2013. 5. 21 성재모 Ph.D. CISA 정보보안본부본부장
Contents Ⅰ Ⅱ Ⅲ IV 전자금융현황 전자금융보안현황 전자금융보안위협 전자금융보안강화이슈 -2-
I. 전자금융현황 1. 이용자환경변화 (1/2) 2013 년 1 월말기준국내스마트폰가입자 3,329 만돌파 언제어디서나접속가능한스마트폰뱅킹등록고객수 2,395 만명돌파 (2012 년말 ) VS -3-
I. 전자금융현황 1. 이용자환경변화 (2/2) 2011 년부터스마트기기의판매량이 PC 를넘어서급속히증가 -4-
I. 전자금융현황 2. 국내인터넷뱅킹이용현황 2012년말현재 19개금융기관에등록된인터넷뱅킹 ( 모바일뱅킹포함 ) 등록고객수는 8,643만명으로전년말 (7,482만명) 대비 15.5%(+1,161만명 ) 증가 2012년말현재인터넷뱅킹용공인인증서 ( 은행 신용카드 보험용, 범용 ) 발급수는 2,419만개로 2011년말 (2,208만개) 대비 9.6% 증가 2012년중인터넷뱅킹 ( 모바일뱅킹포함 ) 이용건수및금액 ( 일평균기준 ) 은 4,573만건, 33조 2,391억원 * 으로전년대비각각 17.2%, 4.1% 증가 결제성금융자산인 M1( 협의통화, 민간보유현금 + 결제성예금 ) 의 2012년중평균잔액 (441조 9,986억원 ) 의 7.5% 수준 2012 년중입출금및자금이체거래를기준으로한업무처리비중은, 비대면거래가 (87.0%) 로 CD/ATM 비중이 39.8%, 인터넷뱅킹 (33.9%), 텔레뱅킹 (13.4%) 순임 < 출처 : 2012 년중국내인터넷뱅킹서비스이용현황, 한국은행 (2013.2.22)> -5-
I. 전자금융현황 3. 국내스마트폰뱅킹이용현황 2012년말현재스마트폰기반모바일뱅킹등록고객수 ( 동일인이여러은행에가입한경우중복합산 ) 는전년말 1,036만명대비 131.3% 증가한 2,395만명을기록 스마트폰기반모바일뱅킹서비스이용건수와금액 ( 일평균기준 ) 1,279만건, 8,611억원으로전년대비각각 116.4%, 131.1% 증가 < 출처 : 2012 년중국내인터넷뱅킹서비스이용현황, 한국은행 (2013.2.22)> -6-
I. 전자금융현황 4. 스마트금융서비스로변화 (1/3) 과거 PC 기반전자금융서비스 ( 웹브라우저기반, APP 기반 HTS 등 ) [ 오픈뱅킹 액티브엑스, 플러그인 ] 멀티브라우저, 멀티 OS 지원 엑티브엑스에서플러그인으로지원범위확대 [ 모바일뱅킹 - 앱 ] 금융사별전자금융앱개발 [ 오픈뱅킹 플러그인탈피 ] 플러그인방식에서프로세스호출방식및 HTML5 등다양한기능을지원할수있도록표준화진행중 [ 모바일웹뱅킹 ] 스마트폰에서웹브라우저를이용한 전자금융거래지원 -7-
I. 전자금융현황 4. 스마트금융서비스로변화 (2/3) 은행권을중심으로첨단 IT 기기도입을통한스마트브랜치도입본격화 ( 자료 : 하나금융경영연구소, 2012.12) -8-
I. 전자금융현황 4. 스마트금융서비스로변화 (3/3) [ 모바일지갑 ] 모바일카드결제를위해필요한정보및수단을이용자에게 통합적으로제공하는애플리케이션 [ 모바일결제 ] 휴대전화를이용한결제방식으로 바코드를이용한결제, QR 코드를이용한결제, NFC 를이용한결제등으로분류됨 -9-
