2017년 금융 IT·보안 10대 이슈 전망 2017.1.17. 발표자 : 전 융 (금융보안원 보안전략본부장)
발표 순서 Ⅰ. 개요 Ⅱ. 수행 경과 Ⅲ. 금융 IT·보안 10대 이슈
I. 개요 개요에서는 연구의 배경, 필요성, 기대효과 그리고 본 과제의 기본적인 연구 방향에 대해 설명 드리겠습니다.
금융회사의 보안전략 및 업무수행 방향 설정 지원 1. 개요 금융회사의 보안전략 및 업무수행 방향 설정 지원 블록체인 빅데이터 클라우드 바이오 인증 인공지능 사물인터넷 로보어드바이저 랜섬웨어 지능형 지속위협 내부자 보안
II. 수행 경과
2. 수행 경과 빅데이터 분석 및 전문가 검토 등을 통한 신뢰성 확보 빅데이터 이슈 분석 전문가 검토 이슈 선정 금융사 대상 설문조사 전문가 검토 이슈 선정 - 국내·외 정보보안 관련 자료들을 대상으로 빈도와 추세를 분석 - 약 2만개 정보를 추출하여 분석 - 빅데이터로 추출한 키워드를 대상으로 평가지표 통해 설문 - 금융회사 임직원 등을 대상으로 온라인 설문조사 - 금융 및 정보보호 분야 전문가 풀 구성하여 자료 검토 의뢰 - 평가내용 종합 반영 및 전문가 추천에 따른 추가 이슈 검토 등 뉴스 페이퍼 금융회사 CISO 대학 교수 이슈 분석 시의성 파급성 연속성 전문지 보고서 보안전문업체 담당임원 보안 관련 전문가 블로그 정책 빅데이터 분석 및 전문가 검토 등을 통한 신뢰성 확보
2. 수행 경과 최종 10대 이슈 후보군 선정 이슈 도출 50대 키워드 도출 빅데이터 분석 금융사 설문조사 전문가 회의 실시 핀테크 클라우드 모바일 랜섬웨어 플랫폼 개인정보보호 사물인터넷 악성코드 블록체인 전문인력양성 인증서비스 엔드포인트 데이터센터 관리솔루션 위협정보공유 기업 보안 피싱 로보어드바이저 자산 관리 ISMS/PIMS 생체인증 디도스 융합보안 사이버보험 망분리 빅데이터 머신러닝 취약점 공격 인터넷전문은행 테크스타트업 기기 보안 차세대시스템 브라우저 4차산업혁명 데이터 보안 서비스형 범죄 시스템 보안 내부 정보 P2P 대출 제로데이 버그바운티 보안 카드 ID 오남용 정보유출방지 탐지대응 스마트 금융 주요기반시설 개인식별정보 APT 블록체인 사물인터넷 로보어드바이저 랜섬웨어 지능형 지속위협 제3자 및 내부자 빅데이터 인공지능 바이오 인증 클라우드 핀테크 클라우드 모바일 랜섬웨어 플랫폼 개인정보보호 사물인터넷 악성코드 블록체인 전문인력양성 엔드포인트 데이터센터 관리솔루션 망분리 빅데이터 머신러닝 취약점 공격 인터넷전문은행 테크스타트업 기기 보안 차세대시스템 브라우저 4차산업혁명 데이터 보안 서비스형 범죄 시스템 보안 내부 정보 P2P 대출 APT 최종 10대 이슈 도출 이슈 후보군 선정 50대 키워드 도출
III. 금융 IT·보안 10대 이슈
① 구체화되어가는 금융권 블록체인 기반 서비스 이슈 및 전망 금융권 블록체인 기반 금융서비스 개발 구체화 금융당국 육성정책, 금융권 블록체인 컨소시엄 구성 등 블록체인 기반 서비스 개발 본격화 글로벌 블록체인 협의체(R3CEV 등)의 기술 검증과 파일럿 테스트를 통한 상용화 추진 비용 절감 등 블록체인 효과에 대한 금융권 기대 확산 거래과정에서 중개자(청산결제 기관, 공증기관 등) 없이 기관간 또는 개인간 거래를 통해 비용절감 효과를 기대 구분 내용 LG경제연구원 거래비용의 약 30% 절감 예상 산탄데르 은행 은행 인프라 비용 연간 150~200억 달러 절감 예상 맥킨지 금융시스템 분산화에 따른 연간 약 23조원 절감 예상 ■ 신규 서비스를 중심으로 블록체인 적용 가능성을 검토하되, 도입 단계부터 보안요소를 충분히 고려할 필요 ■ 블록체인이 모든 서비스를 대체하기 어렵다는 사실 인식 필요
[참고] 일본의 블록체인 기반 지급결제 시스템 실험 사례 기존 지급결제 시스템 블록체인 기반 지급결제 시스템 - 블록체인스터디 그룹 조직 - 은행간 지급결제 시스템 실험 및 검증 기술관점에서 결함은 발견되지 않았으며, 충분한 처리성능 (1,500건/초) 확인, 기존 시스템 보다 비용절감 예상 (금융보안원, “일본, 블록체인 기반 지급결제 시스템 실험사례 소개”, 2016.12)
