ARR-VII-2017-1-62 제12호 2018-04 전자금융과금융보안 e-finance and Financial Security Leading Article 금융회사의수탁사보안관리에대한제언최동근, 롯데카드 (CISO) Research 국내 외사이버보험현황및표준화필요성 금융회사정보보호투자효과산출모델검토 싱가포르통화청의블록체인프로젝트주요내용 Issue Trend 산업동향 일본총무성, AI 연구개발가이드라인 (draft) 주요내용 핀테크 신기술 웹사이트정보수집기술활용사례및이슈사항 설명가능한인공지능 (XAI) 소개 블록체인기반의자산교환기술동향 악성파일패밀리주요분류방법소개 페이팔 (PayPal) 간편결제서비스분석 법 정책 PSD2 규제기술표준주요내용및시사점 금융권레그테크국내 외최근동향및시사점 유럽연합사이버보안법안주요내용및시사점 News Notice 금융보안교육안내, 금융보안원소식, 사원사소식
ARR-ⅥI-2017-1-62 제 12 호 2018-04 e-finance and Financial Security
Contents 제 12 호 2018-04 전자금융과금융보안 e-finance and Financial Security Leading Article 금융회사의수탁사보안관리에대한제언 3 최동근, 롯데카드 (CISO) Research 국내 외사이버보험현황및표준화필요성 9 유진호, 상명대학교경영학과교수 금융회사정보보호투자효과산출모델검토 41 연구총괄팀 싱가포르통화청의블록체인프로젝트주요내용 63 보안기술연구팀 Issue Trend 산업동향 일본총무성, AI 연구개발가이드라인 (draft) 주요내용 85 핀테크 신기술 웹사이트정보수집기술활용사례및이슈사항 90 설명가능한인공지능 (XAI) 소개 96 블록체인기반의자산교환기술동향 103 악성파일패밀리주요분류방법소개 108 페이팔 (PayPal) 간편결제서비스분석 116 법 정책 PSD2 규제기술표준주요내용및시사점 122 금융권레그테크국내 외최근동향및시사점 128 유럽연합사이버보안법안주요내용및시사점 133 News Notice 금융보안교육안내 143 금융보안원소식 144 사원사소식 145
전자금융과금융보안 e-finance and Financial Security Leading Article
Leading Article 금융회사의수탁사보안관리에대한제언 금융회사의수탁사보안관리에대한제언 최동근, 롯데카드 (CISO) 금융회사입장에서수탁사의정보보호이슈는금융회사의내부통제범주에는 벗어나있다. 하지만, 수탁사의정보보호문제가발생하는경우, 법적으로위탁사가 모든책임을지기때문에수탁사의정보보호이슈를외적리스크로함께관리 하여야한다. 따라서이글을통해금융회사가반드시관리해야하고필수관리 포인트에서빠져서는안될수탁사의정보보호대책에대해알아보고자한다. 먼저, 위탁사가수탁사에게고객 ( 개인 ) 정보를위탁할때에는, 개인정보보호법 제 26 조 ( 업무위탁에따른개인정보의처리제한 ), 개인정보보호법제 29 조 ( 안전 조치의무 ), 개인정보보호법제 30 조 ( 개인정보처리방침의수립및공개 ) 를준수 하여야한다. 특히개인정보보호법제 26 조제 6 항에의하면, 수탁자가위탁받은 업무와관련된개인정보처리과정에서이법을위반하여발생한손해배상책임에 대해서는수탁자를개인정보처리자의소속직원으로취급 하기때문에위탁사로서 준수해야할것들을세밀히챙겨야한다. 2012 년 A 통신사의대리점사건 1) 과 2014 년 B 택배회사사건 2) 이이와관련된대표적인두개의사건이다. 한편, 개인정보보호법제 74 조 ( 양벌규정 ) 제 1 항에는위탁자입장에서위탁자가 1) 2012 년 8 월, A 통신사의대리점에서가입자 800 여만명의개인정보가해킹된개인정보유출사고로인해, 위탁사인 A 통신사는모든책임을지고민형사상으로대응한사건. 이때 A 통신사는 2018 년 1 월 개인정보유출 항소심에서원심을깨고승소하였지만, 오랫동안이사건으로인해 A 통신사와다수의실무진들이적지않은피해를입었으며, 조사과정에서많은어려움을겪음 2) 2014 년 B 사의택배기사 C(49) 씨가 260 만원을받고배송정보조회프로그램용아이디와비밀번호를경기도용인의심부름센터업주 D(32) 씨에게넘겨, 382 차례에걸쳐고객정보를빼내 7,138 만원의부당이득을챙긴심부름센터업주 D 씨등센터관계자 2 명을개인정보보호법위반혐의로구속하고 B 사의택배기사 C 씨등 8 명이불구속입건된사건 http://www.fsec.or.kr 3
