금융보안 11

[금융보안] ChatGPT가 불러온 AI 혁명의 명암 - AI 도입 사례, 서비스 종류, 생성형 AI의 보안 이슈, LLM 10대 보안 위험, AI 활용 가능성

A. AI 활용 시 이점1. 비용 절감AI와 지능형 자동차 솔루션을 도입해 상대적으로 가치가 낮고 반복적인 업무를 자동화하면 효율성과 품질을 개선해 비용을 절감할 수 있습니다. 그 예로 자연어 처리를 활용한 데이터 입력 및 진료 예약 관리가 있습니다. 2. 실행 속도 단축AI를 활용함으로써 지연시간을 최소화해 운영 및 사업 성과 도출에 걸리는 시간을 단축할 수 있습니다. 예로는 예측적 통찰력을 활용한 합성 의약품 임상시험으로 신약의 승인 절차를 가속화할 수 있는 것을 들 수 있습니다. 3. 복잡성 감축보다 선제적이고 예측 가능하며 갈수록 복잡해지는 데이터 소스에서 패턴을 파악하는 능력 등이 더욱 향상된 애널리틱스 기술을 활용하면, 이해와 의사결정을 개선할 수 있습니다. 예로 기계설비 유지보수 필요를 예측..

[금융보안] 금융IT 내부 감사 활동의 이해 - 금융 내부감사의 필요성, 내부감사 패러다임, 내부감사의 범위, 금융정보보호 대책, 내부감사인의 역할, 내부감사대응

A. 금융 내부감사의 필요성1. 금융보안 환경의 변화금융 IT환경의 변화새로운 서비스의 출현금융패러다임의 변화보안 인증 확일화 탈피 금융보안의 변화규제중심 → 자율ᆞ책임 중심정부 주도 → 금융회사 중심고객 중심의 사전대응 → 금융회사의 보안 강화사전 예방 → 사후점검, 복구 및 회복특히, 보안이 비용보다는 투자라는 인식으로 변화하면서 CEO와 경영진뿐만 아니라, 전 직원이 참여해 주도하는 보안으로 변화하고 있음자율규제로의 변화는 사고발생시 책임 부과를 엄중히 할 것임 을 의미하며, 마이데이터 제도 시행으로 보안과 개인정보보호에 대한 수요가 큰 폭으로 증가함2. 내부감사 패러다임 및 역할의 변화금융회사 자율점검 강화자율규제로의 변화 → 사고발생시 책임 부과를 엄중히 할 것임을 의미마이데이터 제도 시행 → ..

[금융보안] 디지털 금융보안 이슈 - 데이터 경제, 데이터 3법, Mydata, 금융빅데이터, 비식별 조치 프로세스, K-익명성 모델, KIT 개념

A. 데이터 경제 시대의 디지털 금융서비스와 보안1. 데이터 경제와 디지털 금융서비스1-1. 데이터 3 법 (개정)2020년 1월 개정된 데이터 3 법이 8월 5일 시행데이터 3 법은 개인정보 보호법, 정보 통신망법, 신용 정보법주요 개정사항데이터 이용 활성화를 위한 가명 정보 개념 도입개인정보 보호 협치(거버넌스) 체계의 효율화 추구데이터 활용에 따른 개인정보 처리자의 책임 강화모호한 '개인 정보' 판단 기준의 명확화 데이터 3 법 개정을 통해서 가명화된 다양한 정보를 상업적 목적으로 한 통계작성과 산업적 목적을 포함한 과학연구 등은 사용자의 동의를 구하지 않고 사용할 수 있게 되었으며 공공 데이터 포털, 금융 데이터 거래소 등을 이용하여 빠르고 편한 정보 접근이 가능하도록 했습니다. 이와 같은 법과 ..

[금융보안] 정보보호 인식제고 - 정보화 사회, 윤리 실천 방안

A. 정보화 사회에서의 정보 윤리1. 정보화 사회의 특징1-1. 사회적 측면다양화 및 개방화를 통한 가치관의 변화정보의 원활한 유통으로 인한 정보이용 및 정보시스템의 일반화1-2. 경제적 측면의 변화산업구조는 자원을 대량 소비하는 '하드웨어형 경제구조'를 거쳐 정보화, 지식집약화, 서비스화 등으로 집약되는 이른바 '소프트웨어형 경제구조'로 전환되는 것이 특징또한 고도 정보화 사회에서는 국제화, 개방화의 추세에 따라 정치, 경제, 사회, 문화 등 거의 모든 영역에서 국가 간의 교류가 증대되고 기업의 해외진출 확대와 서비스 시장의 국제화, 네트워크화 등에 의해 국제적인 상호 의존관계가 더욱 심화됨 사회의 변화는 '컴퓨터, 통신, 사람'의 결합에 의한 정보기술을 기반으로 '사회의 정보화'가 그 근저를 이룹니다..

