금융보안원 월간 뉴스레터

디지털 IT 동향

안전하고 효율적인 데이터 활용법 'AI 연합학습 기술'

-AI 모델에서 프라이버시를 안전하게 보호하면서도 데이터를 원활히 활용할 수 있게 돕는 연합학습 기술이 금융, 의료 등 산업 분야에서 주목받고 있음

 

※연합학습 기술

여러 참여자가 공동으로 AI 모델을 개발할 때 사용되는 기술로, 각 참여자가 가진 데이터를 다른 참여자에게 보내지 않더라도 AI 모델을 학습시키고 성능을 높일 수 있어 유용함

1. 먼저 중앙기관이 참여자에게 공동 AI 모델을 공유

2. 참여자는 자사 고객데이터로 전달받은 AI 모델을 개별 훈련

3. 일정 기간 경과 후 참여자는 자사 데이터는 빼고, 학습 후 개선된 AI 모델만 중앙기관에 공유

4. 중앙기관은 모든 참여자의 개선 내용을 합쳐서 향상된 공동 AI 모델을 마련, 배포

 

-고객데이터 (비밀 자료)는 공유하지 않음

-모델 업데이트 내용만 전달

-모델 업데이트 내용을 합쳐서 향상된 공동 AI 모델에 다시 공유

 

해외에서는 '22년 일본 주요 5개 은행이 연합학습 기법을 이용해 이상금융거래탐지 (FDS) 모델을 실증 개발한 바 있으며, 국내는 의료분야에서 연합학습을 통한 신약 개발 가속화 프로젝트인 [K-멜로디]를 추진 중

 

금융보안원은 금융보안 AI 워킹그룹 (7.25 출범)을 통해 연합학습 기술 활용을 논의하고, 이상금융거래탐지에 대한 연합학습 적용 실증을 추진할 예정

---

금융권 사이버 위협 동향

글로벌 MS 먹통 사태의 여파 '공급망 보안' 주의해야

-지난 7월, 전 세계의 MS 윈도우 마비 사태는 크라우드스트라이크의 SW 업데이트 오류로 초래됨. 이는 사이버 공격이 아닌 SW의 구성요소 결함으로도 IT 인프라가 광범위한 피해를 볼 수 있다는 점을 명백히 보여줌

 

금융회사는 이번 사건을 계기로 철저한 사전 테스트와 점진적인 SW 배포, 비즈니스 연속성 계획의 중요성을 다시 한번 환기할 필요가 존재

 

SW공급망 사고는 일종의 품질관리(QA) 미흡으로 볼 수 있으며, 이를 예방하기 위해서는 개발사와 금융회사의 SW 테스트 및 검증 강화가 중요

 

개발사

SW 개발 생명주기 (SDLC) 전 과정에서 안정성 테스트 강화

운영환경과 유사한 시험환경 구성

다양한 사용 패턴을 고려한 테스트 시나리오 설계 및 테스트 실시

 

금융사

개발사의 SW 안성성 테스트 결과 요구 확인

자체 시험 환경에서 추가 테스트 후 운영 시스템에 적용

 

금융사는 전자금융서비스 등의 침해사고 또는 장애발생을 대비한 피해복구, 비즈니스 연속성 점검과 관련 절차를 개선하고, 개발사와의 책임소재 및 손해배상 관련 사항도 검토할 필요가 있음

 

금융보안원은 금융권 SW 공급망의 보안 수준을 높이고 금융회사의 자체 점검을 지원하고자 SW 공급망 보안 체크리스트를 개발하여 배포할 예정

 

2024 상반기 금융권 주요 위협 동향

2024년 상반기 금융권을 위협한 주요 공격 키워드로는

1) 북한 해킹 조직

 - 정부 문서 사칭하고, 정부인 척 하기도

 - 북한 해커조직은 국세청, 가상자산거래소 등 기관을 사칭하거나 [가상자산 감독규정 제정안] 등 금융회사 관심 콘텐츠를 미끼 삼아 관련 자료를 배포하는 것처럼 꾸며 악성 코드를 유포

2) 금융권 대상 악성 앱

 - QR 코드 리더기, 부고 문자 등으로 위장

 - 국내 금융권을 노리는 악성 앱이 QR 코드나 PDF 리더기 등 정상 서비스로 위장하거나 부고 문자로 꾸민 다운로드 링크 등으로 유포되는 사례가 대두

