전자 금융 보안 사고 : 2002년 D사 계좌 도용 사건, 2005년 Y사 인터넷뱅킹 해킹 사고, 2006년 안심 결제 이용 해킹 사고, 2011년 3.4 디도스 공격 및 H사 정보 유출 사고, N사 전산망 마비, 2013년 3.20 전산망 마비, 2014년 카드사 정보 유출 사고 등
이러한 사고에 따라 금융위원회에서는 보안 사고 예방을 위한 규제안을 발표했다. 규제안은 해킹사고를 방지하는 효과가 있었으나 이용자의 불편함을 초래하는 등의 역효과가 발생했다.
2014년 하반기 이후부터 보안성을 향상시키는 방안보다는 이용과 활용에 초점을 맞춘 개선 방안을 발표하기 시작했으며, 2015년 4월 10일 금융위원회로부터 설립 허가를 받은 금융보안원이 공식적으로 출범했다. 이후 활용에 비중을 둔 전자금융 보안 정책들이 제시되었다.
- 2015년 : IT 금융융합 지원 방안 -> 금융보안 관련 과잉규제 개선, 특정 기술 사용 의무 규정 폐지(공인인증서, 보안 프로그램 Active X), 핀테크 지원 체계 구축, 금융권 자율 보안체계 구축
- 2018년 : 핀테크 혁신 활성화 방안 -> 금융권 정보보호 상시평가제, 비대면 일임 계약 체결 허용, 금융권 공동 오픈 API 활성
- 2019년 : 금융 결제 인프라 혁신 방안 -> 공동 결제시스템(오픈뱅킹) 구축, 오픈뱅킹 법제도, 핀테크기업에 금융결제망 직접 개방
- 2020년 : 디지털 금융 종합 혁신 방안 -> 지급지시전달업 및 종합지급결제사업자 지정, 금융회사 금융사고 책임범위 확대
- 2022년 : 금융 분야 클라우드 및 망분리 규제 개선 방안, 금융보안 규제 선진화 방안 -> 클라우드 이용 업무에 대한 중요도 평가 기준 확립, CISO권한 확대, 자율보안체계 검증 및 컨설팅 강화
- 2024년 : 전자금융 감독규정 정비 계획, 금융 분야 망분리 개선 로드맵 -> 규정내용 조정 및 합리화, 규제 샌드박스 허용 및 절차 개선
망분리 개선안
전자금융감독규정 제15조 제1항 3호, 5호에서는 안전한 전자 금융 보안을 위해 망분리를 의무화한 것을 확인할 수 있다. 해당 규정에서는 외부 통신망과 분리/차단 및 접속을 금지하고 있으며, 내부망과 외부망을 물리적으로 분리할 것을 규정하고 있다.
그러나 이로 인해 디지털 신기술(클라우드 시스템, 생성형 AI를 활용한 시스템 구축, 빅데이터 활용 등) 도입과 활용에 어려움이 있다는 의견이 지속적으로 건의되어 왔다.
망분리 개선 정책 추진방향 3가지
- 점진적인 단계적 개선 추진
- 보안 거버넌스(무결성, 연속성 등) 강화 및 자율 보안 역량 재고를 통한 취약부분 개선
- 규제 개선에 따라 금융회사의 비용 절감, 금융데이터를 사용하여 연구개발 활용도 상승, 생성형 AI를 통한 분석/예측 고도화 등 업무 효율성 제고에 따라 발생하는 이익을 소비자에게도 공유
규제 샌드박스
- 생성형 AI - 그림 ①항목
금융회사가 생성형 AI를 활용하여 가명 처리된 개인신용 정보까지 처리할 수 있도록 규제 특례를 허용하게 할 것이며, 관련 법령에 대해 관계 부처와 협업을 추진하여 점진적으로 개선하게 될 예정이다. - 클라우드 기반의 응용프로그램(SaaS) 활용 - 그림 ②항목
규제 샌드박스를 통해 업무망에서도 SaaS 활용 범위를 대폭 확대하여 가명처리된 개인 신용정보 허용, 보안, 고객관리, 업무 자동화에서 사용 가능, 모바일 단말기에서도 사용이 가능하도록 개선할 예정이다. - 연구/개발 분야 망분리 개선 - 그림 ③항목
전자금융 감독규정을 개정하여 금융회사 등이 연구/개발 결과물을 보다 간편하게 이관할 수 있도록 물리적 분리 규정을 완화하고, 개인신용 정보를 직접 처리할 수 있도록 가명 정보 사용을 허용하여 데이터의 활용 범위를 증가시켜 혁신적인 금융상품을 개발할 수 있는 환경을 제공할 것이다.
망분리 개선안 핵심 - 제로트러스트 아키텍처
기존 경계 기반 모델 : 내부망과 외부망 사이 경계선(DMZ)을 두어 내부자의 신뢰와 외부자를 신뢰하지 않음을 바탕으로 구성됨. -> 네트워크 경계를 명확히 구분하기 어려움.
