I. 인사 말씀 |
안녕하십니까?
금융위원장 김주현입니다.
먼저 2024년 정보보호의 날을 맞이하여
이번 세미나를 주최하신
금융보안원 김철웅 원장님과 관계자 여러분께
감사의 말씀을 드립니다.
그리고, 이 자리에 참석해주신
금융회사, 핀테크사, 유관기관 대표자분들과
정보보호 최고책임자(CISO)를 비롯한
관련 업무 종사자 여러분들께도
깊이 감사드립니다.
아울러, 오늘 정보보호 유공 표창을 받으시는
다섯 분께는 축하의 말씀을 전합니다.
II. 디지털 금융의 현주소 |
귀빈 여러분,
지금은 내 손안의 스마트폰 하나로
대부분의 금융서비스를
이용하는 디지털 금융 시대입니다.
금융권 전반의 디지털 혁신이 가속화되면서
금융서비스의 시공간적 제약이 사라지고,
우리의 일상도 편리하게 바뀌고 있습니다.
디지털 금융을 규모면에서 보면,
지난해 인터넷뱅킹(모바일뱅킹 포함)의
하루 평균 이용금액은 82조원*,
이용건수는 2,265만건에 이르는 등
디지털 금융거래의 규모가 지속 증가하고 있습니다.
* 한국은행 「2023년도 지급결제보고서」 (‘24.4월)
디지털 금융의 내용면에서는
스마트폰의 슈퍼앱* 하나로 예・적금부터 대출, 증권, 보험상품까지 다양한 금융서비스를
이용할 수 있게 되었습니다.
* 다양한 기능과 서비스를 하나의 애플리케이션으로 통합하여 제공
이와 함께 데이터와 AI의 활용을 통해
마이데이터, 로버어드바이저 등 초개인화*(Hyper-Personalization)된 금융서비스가
새로운 비지니스 형태로 부상하고 있습니다.
* 고객의 상황과 미래 행동까지 예측하여 고객의 잠재적 니즈를 파악하고 제안
이제 `금융'에서 ‘디지털’은 불가분(不可分)의 관계로서
금융회사의 미래발전 방향이자
핵심 생존전략이 되었습니다.
III. 디지털 금융의 명(明)과 암(暗) |
그러나,
디지털 기술이 발전하는 만큼
사이버공격 기술도 더욱 고도화되고 있고,
금융의 기술 의존도가 증가하는 만큼,
금융 보안에 대한 위협도 커지고 있습니다.
디지털 기술로 금융회사 간 상호연계성이 높아지고,
사이버공격 경로나 취약점을 의미하는
‘공격 표면(Attack Surface)'도 확대되면서,
공격자에게 금융산업은 그 어느 때보다
매력적인 공격 대상이 되었습니다.
AI와 악성 앱의 결합으로 보이스피싱 등
금융사기 기법은 지능화*되고 있으며,
금융회사 대상의 디도스(DDoS)** 공격 시도가
계속되고 있습니다.
* ⅰ)유명배우의 얼굴과 음성이 조작된 가짜영상으로 투자를 권유
ⅱ)아랍에미리트의 한 은행은 평소 거래하던 대기업 임원의 전화를 받고 3500만 달러(약 420억원)을 송금했으나 뒤늦게 딥보이스 범죄로 밝혀짐
** 비정상적 대규모 트래픽을 유발하여 서비스를 다운시키는 공격
국민 경제의 핵심 인프라인 금융시스템에서의
보안 사고는 금융 안정성 뿐만 아니라
국가 시스템 전체를 위협할 수 있다는
우려의 목소리도 커지고 있습니다.
* ’솔라윈즈‘(IT솔루션 및 소프트웨어 업체)의 일부 제품에 악성코드가 감염되어 美 국방부, 국토안보부 등을 포함한 1만 8천여 개의 기관⋅기업이 공격에 노출되는 사고가 발생한 바 있음(`20.12월)
(해당 제품은 포춘 500대 기업 중 400곳 이상의 기업이 사용)
IMF(국제통화기금)도
금융산업에 사이버사고가 발생할 경우
① 금융에 대한 신뢰 상실과 이에 따른 유동성 리스크,
② 주요 금융인프라에 대한 대체재 부족,
③ 금융회사 간 상호연결성과 기술 연계성으로 인해
금융안정성을 크게 위협할 수 있다고 강조*하였습니다.
* IMF 「Global Financial Stability Report」 (‘24.4월)
IV. 금융보안이 나아갈 방향 |
디지털 금융의 이점은 최대한 활용하되,
금융산업을 안전하게 보호하기 위해
정부는 금융보안이 나아가야 할
두 가지 방향을 제시하고자 합니다.