I. 전자금융현황 5. 스마트금융서비스로확산 스마트사회 (ICT 급속한발전 + 사회현상의변화 ) 를지원하는스마트금융으로변화 디지털 TV 노트북 PC 모바일지급결제 NFC, 모바일카드, 앱카드, 금융 MircoSD 쇼핑몰 PG VAN 모바일금융 핸드폰핸드폰통신사 스마트폰금융 스마트폰, 스마트패드 스마트 IT 융합 IPTV, 모바일 VoIP, 스마트카 PC SNS 빅데이타 (Social Networking Service) 온라인커뮤니티, 소셜커머스디지털노트북TV 디지털노트북TV PDA 온라인쇼핑스마트브랜치 셀프존, 금융상담존, 스마트라운지지급용단말기 VAN 금융결제원 거래내역기준정보 금융기관 전화국 / PSDN 인터넷전자금융 PDA 오픈인터넷금융 오픈 OS, 오픈브라우져유무선전화기 장차법 CSR (Corporate Social Responsibility) 기업의사회적책임 CD/ATM CD/ATM 거래 텔레뱅킹 -10-
II. 전자금융보안현황 1. 전자금융보안요소 국제표준정보보호관리체계인 ISO 27001 에서는데이터의기밀성, 무결성, 가용성을보안요소로고려 전자금융서비스에서는비대면거래의경우양방향을확인할수없고거래내역에대한외부유출이나변경의가능성이높아져기밀성, 무결성, 가용성에인증 / 부인방지까지보안요소로고려 요소 기밀성무결성가용성인증 / 부인방지 내용 인가된대상만이데이터에접근하여내용을파악할수있음을보장비인가된대상에의해데이터가변경될수없음을보장정보시스템의성능을안정적으로유지하여전자금융거래서비스의연속성을보장인가된대상자확인및거래사실에대한증빙을보장 -11-
II. 전자금융보안현황 2. 국외전자금융보안정책 국제결제은행 (Bank for International Settlements) 의산하위원회로 1974 년 12 월에설립된바젤은행감독위원회 (Basel Committee on Banking Supervision) 는 2003 년 7 월에인터넷뱅킹에대한위험관리지침권고 미국의연방금융감독위원회 (Federal Financial Institutions Examination Council) 와영국의금융감독청 (Financial Security Agency) 은 2005 년말보다강화된금융보안정책을발표 - 이용자인증을단일요소인증 (single-factor authentication) 방식에서이중요소인증 (two-factor authentication) 방식으로갱신 Requires layered security, Identifies ineffective control methods(2011년 ) - 피싱공격에대한식별및방어를위한소프트웨어사용 - 전자금융사기회피를위한이용자교육프로그램강화 Emphasizes importance, Additional guidance on program elements(2011년 ) - 금융기관, 정부기관, 기술제공자와긴밀한정보공유협력체계강화 -12-
II. 전자금융보안현황 3. 전자금융보안기술의발전 국내의전자금융보안기술은 1999 년에인터넷뱅킹서비스가시작되면서발전 1999 2000.9 2002~2005 2005.12 2007년 ~ 현재 컴플라이언스 인터넷뱅킹서비스출시 전자서명법제정 전자금융거래보안강화조치 전자금융거래법강화 보안조치 전자적장치 별도장치 ID/PW 사용자인증 공인인증서 보안카드 키보드보안프로그램해킹방지프로그램보안카드의조합번호 OTP 안티피싱 파밍 E2E 암호화 가상브라우저 HSM ( 보안토큰 ) APT 공격대응 스마트기기보안 망분리, 무결성검증 주요해킹사고 ID/PW 유출 악성코드에의한공인인증서유출 악성코드에의한보안카드유출 악성코드, 피싱, MITM 에의한고객정보유출 DDoS 공격, 사회공학에의한고객정보획득 -13-