또한 VPN을 사용해 접속 시, 내부에서 접근하는 것과 동일한 신뢰성을 가지게 됨. -> 제로트러스트 아키텍처 보안 모델 도입, 피해 최소화 가능
제로트러스트 아키텍처 보안 모델 : 모든 사용자를 신뢰하지 않음. 필요한 만큼의 접근 권한만 제공함.
| 경계 기반 보안 모델 | 제로트러스트 아키텍처 보안 모델 | |
| 내부자 및 내부망 | 신뢰할 수 있음 | 신뢰할 수 없음 |
| 외부자 및 외부망 | 신뢰할 수 없음 | 신뢰할 수 없음 |
| 신원 검증 | 일회성 신원 검증 및 세션 모니터링 없음 | 지속적 신원 검증 및 세션 모니터링 있음 |
| 권한 이동 | 횡적 이동 일부 가능 | 횡적 이동 불가능 |
| 모니터링 | 외부 -> 내부 모니터링 | 외부 -> 내부 모니터링 내부 -> 외부 모니터링 |
제로트러스트 아키텍처 국/내외 도입 현황
- 미국 : 2021년 5월 발표한 '국가 사이버 보안 개선을 위한 행정 명령'에서 연방정부는 제로 트러스트 모범 사례를 채택해야 하며, 각 기관장이 60일 이내 제로 트러스트 아키텍처 도입 계획을 개발할 것을 지시했다.
- 영국 : 2021년 7월 23일, 제로트러스트 아키텍처 1.0 가이드라인을 배포했다.
- 국내 : 2023년 6월, 과학기술정보통신부와 제로트러스트 포럼에서 제로트러스트 가이드라인 1.0을 제시했다. 2024년에는 제로트러스트 시범 도입 과제를 제시하였으며, 실 업무 환경 적용 가능한 모델 구현 및 성과 확산을 목표로 6월~12월까지 진행하고 있다.
다층보안체계(Multi Layer Security) 도입과 핵심 개념
'민·관 합동 망보안정책 개선 태스크포스(TF)'는 대통령 국가안보실, 디지털플랫폼정부위원회 등 관계기관과 산/학/연 사이버안보 전문가로 구성되어 있다.
TF에서 마련 중인 망분리 체계 개선안의 중심에는 다층보안체계가 있다. 2024년 9월, 글로벌 사이버 안보 행사 CSK에서 본격적으로 다층보안체계의 개념과 핵심 내용, 활용 및 적용에 대한 이점을 발표했다.
다층보안체계는 데이터를 업무 중요도에 따라 등급을 분류한다. 분류 등급은 C(Classified 기밀정보), S(Sensitive 민감정보), O(Open 공개정보)로 구분되며 등급에 따라 보안 통제를 차등적으로 적용한다. 아래 표의 기준에 따라 등급을 결정한다.
하나의 정보 시스템 안에는 각기 다른 등급을 가진 데이터가 보관되어 있는 경우가 대다수이다. 이 경우, 각기 다른 등급의 업무 데이터 중 최상위 등급을 부여받은 데이터를 기준으로 시스템 등급을 결정한다.
용어 정리(해당 용어들은 본문에서 기울임꼴을 사용했음)
*핀테크 : 금융(Finance)과 기술(Technology)의 합성어로 금융과 정보통신(IT)기술의 융합을 통한 금융서비스와 산업의 변화
*API : Application Programming Interface(애플리케이션 프로그램 인터페이스)의 줄임말
*서비스형 소프트웨어(SaaS) : 인터넷 브라우저를 통해 최종 사용자에게 애플리케이션을 제공하는 클라우드 기반 소프트웨어 모델
*규제 샌드박스 : 사업자가 신기술을 활용한 새로운 제품과 서비스를 일정 조건(기간·장소·규모 제한)하에서 시장에 우선 출시해 시험·검증할 수 있도록 현행 규제의 전부나 일부를 적용하지 않는 것
본 게시글은 아래의 링크 속 콘텐츠를 기반으로 작성.
전자금융 보안의 망분리 개선안 정책과 다층보안체계(MLS)
01. 전자금융 보안 정책의 방향성 변화 비대면 금융거래 활성화 및 인터넷 은행 출현, 빅데이터 활용 등 금융기관이 인터넷 공간으로 나오기 시작하면서 금융기관 대상 대규모 해킹 사건이 빈번
www.igloo.co.kr
'슈포스 > 기술스터디' 카테고리의 다른 글
| [SAMSUNG SDS]기업 74%, 클라우드 보안 취약성에 노출! 해커들에게 노출된 스토리지 (0) | 2024.11.26 |
|---|---|
| [IGLOO]합동 주의보! 신분 위장을 조심하라! (2) | 2024.11.19 |
| [IGLOO]사방으로 퍼진 딥페이크(Deepfake) 공포 (4) | 2024.10.18 |
| [SAMSUNG SDS]AI로 강화된 사이버보안 (0) | 2024.10.07 |
| [AhnLab]OT 환경 랜섬웨어 감염 사례가 주는 교훈 (1) | 2024.10.01 |