이 2선 보안을 맡고 탐지 기술을 고도화하고 있다.

금융보안 탐지 기술을 제고할 4차 산업혁명 기술 연구도 활발하게 진행되고 있다. 금융보안원은 올 6월 보안관제 기술 연구로 AI 기반의 연구용 침입 탐지 모델을 개발했다. 테스트 데이터를 활용해 검증한 결과 위협정보를 90% 수준의 정확도로 식별하는 성과를 달성했다고 설명했다.

김영기 원장은 “향후 실데이터를 이용해 정확도를 높이고 기능을 고도화해서 AI 기반 보안관제 기술 분야에서 선도적인 역할을 수행할 것으로 기대하고 있다”며 “내년에 보안탐지 시스템에 AI 기반 탐지 규칙(rule)을 추가 적용해 볼 계획”이라고 말했다.

금융보안원의 공격그룹 프로파일링 기술과 대학의 AI 활용 악성코드 분석 기술을 연계한 공동기술 연구로 지능형 사이버공격 추적 모델도 개발하고 있다.

디지털 혁신 과정에서 발생할 수 있는 새로운 보안 위협에 대응하기 위해 금융보안원과 금융회사 간 사이버 위협정보 공유 시스템을 자동화하는 방안도 추진하고 있다.

각 기관이 수집·분석한 정보를 양방향·실시간으로 공유하는 것이다. 현재는 금융회사 담당자가 포털에 직접 접속해서 해당 정보를 조회해야 하므로 수동적이다.

자동화 시스템 연동에 필요한 전용 API(응용프로그램 인터페이스)를 제공할 방침이다. 시스템 연동이 불가능한 금융회사의 경우 기존의 수동 공유 방식을 유지한다.

김영기 원장은 “올해 시스템 구축과 일부 금융사 시범테스트를 거쳐 내년부터 금융회사 시스템과 사이버 위협정보공유 자동화를 추진할 것”이라고 말했다.

◇ 금융당국 혁신정책 지원

김영기 원장은 금융보안원이 신기술 도입·적용과 관련 금융당국과 금융회사 상호간 소통과 연계를 견인하는 “정책허브(Hub)” 역할을 수행하고 있다고 설명했다.

일례로 금융당국이 최근 발표한 ‘금융분야 클라우드 이용 확대방안’이 있다. 금융보안원은 해외 클라우드 규제나 이용사례는 물론 금융현장의 목소리 등을 금융당국에 전달해 당국의 정책 개발을 지원했다.

금융권 클라우드 이용 확대에 따른 보안성 확보 방안은 주요 이슈로 꼽혔다. 금융당국은 클라우드 서비스 제공시 기준을 가이드로 마련하고 금융회사가 이를 자율적으로 준수토록 통제하는 방식, 공공 분야처럼 금융권도 클라우드 사업자에 대한 보안 인증제를 도입하는 방식을 제안했다.

김영기 원장은 “금융보안원을 비롯 금융회사, 관련 분야 전문가 등이 참여하는 ‘금융권 클라우드 제도개선 태스크포스(TF)’ 논의를 통해 최적의 방안이 도출될 것으로 본다”고 말했다.

또 다른 이슈로는 금융당국의 핀테크 혁신 활성화 정책을 지원하는 금융권 개별 오픈API 보안 지원 방안이 있다. 금융보안원은 개별 오픈API를 구축했거나 예정인 금융회사 등 총 15개 기관과 함께 하는 TF를 오는 8월까지 가동한다.

현재 TF에서는 금융회사 개별 오픈API를 이용한 핀테크 서비스의 고객 모바일 앱이나 웹에 대한 보안 취약점 점검, 핀테크 기업의 자체 보안 역량 강화에 필요한 점검 가이드 마련 등을 논의하고 있다. 김영기 원장은 “금융당국과 금융회사, 핀테크 업계 등과 협의를 거쳐 올해 4분기부터 개별 오픈API에 대한 지원 방안을 시행할 예정이다”고 말했다.