II. 전자금융보안현황 4. 국내전자금융보안정책 2007년 1월전자금융거래법시행, 전자금융감독규정, 시행세칙등전자금융거래관련법률및규정을통한다양한보안요구사항등규정 (2011.10.10 감독규정개정 ) 또한모범규준등을매년제시 ( 금융당국 ) - 전자금융거래시보호강화 ( 암호화통신, 이용자의전자적장치에보안프로그램설치등보안대책을적용, 공인인증서또는이와동등한수준의안전성이인정되는인증방법사용 ) - 보안체계강화 (CISO 의무지정, 정보보호예산정보기술부문예산의 100분의 7이상 ( 권고 )) - 내부통제강화 ( 시스템접근통제강화, 거래로그관리강화, 무선통신망보호등 ) - 스마트폰보안강화 ( 거래앱무결성검증등 ) -14-
II. 전자금융보안현황 6. 스마트폰뱅킹서비스보안기술 (1/3) 스마트폰플랫폼보호 - Android 기반의스마트폰은금융앱구동시루팅 (Rooting) 체크를하고백신 프로그램을연동하여악성코드탐지수행후금융서비스시작 - iphone 은플랫폼특성상탈옥 (jailbreak) 탐지에초점을둠 스마트폰뱅킹 인증센터 신용카드 투자증권 LOG 조회 -15-
II. 전자금융보안현황 6. 스마트폰뱅킹서비스보안기술 (2/3) 금융앱, 거래전문에대한위 변조여부등무결성검증 조회 -16-
II. 전자금융보안현황 6. 스마트폰뱅킹서비스보안기술 (3/3) -17-
III. 전자금융보안위협 1. 국외주요보안위협동향 (1/3) 새로운표적공격전술, 모바일악성코드급증, 웹기반공격증가, 소셜미디어를통한공격과랜섬웨어공격이주요보안위협으로조사 분석됨 -18- < 자료 : 시만텍인터넷보안위협보고서, 2013.4 >
III. 전자금융보안위협 1. 국외주요보안위협동향 (2/3) MS 사보고서에의하면 2012 년 4 분기약 326 만개의악성코드탐지되었으며, 악성코드유포웹사이트는 1,000 대당약 18 대로써전세계 3 위에해당됨 < 자료 : Mi crosoft 보안인털리젼스보고서, 2013. 4 > -19-
III. 전자금융보안위협 1. 국외주요보안위협동향 (3/3) 모바일악성코드는안드로이드운용체계 (OS) 를타깃으로증가하고있음 -20- < 자료 : F-Secure 모바일위협보고서, 2013.3 >
III. 전자금융보안위협 2. 국내보안위협동향 (1/2) 2012 년말부터국내인터넷뱅킹서비스대상악성코드출현 o 개요 - 국내은행, 저축은행등인터넷뱅킹사용자를타겟으로한악성코드가발견 - 피싱사이트로연결유도 - 가짜인증서로그인프로그램을개발하여사용자가입력한인증서비밀번호절취가능, PC 저장된공인인증서복제 - 일부국산백신프로그램종료 o 시사점 - 국내금융회사를표적으로하는악성코드출현및변종유포 - 다양한기법을사용금융거래시스템다중보안모듈우회가능 - 보이스피싱과연계된피해확산우려 -21-
III. 전자금융보안위협 2. 국내보안위협동향 (2/2) 국내악성코드유포웹사이트지속증가, 안드로이드플랫폼대상신종악성프로그램도지속적으로증가함 출처 : http://www.ahnlab.com/ -22-
III. 전자금융보안위협 3. 국내금융권보안사고동향 - 피싱공격에의한개인정보유출사고 2007 년 1 월 19 일중국해커로추정되는해커들이국내특정웹사이트를해킹하여 이사이트에접속한고객의 PC 에악성코드를설치, PC 에저장된공인인증서를 빼내고가짜은행사이트로접속토록유도하는피싱 ( 파밍 ) 사건발생 -23-
III. 전자금융보안위협 3. 국내금융권보안사고동향 - 고객부주의에의한인터넷뱅킹사고 2008 년 3 월부터 2009 년 6 월까지은행, 증권사, 보험사, 카드사등국내금융 회사 32 곳고객의인터넷뱅킹아이디와비밀번호 300 여개를해킹, 그중 86 명 계좌에서 4 억 4000 만원상당을불법취득한조선족해커 2 명을검거 ( 서울지방경찰청사이버범죄수사대발표, 2009. 12) -24-
III. 전자금융보안위협 3. 국내금융권보안사고동향 최근사고사례 -25-
III. 전자금융보안위협 4. 국외금융보안사고동향 최근사고사례 해외금융사대상 DDoS 공격, 개인신용정보및카드정보유출사고지속발생 -26-