② 부상하는 빅데이터 산업, 금융업계 새로운 기회 이슈 및 전망 빅데이터 산업의 성장은 금융회사에 새로운 기회 제공 빅데이터 활용으로 혁신적인 상품 개발에 따른 경쟁력 강화와 비용절감 금융회사의 안전한 빅데이터 활용에 대한 관심 증가 기업 상호간 비식별화된 개인정보의 결합․활용에 대한 관심 고조 개인정보 비식별 조치 가이드라인 제정(‘16.6월, 관계부처 합동) 및 금융분야 개인정보 비식별 조치 지원 전문기관으로 금융보안원, 한국신용정보원 지정(‘16.8월) (글로벌 빅데이터 분석 산업별 도입현황, Peer Research) ■ 빅데이터 활용을 확대하되, 비식별화 조치 등 보안관리 철저 ■ 개인정보 비식별 조치 지원 전문기관 적극 활용
③ 금융권 클라우드 시대 돌입, 서비스 수요 확대 금융회사의 클라우드 환경 도입에 따른 보안성 우려 이슈 및 전망 금융권의 클라우드 이용이 확대될 것으로 전망 관련규제 완화 및 금융권 클라우드 서비스 이용 가이드 발간 등으로 IT비용 절감을 위한 금융권의 클라우드 이용 증가 예상 향후 클라우드 이용범위에 대한 확대요구도 늘어날 전망 금융회사의 클라우드 환경 도입에 따른 보안성 우려 CSA가 조사한 결과에 따르면 클라우드 서비스 이용시 (1) 데이터 기밀성 유지 (2) 정보통제권 (3) 데이터 유출 (4) 컴플라이언스 (5) 데이터 손실 등의 보안 이슈에 대한 우려가 큰 것으로 나타남 * Cloud Security Alliance가 글로벌 은행, 보험회사, 투자회사, 정부 관계자 100여명을 대상으로 조사 ■ 비중요시스템을 시작으로 클라우드 도입 검토 ■ 클라우드 이용에 따른 보안이슈 및 대응방안 고민 필요
④ 사물인터넷 영역, 결제서비스 등 금융 분야로 확산 이슈 및 전망 금융서비스와 IoT 기기의 융합 확대로 보안과제 증가 스마트 TV 콘텐츠 간편결제, 운전습관에 따른 보험료 차등 적용 등 기기 인증과 데이터 무결성 확보 등의 보안 과제 대두 IoT 기기는 설계 단계부터 보안성을 고려할 필요 금융 서비스 준비 단계부터 IoT 기기 운영체제, H/W, S/W 등에 대해 보안성 고려 IoT기기를 이용한 DDoS 공격(미라이 악성코드) 등 IoT 확산에 따른 보안위협 증가 ■ IoT 기반 금융서비스 검토 시 기술검증 등 보안관리 방안 마련 ■ IoT는 S/W 취약점 뿐 아니라 센서 등의 보안수준까지 검토 필요
⑤ 바이오인증 기술의 적용확대, 본격화되는 인증 방법의 다양화 이슈 및 전망 공인인증서 사용 의무 폐지로 다양한 인증방법 등장 전자금융거래시 바이오 인증(지문, 홍채 등), NFC 인증 등 다양한 방법 출시 비대면 금융거래 확대에 따른 바이오인증 활용 증가 금융권의 비대면 채널 보급 확대로 본인식별에 바이오 인증의 활용 증가 예상 FIDO 얼라이언스와 EMV의 협력으로 모바일 지급결제에서의 바이오 인증 활용 본격화 전망 (단위: 억 달러, 억 원) (바이오인증 시장 규모, 한국과학기술정보연구원) ■ 금융회사의 업무 특성을 고려하여 적절한 인증방법을 선택할 필요 ■ 민감정보인 바이오정보의 활용시 안전성 등을 면밀히 분석
⑥ 로보어드바이저, 챗봇 등 사람의 판단을 대신하는 서비스 확산 이슈 및 전망 로보어드바이저, 챗봇 등 인공지능을 활용한 서비스 증가 로보어드바이저 자산관리서비스의 빠른 성장으로 미국에서는 로보어드바이저 관리대상 자산이 ‘17년에 867억 달러까지 증가할 것으로 예상 금융위원회의 1차 테스트베드 완료(`17.4월 예정) 후 로보어드바이저 본격화 전망 국내 일부 금융회사에서는 챗봇을 이용한 서비스 출시 준비 인공지능 기반 금융서비스의 보안우려 제기 인공지능 서비스 오류 및 해킹 사고는 투자손실 등 대규모 금전적 피해 유발 * 美 나이트캐피탈, 인공지능 S/W오류로 4.4억달러 손실 (단위: 억 원) (로보어드바이저 국내 시장 전망, KISTI Market Report) ■ 금융서비스에서의 인공지능 기술 활용 가능성을 고민할 시점 ■ 인공지능의 오류나 해킹은 금전피해 유발 → 철저한 보안성 검증