[금융보안] 금융권 APT 공격과 대응 방안 - 보이스피싱과 가상화폐를 이용한 자금 세탁 과정, 가짜 앱 피싱, BEC 공격, 랜섬웨어, 딥페이크, 핵티비즘, 스턱스넷

A. 금융권 APT 공격 사례1. 지능화된 보안 위협 동향1-1. 보이스피싱과 가상화를 이용한 세탁과정먼저 보이스피싱을 통해 갈취한 피해금을 가상화폐를 통해서 자금 세탁 하는 과정입니다. 법원이나 금융기관 등으로 사칭한 보이스피싱을 통해 돈을 갈취한 후, 이를 대포통장으로 입금하고, 대포통장 명의인 개인정보로 개설된 거래소 계좌로 피해금을 이체합니다. 그리고 익명성 높은 가상화폐를 거래소에서 매수한 후 이를 금융사기범이 가진 익명의 다른 전자지갑으로 출금합니다. 해당 전자지갑을 이용해서 타 거래소에서 가상화폐를 매도 후 이를 현금화시키는 방식으로 불법 자금 세탁이 이루어지고 있습니다.   1-2. 가짜 앱 피싱 공격가짜 앱 피싱 공격 과정을 보면, 고객에게 대출 안내 메시지를 발송해 고객이 대출 메시지내..

[금융보안] 금융회사 임직원이 준수해야 하는 금융 IT 내부통제 - 정보보호 관련 법률, 정보보호 정책

A. 금융회사의 IT 내부통제1. 정보보호 컴플라이언스정보보호 컴플라이언스란 준법감시를 뜻하며 기업 내 모든 임직원들이 정보보호 관련 법률, 규정 등을 보다 철저하게 준수하도록 사전 또는 상시적으로 통제, 감독하는 것전산 정보보호 사고의 증가로 다양한 분야에서 규제가 강화되고 있는 추세임컴플라이언스 위험에 적극적으로 대처 못할 시 기업의 생존과 직결되는 중대한 결과 초래  2. 금융회사가 준수해야하는 정보보호 관련 법률전자금융거래법전자금융감독규정신용정보보호법정보통신망법개인정보보호법정보통신기반보호법 3. 정보보호 정책의 필요성다양한 요구사항 및 법률 등을 충족시킬 정보보호 정책 수립이 필요함.금융회사는 서비스의 안정성 및 정보의 신뢰성 확보를 위해 내부의 규정을 수립하여 모든 임직원 및 관련자에게 상기시킴..

[금융보안] 내부정보 유출방지를 위한 자가수준진단 및 준수사항 - 사이버 보안위협의 진화, 침해사고 특징

A. 내부정보 유출방지를 위한 자가수준진단 및 준수사항1. 정보유출사고 현실부동의 1위 악성코드 유형은 금융정보 유출한국인터넷진흥원이 발표한 '월간 악성코드 은닉사이트 탐지 동향 보고서 5월에 따르면' 악성코드 유형으로는 정보유출 (금융정보)이 68%로 가장 높게 나타났다. 악성코드 유포에 악용된 SW 취약점은 Java Applet 취약점이 38%의 비율로 가장 높게 나타났으며, 이외에도 Adobe Flash Player 취약점, MS OLE 취약점 취약점 등의 순으로 나타났다.   2. 사이버 보안위협의 진화해커의 능력 과시형을 넘어 금전적 목적의 해킹 그리고 국가 차원의 위협이 되는 해킹으로 변화 2-1. 최근 침해사고 특징지능형 지속공격(APT)으로 기업대상 침해사고 발생DDoS 공격은 과거부터 지..