금융보안원은 금융분야 개인정보보호 전문기관이자 비식별 조치 지원 전문기관으로서 하반기에 ‘빅데이터 중개 플랫폼’도 구축하고 운영해 나갈 방침이다.

김영기 원장은 “금융당국의 금융권 정보 활용·관리 실태 상시평가제, 개인정보 활용 동의서 등급제 등 개인 정보보호 및 정보보안 정책을 적극 지원해 나갈 것”이라고 말했다.

금융보안원은 지난해 9월부터 구축해 운영하고 있는 블록체인 테스트베드 인프라도 확충할 예정이다. 블록체인 기반 인증 상호 연동 표준화도 탄력을 받는다.

올해 안에 표준초안 개발이 완료되면 금융회사, 블록체인 전문기업과 함께 시범 적용할 예정이다.

김영기 원장은 “금융보안원 중심으로 은행연합회·금융투자협회·생명보험협회 등 업권별 협회와 삼성SDS·더루프 등 개발사가 참여해 진행중”이라며 “현재 앱 게이트웨이 상호연동 방식에 대해 세부방안을 논의하고 있다”고 전했다.

또 보안 규제 준수 비용을 아끼고 급변하는 규제변화에 신속하게 대응할 수 있는 금융권 공동의 보안 레그테크(RegTech) 시스템 구축도 추진하고 있으며 오는 9월 서비스 개시를 목표하고 있다.

아울러 지난해 ‘Armada Collective 사건’을 계기로 금융권 디도스 공격 대응 능력을 높이고자 금융보안원은 글로벌 클라우드 보안 업체와 공조하고 비상대응센터에 테라급의 방어능력 확보를 추진하고 있다.

◇ CISO 역할 제고…신규 보안수요 대응

김영기 원장은 핀테크 또는 테크핀으로 대표되는 혁신 금융서비스 발전을 위해 사전 규제보다 자율보안 체제를 지향하는 것을 “매우 바람직한 방향”으로 봤다.

금융보안원도 보안 가이드라인 마련부터 금융보안 전문인력 양성 지원까지 금융권에 자율보안 체계가 조속히 정착될 수 있도록 다양한 지원 사업을 진행하고 있다.

다만 김영기 원장은 “금융회사 CISO(정보보호최고책임자) 지정이나 최소 정보보호인력과 예산 확보 등 금융보안 강화를 위한 기본 규제나 사고발생시 배상책임과 같은 금융소비자 보호를 위한 필수 규제는 자율보안 체계에서도 유지하고 강화해야 한다”고 강조했다.

그동안 주요 금융회사 CEO(최고경영자)와 CISO(정보보호최고책임자)를 직접 면담하며 거버넌스 중요성을 강조한 김영기 원장은 “금융산업 디지털 혁신에 금융보안이 전제되지 않으면 안된다”고 말했다. 김영기 원장은 “금융기관 뿐만 아니라 핀테크 업체나 마이데이터 사업자 등 금융과 연관되는 업체들의 보안수요가 커지는 환경 변화도 염두하고 있다”고 덧붙였다.

금융보안원의 중장기 업무 추진계획에 대한 키워드로는 “전문성·신뢰·혁신”을 강조했다. 김영기 원장은 “금융 디지털 혁신을 위한 성공적인 보안 지원을 위해 내부 혁신을 끊임없이 도모해 나갈 것”이라며 “궁극적으로 금융산업의 신뢰 보호와 발전을 지원하는 필수 인프라 제공기관으로서 역할을 확립해 나가고자 한다”고 말했다.

▶▶ He is…

△1963년생 / 영남대 경영학과 / 성균관대 경영학 석·박사 / 금융감독원 검사지원국 팀장·여전감독실 팀장·저축은행서비스국 팀장 / 금감원 상호여전감독국장·감독총괄국장 / 금감원 업무총괄 담당 부원장보·은행 담당 부원장보 / 금융보안원장(2018년 4월~현재)

정선은 기자 bravebambi@fntimes.com