⑦ 인공지능 채택, 금융권 지능화된 보안 시대로 진입 이슈 및 전망 신속하고 유연한 공격 대응을 위해 인공지능 기술 활용 증가 국내․외 보안 기업들의 인공지능 기술을 적용한 보안솔루션 출시 딥러닝 등을 이용하여 이상금융거래를 판별하는 기법의 활용 (Paypal 등) 인공지능 기술을 활용한 침해위협 대응 확대 기존 보안관제 및 이상금융거래 탐지 기술 + 인공지능 기술 => 지능화된 보안관제 시스템 구축 ■ 보안업무에 인공지능 기술을 활용할 수 있는 역량을 확보할 필요 ■ 인공지능이 이상징후를 탐지 및 선별하고 사람이 최종 대응하는 협력시스템
⑧ 기업형으로 발전하는 데이터 인질극 랜섬웨어 이슈 및 전망 금융회사의 랜섬웨어 피해 가시화 글로벌 금융회사 238개를 대상으로 조사한 결과 금융회사의 55%가 랜섬웨어를 가장 큰 위협으로 생각하고, 32%는 10만~50만 달러의 손실을 입은 경험 금융시스템 등에 대한 새로운 랜섬웨어 공격 가능성 제기 ATM기기, POS단말기 등 금융시스템으로 랜섬웨어가 확산될 가능성 제기 * 카스퍼스키랩 및 트렌드마이크로의 2017년 전망 보고서(`16.11월~12월) 클라우드 서비스를 공격하는 랜섬웨어의 등장 예상 (`16년 상반기 국내 랜섬웨어 침해신고 통계, 한국랜섬웨어침해대응센터) ■ 랜섬웨어가 금융회사를 표적으로 정교한 공격을 시도할 가능성 대비 ■ 망분리 우회경로를 점검하고, 백업 등의 대응 전략 수립 필요
⑨ 소리없이 커가는 ‘사이버 암세포‘ 지능형 지속위협 (APT) 이슈 및 전망 금융권 APT 공격 확대에 따른 이메일 보안강화 필요 금전을 목적으로하는 금융회사 대상의 APT공격이 확대되고 있으며, 대부분이 특정인을 목표로 하는 스피어피싱에서 시작 (출처: 카스퍼스키랩) * 해커그룹 카바낙(Carbanak)은 스피어피싱을 통해 전세계 30개국 ATM을 해킹하여 2년간 약 1조원 탈취
⑨ 소리없이 커가는 ‘사이버 암세포‘ 지능형 지속위협 (APT) 이슈 및 전망 APT 공격에 대한 탐지‧대응을 위해 다양한 보안수단이 동원될 전망 내부직원의 컴퓨터 사용 및 시스템 접근 기록을 분석하여 APT 공격 징후 탐지 인증 강화, 망 분리, 모의해킹 테스트 등 다양한 보안수단의 복합적 활용 필요 ■ 금융회사 직원 누구나 APT 공격 대상이 될 수 있음에 유의할 필요 ■ 다양한 보안 수단을 복합적으로 활용한 지속적 보안관리 필요
⑩ 제3자 및 내부자 보안 관리 중요성 증대 금융권의 제3자 및 내부직원 및 보안관리 강화 확대 이슈 및 전망 제3자 및 내부직원을 통한 금융권 보안 사고 증가 `16년 2월 정보보호업체 코드사인인증서 유출사고 (외부업체 취약점 이용) * 금융보안원의 조기 발견 및 사전 대응으로 금융권 피해 無 과거 금융권 대규모 정보유출 사고 (내부직원 및 협력업체 직원에 의해 발생) 금융권의 제3자 및 내부직원 및 보안관리 강화 확대 이용자 행위 분석(User Behavior Analytics, UBA) 등을 통해 이상 징후를 포착하는 체계가 확산될 것으로 전망 글로벌 사이버 보안 전문가 280명을 대상으로 조사한 결과 사이버보안 관리에 따른 비용절감 효과 중 UBA에 의한 것이 약 110만 달러로 가장 뛰어남 ■ 보안리스크를 전사적으로 철저히 분석하여 대책을 마련할 필요 ■ 이용자 행위분석 등을 통해 내부직원 등에 의한 보안사고 적극 대응
3. 금융 IT·보안 10대 이슈 구체화 되어가는 금융권 블록체인 서비스 부상하는 빅데이터 산업, 금융업계 새로운 기회 금융권 클라우드 시대 돌입, 서비스 수요 확대 사물 인터넷 영역, 결제서비스 등 금융분야로 확산 바이오인증 기술의 적용확대, 본격화되는 인증방법의 다양화 로보어드바이저, 챗봇 등 사람의 판단을 대신하는 서비스 확산 인공지능 채택, 금융권 지능화된 보안 시대로 진입 기업형으로 발전하는 데이터 인질극 랜섬웨어 소리없이 커가는 ‘사이버 암세포’ 지능형 지속위협(APT) 제3자 및 내부자 보안 관리 중요성 증대
감사합니다.