[금융보안] 실무자를 위한 금융권 정보보호 상시평가 업무 이해 - 정보보호 상시평가제, 정보보호 지원시스템

A. 정보보호 상시평가제1. 개요정보보호 상시평가제란 금융회사와 신용정보 업자들이 연 1회 이상 『신용정보의 이용 및 관한 법률(이하 신용정보법)』 준수 현황을 점검하여, 그 결과를 금융보안원에 제출하는 제도입니다. 정보보호 상시평가는 새로운 데이터 활용 환경에서 대응할 수 있는 정보보호 체계를 배경으로 만들어졌습니다. 2016년 다보스 포럼에서 클라우스 슈밥 교수가 4차 산업혁명을 공식적으로 언급한 이후 빅데이터, 블록체인 등의 기술이 대두되면서 데이터의 종류와 양이 많아졌습니다. 인공지능의 신기술, 가명·익명정보, 데이터 거래·결합 등 새로운 데이터 활용 환경에서도 적절한 대응이 요구되었고, 환경 변화에 대응하여 2017년부터 형식적으로 시행해 오던 기존의 정보보호 점검체계를 보완하고, 금융권이 보다..

[금융보안] 제로 트러스트 보안 모델과 금융권 대응 방안 - 제로 트러스트 아키텍처(ZTA)의 구조, 한국 제로 트러스트 가이드라인

A. 제로 트러스트 보안 모델 개요 1. 개요제로 트러스트라는 개념은 2010년 포레스터리서치(Forrester Research) 사의 존 킨더버그(John Kindervag)가 최초 주장한 용어이다.전통적인 경계형 기반의 네트워크 구조는 네트워크 초입에 방화벽, 침입탐지 및 차단시스템 등 보안시스템을 설치해 내외부로 발생하는 네트워크 트래픽에 대한 보안을 강화하는 방식의 모델이다.하지만 최근의 공격은 APT 공격으로 이뤄짐, 퍼블릭 클라우드 사용, 원격/재택근무의 활성화로 전통적인 경계형 보안 모델은 한계점을 가진다.제로 트러스트는 접속하는 대상자의 신뢰를 제로라고 보고 접속에 대해 대응하는 것이다. 2. 예시를 통한 필요한 이유예를 들어 시스템 관리자가 본인의 노트북에서 서버 접속을 위해 VPN을 연..

[금융보안] 개인정보 취급자를 위한 금융권 개인정보보호 - 개인정보, 개인정보처리자, 금융회사 수칙, 개인정보보호 사례

A. 개인정보보호의 의의 및 필요성1. 개인정보의 개념일반적으로 "특정한 개인을 타인과 구별하여 식별할 수 있는 정보"를 개인정보라 칭한다. 개인정보보호법 제2조 제1호개인정보란 살아있는 개인에 관한 정보로서 성명, 주민번호, 영상 등을 통해 개인을 알아볼 수 있는 정보를 뜻함. 해당 정보만으로 개인을 특정할 수 없더라도 다른 정보와 결합 시 식별가능한 것도 포함. 개인정보의 구체적 정의생존하는 개인현재 살아 있는 자에 관한 정보이어야 한다. (사망한 사람의 개인정보는 원칙적으로 개인정보가 아님.)관련성개인에 관련된 정보이어야 한다. (법인에 관한 정보는 원칙적으로 개인정보가 아님.)식별성특정한 개인을 다른 사람과 구별하여 식별할 수 있는 정보이어야 한다.결합성특정한 정보 항목만으로 개인 식별이 불가하더..

[금융보안] 안전한 소프트웨어를 위한 시큐어코딩의 이해 - 시큐어코딩, SQL인젝션, URL파라미터 조작, 보안취약점, 보안약점, COQ절감, 시큐어소프트웨어

A. 개요1. 시큐어 코딩이 필요한 이유국내 가상화폐 거래소 C사가 2018년 6월, 해킹을 당했습니다. 해킹으로 유출된 가상화폐는 펀디엑스, 애스톤, 엔퍼 등인데요. C사의 해킹 피해 규모는 보유 코인의 30%에 해당하며 400억 원 상당이 유출된 것으로 추정되었습니다. C사에 앞선 해킹 사례로는, “Y사”가 55억 원 상당의 비트코인을, “U사”가 172억 원 상당의 피해를 본 바 있습니다. 당시, C사는 24시간 거래량으로 세계 90위권의 중소거래소로, 한국블록체인협회에 가입하지 않았습니다. 또 국내 최고 수준의 공인 정보보호관리체계인 ISMS 인증도 받지 않았습니다. C사 이외에도 국내 가상화폐 거래소 중 전년도 매출과 이용자 규모에 따라 상위 4개 업체모두 ISMS 인증 의무대상으로 지정되었으나..

반응형