첫째, 금융보안의 패러다임을
’자율적이고 능동적인 보안‘의 형태로 전환해야 합니다.
그간의 일률적 보안 규제로는
급변하는 보안 위협에 대응하기 어렵기 때문에
정부는 「전자금융감독규정」을
’원칙(原則) 중심‘으로 정비하며 이에 대응하고 있습니다.
또한, 지난 10년간 해킹 등 외부 위협을 차단하는데
큰 역할을 하였던 망분리 규제도
유연성을 부여하는 방향으로
단계적 개선을 추진할 것입니다.
이런 흐름속에서는
자율보안 시스템 정착이 중요합니다.
정부는 금융보안 분야에 있어 CEO와 이사회의
역할과 책임을 강화하는 방향으로 제도를
개선해 나가는 한편,
자율보안 체계로의 전환 과정에서
금융산업에 혼선이 발생하지 않도록
가이드라인 및 컨설팅 제공 등을 통해
자율보안의 조기 정착도 적극 지원해 나가겠습니다.
美 상무부 산하 표준기술연구소(NIST)는
건강을 위해 손씻기와 같은 위생 준칙을 지키듯,
’보안‘도 일상에서 지켜야 하는
하나의 생활 습관화가 되어야 한다는 뜻에서
’사이버 위생(Cyber Hygiene)‘을 강조하고 있습니다.
사이버 위생이란 시스템 및 데이터 등의
건강과 보안을 위하여
평상시 수행하거나 준수해야 할
보안 업데이트, 다중 인증, 중요 데이터 백업 등과 같은
보안활동을 의미합니다.
이러한 일상 생활 속의 보안 활동에는
정보보호 조직뿐만 아니라
금융회사 全 구성원이 책임감을 갖고
능동적으로 참여하는 보안문화 형성이 필요합니다.
능동적 보안 문화를 정착시키는 방안의 하나로
금융보안원이 운영하는 보안취약점 신고포상제인
’버그바운티(Bug Bounty)‘*제도 참여에
적극적인 관심을 부탁드립니다.
* 소프트웨어나 웹 사이트를 대상으로 보안 취약점을 발견・신고하면 이를 평가하여 포상금을 지급하는 제도(’24.6~8월)
버그바운티 제도의 활성화를 통해
금융서비스의 취약점을 조기에 발견하고
금융권 전반의 보안성을 향상시킬 수
있으리라 기대합니다.
둘째, 궁극적으로 금융보안은
디지털 운영복원력*(Operational Resilience)을
강화하는 방향으로 나아가야 합니다.
* 보안사고 등에 대응하여 중요 서비스를 지속 제공하고, 운영 중단 상황을 예방, 복구, 학습할 수 있는 기업의 역량
금융의 IT 환경이 복잡해지고
보안 위협의 파급력이 막대해지면서
위협을 완벽히 예측하고 대응하는 것은
사실상 불가능하게 되었습니다.
이제는 보안 활동이
100% 완벽할 수 없다는 현실을 직시하고,
보안사고 발생 시 운영을 신속히 재개할 수 있는
복구 역량 강화에 초점을 맞춰야 합니다.
해외 주요국 또한 운영복원력 강화를
적극 추진하고 있습니다.
유럽연합(EU)은 내년 1월부터
「디지털 운영복원력법(DORA)」을 시행할 예정이며,
미국, 영국, 싱가포르 등에서도 관련 정책을
추진하고 있습니다.
정부도 자사 환경에 맞는 운영복원력 강화 차원에서
최근 재해복구센터 설치 및
업무복구 목표시간 설정 등의 의무대상을
확대*하는 방향으로
전자금융감독규정 개정을 추진 중입니다.
* ①전자금융업자(총거래액 2조원 이상), ②여전사(리스⋅할부금융⋅신기술, 총자산 2조원 이상), ③자체전산 저축은행도 의무대상에 포함
이와 함께 EU의 ‘디지털 운영복원력법’ 등 글로벌 동향을 살펴
국내 금융분야에 부족한 점이 없는지를 검토하고,
필요 시 법령 제⋅개정, 정책 수립 등을 추진하겠습니다.
V. 마무리 말씀 |
미래 금융에 대한 신뢰는
현재 시점에서의 우리의 노력에 달려 있습니다.
지금까지 디지털 금융혁신을 기반으로
“편의성 중심의 발전”을 이루어왔다면,
이제는
금융보안과 함께 “책임 있는 발전“으로
나아가야 할 시점입니다.
오늘 세미나가 “보안을 토대로 한 혁신” 그리고
“책임 있는 발전“을 위해
한 걸음 더 나아가는
뜻깊은 자리가 되길 바랍니다.
감사합니다.