III. 전자금융보안위협 5. 금융권보안위협특징 전자금융환경변화에따른위협증가 ( 언제어디서나스마트금융거래가능 ) - 전화 (PSTN), 유 무선인터넷, 모바일 (3G, LTE), NFC 등다양한통신수단과융합 - 스마트폰의운영체계및앱등을타깃으로하는악성코드의급속한증가 -특히스마트폰, 스마트브랜치, 모바일카드활성화등에따른새로운위협증가예상 다양한형태의사이버공격위협증가 ( 금전적이득을목적으로범죄조직화 ) - DDoS 공격, 홈페이지해킹등사이버공격기법지능화, 고도화 - 상대적으로보안이취약한전자금융이용자들이사용하는 PC, 자동화기기 (CD/ATM), POS단말, 스마트폰등에사회공학적기법을이용한금융정보유출시도 - 금융회사내부 PC, 서버에 APT 공격등을통한고객정보유출, 서비스마비등 -27-
IV. 전자금융보안강화이슈 1. 기존보안기술에대한이슈 백신프로그램의기존시그니처기반사전탐지기술의대응한계 모바일악성코드 58% 급증, 기존백신으로탐지가어려운웹기반공격증가 ( 시만텍 ) 악성코드에감염된좀비 PC에의한개인정보유출, DDoS 공격, 스팸유포등피해증가 키입력보호솔루션은커널드라이버보호수준까지기술이발전되었으나, 최근스마트폰, 오픈운영체계, 망분리등에대한적용성, 호환성이슈발생 안드로이드커널보호고려, 특히애플 ios 운영체계는접근이더욱어려움 홈페이지해킹, APT 공격등해킹기술은지속적으로진화하고있으나전담보안담당자부족등으로대응방어기술의개선에는한계 국내웹서버해킹으로인한지속적인악성코드유포, 내부통제미비점발생등 국내정보보호제품에대한성능및안전성이슈 실제공격대응시제시된규격성능보다미흡, 보안제품자체취약점노출등 스마트기기, LTE, 클라우드컴퓨팅등의신규 ICT 기술에대한뒤늦은대응... -28-
IV. 전자금융보안강화이슈 2. 스마트기기보안이슈 H/W 기반보안기술연구추진 SIM(USIM), 금융 MicroSD, INTEL DeepSAFE, ARM TrustZone -29-
IV. 전자금융보안강화이슈 3. 스마트금융보안을위한고려사항 스마트금융환경이해를통한스마트한보안정책및기술개발필요 - PC 기반의금융환경 (MS Windows, IE 브라우저 ) - 통신 ( 유선인터넷, 폐쇄통신망 ) - 금융회사 ( 웹서버, DB 서버등 ) - CD/ATM, POS 단말등 금융 ICT 환경변화 - 스마트기기기반으로변화 ( 오픈운영체계, HTML5) - 스마트통신 ( 유선, Wi-Fi, 4G, NFC) - 금융회사 ( 금융서버, 스마트브랜치등 ) - 전자지갑, 금융 MicroSD, 앱카드 - 소셜커머스, IPTV, 스마트카등 안전한스마트금융을위한고려사항 => 보안거버넌스체계강화 ( 조직, 인력, 예산등 ) => 최신 ICT 활용한서비스계획, 구축, 운영시취약성검증등보안사항고려 => 지속적인보안전담인력의역량강화 ( 최신보안교육, 정보공유활성화등 ) => 스마트환경에적합한기술개발및표준화를통한국제경쟁력확보 -30-
IV. 전자금융보안강화이슈 4. 전사차원의보안거버넌스체계구축 최신보안위협에대처하기위해서는기술적접근만으론비용과시간적인한계가있음다양한보안위협에대응하기위해서는관리적, 기술적, 물리적보안을모두고려 실효성있는보안대책수행을위한보안거버넌스체계구축필요 관리적보안 물리적, 기술적보안을체계적으로수행하기위한사내보안정책, 조직, 교육등의정보보호활동 물리적보안 건물, 설비와같은물리적자원을파괴, 도난등으로부터기업핵심정보보호하기위한통제방법 ( 출입통제, CCTV..) 기술적보안 전산환경에서정보자산의유출, 파괴등으로부터보호하기위한통제방법 < 보안관리모델개념도 > -31-
Q & A -32-