3) AI 오픈소스 등 SW 공급망 공격

 - AI 및 개발자 오픈소스 플랫폼이 주요 타겟

 - 전 세계적으로 널리 사용되는 AI 모델 공유 플랫폼 (허깅페이스)이나 개발자들의 SW 코드 공유 플랫폼 (PyPI) 등을 통해 악성코드를 배포하는 공급망 공격이 두각을 나타냄

---

금융보안 정책 동향

[금융분야 망분리 규제 개선 로드맵] 발표

-금융위원회는 8월 13일 (화) 금융부문 망분리 T/F 개선 과제를 바탕으로 [금융분야 망분리 규제 개선 로드맵]을 발표

-금융위원회는 급격한 규제 완화로 보안사고 등이 발생하지 않도록 단계적으로 규제를 개선하는 동시에 금융회사에서는 자체적인 보안 역량 강화를 촉구할 예정

 

소비자 편익을 높일 수 있는 혁신 금융 서비스를 중심으로 규제 특례 (규제샌드박스)를 활용하는 등 망분리 개선이 기업 외에 금융소비자에게도 이익이 되오록 정책 방향을 설정

 

금번 개선 1단계에서는 규제 특례를 통해 생성형 AI 활용과 업무망에서의 SaaS 활용 범위 확대를 추진하는 한편, 규제 완화에 걸맞은 보안 책임성을 갖출 수 있도록 [디지털 금융보안법] (가칭) 제정을 추진할 계획

 

1단계 ('24.3Q~) 

-금융회사의 생성형 AI 활용 허용

-규제 특례를 통해 금융회사 내부 시스템의 생성형 AI 모델 연계 허용

-클라우드 기반의 응용 프로그램 (SaaS) 활용도 제고

-임직원 업무망에서의 SaaS 활용 범위를 비중요업무 → 중요업무 등으로 확대

*(업무) 보안, 고객 관리 등도 허용, (데이터) 가명처리된 개인(신용) 정보 허용, (단말기) 모바일 단말기도 허용

-연구, 개발 분야 망분리 규제 개선

-기존 물리적 망분리만 허용되던 연구, 개발 업무에 논리적 망분리를 허용하고, 가명처리된 개인(신용)정보 활용 등을 허용

 

2단계

-효용성과 안전성이 입증된 규제 특례의 정규 제도화

-제 3자 리스크 관리 강화를 위한 정보처리 위탁제도 정비 등

 

3단계

-자율보안 - 결과책임 원칙에 입각한 신 금융보안체계 구축

 

영국 [보안 내재화 가이드라인]의 메시지

-영국 정부가 기획, 설계, 개발 등 서비스 구축 단계부터 서비스 배포, 운영, 종료에 이르기까지 디지털 서비스와 관련한 모든 활동에서 보안을 고려하라는 [보안 내재화 (Secure By Design) 가이드]를 마련

 

최근 금융당국 주도로 자율보안이 강조되고 있으며 금융의 디지털화로 보안이 전사적 경영 위험으로 진화한 만큼, 국내 금융회사도 디지털 금융서비스의 전 과정에서 보안 내재화 (Secure by Design)를 고려할 필요가 있음

 

[보안 내재화 원칙 10가지]

1. 위험 책임성 부여: 서비스 전반의 보안 위험을 관리할 책임자를 적절히 지정

2. 공급망 보안: 서드파티의 위험관리체계, 정보보호 수준 등을 실사

3. 위험 기반 접근방식 도입: 프로젝트의 리스크 수용 범위를 정하고, 보안 위험을 지속 평가

4. 유용한 보안대책 설계: 서비스 사용자(고객)가 사용하기 쉬운 보안대책 설계

5. 침해사고 탐지 대응: 보안 모니터링 기능 등을 포함하고, 지속해서 테스트

6. 유연한 아키텍처 설계: 변화에 따라 보안 업데이트 및 개선이 쉽도록 유연한 시스템을 설계

7. 공격 표면 최소화: 공격 포인트를 줄이기 위해 필수적인 기능 SW HW만 사용

8. 심층 방어: 한 계층에서 장애가 발생해도 시스템을 보호할 수 있도록 여러 계층의 보안을 적용

9. 지속적 보증: 서비스 기간 내내 보안대책이 잘 작동하는지 계속 검증

10. 안전한 변경: 업데이트, 기능 추가 등 서비스 변경 시 보안에 미치는 영향이 없는지 확인