전자금융과금융보안 ( 제 12 호, 2018-04) 수행해야할업무의수준에대해 상당한주의와감독 이란용어가등장하는데 이표현을이해하는것과그업무범위를정의하기란쉽지않은일이다. 개인정보보호법제74조제1항 1 법인의대표자나법인또는개인의대리인, 사용인, 그밖의종업원이그법인또는개인의업무에관하여제70조에해당하는위반행위를하면그행위자를벌하는외에그법인또는개인을 7천만원이하의벌금에처한다. 다만, 법인또는개인이그위반행위를방지하기위하여해당업무에관하여상당한주의와감독을게을리하지아니한경우에는그러하지아니하다. 그래도위탁사에서개인정보처리업무를위탁하는경우에반드시충족해야할필수적인사항은개인정보보호법제26조제1항, 4항을통해확인할수있고특히수탁사가보안점검을위해우선적으로살펴야할내용에대해서도개인정보보호법제26조제1항의위 수탁계약시작성해야할문서내용으로명시되어있다. 이는수탁사도독립된사업자이기때문에개인정보보호법의규정대부분을준용하여따르도록하고있지만 수탁자 로서각별히유의해야할사항이기에계약시에필수적으로포함하도록하고있는것이다. 개인정보보호법제26조제1항, 4항 1 개인정보처리자가제3자에게개인정보의처리업무를위탁하는경우에는다음각호의내용이포함된문서에의하여야한다. 1. 위탁업무수행목적외개인정보의처리금지에관한사항 2. 개인정보의기술적 관리적보호조치에관한사항 3. 그밖에개인정보의안전한관리를위하여대통령령으로정한사항 4 위탁자는업무위탁으로인하여정보주체의개인정보가분실 도난 유출 변조또는훼손되지아니하도록수탁자를교육하고, 처리현황점검등대통령령으로정하는바에따라수탁자가개인정보를안전하게처리하는지를감독하여야한다. 한편보안에대해서는최근규제로인한강압적인점검을넘어, 기업자체의 자율점검이강조되면서기업에게보안사고에대한책임이증가되었고, 보안에 대한투자결정에따른책임부담도늘어나고있다. 4 e-finance and Financial Security
Leading Article 금융회사의수탁사보안관리에대한제언 지난해연말과올해초에도행정안전부 3) 및방송통신위원회 4) 등의현장점검에서다수의업체가개인정보보호법위반으로과태료및과징금을부과받고, 해당업체의대표, 임원이징계를받았다. 현재기업은기업내부의정보보호를위해투자 ( 사람, 보안솔루션등 ) 도해야하고, 수탁사의정보보호활동도검토해야하는등기업의개인정보관련컴플라이언스준수에따른책임부담이점차커지고있다. 게다가고객들은미미한개인정보유출사고에도민감하게반응하고, 이에대해적극적인신고및법적대응을함으로써기업의부담감을증대시키고있다. 지난 2014년, 당사는당사와거래하는모든수탁사에대한전수검사를통해정보보호컨설팅을실시하였다. 이를위해변호사와 IT전문가로프로젝트팀을구성하였고무려 8개월에걸친점검과개선책을마련하였다. 3) 행안부는 제 1 차과징금부과위원회 를열고 G 사가고객개인정보보호와관련해 매우중대한위반행위 를범했다고결론내렸다. 위원회는또 G 사측에과징금 3 억 2725 만원과함께개인정보를제때파기하지않았다는이유로과태료 1800 만원도부과했다. 아울러 G 사의대표와개인정보유출책임이있는임원의징계를권고하고, 행안부개인정보보호특별교육에참석할것을명령했다. ( 중앙일보, 2018/02/06) 4) 방송통신위원회가올해 3 월개인정보유출사고가났던숙박앱 E 를운영하는 F 에과징금 3 억 100 만원, 과태료 2 천 500 만원, 책임자징계권고등중징계조치를내렸다. 방통위가개인정보유출사고에대해책임자징계권고조치를내린것은이번이처음이다. ( 연합뉴스, 2017/09/08) http://www.fsec.or.kr 5
전자금융과금융보안 ( 제 12 호, 2018-04) 위그림은정보보호컨설팅에서도출된 개인정보통제및관리시스템 5) 에대한추진배경과범위이다. 본시스템에는수탁사의진단결과 ( 관리등급및위험평가등급 ) 와관계법령에서요구하는준수사항등에대해수탁사의사전계약진단부터계약서관리, 정보처리항목, 제공방법, 파기현황등을반영하였다. 이로인해, 개인정보의위 수탁프로세스뿐아니라, 위 수탁계약단계에서부터보안수준을평가하고반영함으로써보안이취약한수탁사와의거래를사전에차단할수있게되었다. 또한, 롯데카드는수탁사와의계약해지단계에서도정보의폐기, 삭제등의절차를정립하는등개인정보위 수탁전반에걸친점검을실시하였으며위 수탁관계에서의법적인이슈및개인정보가저장된 PC나서버에대해포렌식 (Forensic) 을통해문제를도출하는등개인정보위 수탁과정에서발생할수있는모든문제와개선점을도출하였다. 그이듬해에는해당컨설팅결과를바탕으로개인정보통제시스템을구축함으로써수탁사의개인정보관리에만전을기하게되었다. 이로인해, 수탁업체진단및이를위한수탁사관리지수를도입하였고, 수탁사에서처리하는개인정보의수, 주요정보처리및보안관련인증여부등을점수로계산하여수탁사에대한객관적인진단및평가를점수별로등급화하였으며향후상벌까지확대될수있도록하였다. 결론적으로위탁사는수탁사의개인정보관리에대해자사의개인정보통제수준만큼의관심과관리, 통제를하지않는다면, 언제든수탁사의개인정보유 노출로인한문제를위탁사가겪을수있음을분명히인지하여야한다. 기업이나기관의 CISO 및보안책임자들은수탁사의정보보호이슈 ( 점검이나교육, 정보보호활동등 ) 에대해간과하기쉬운만큼, 수탁사의개인정보관리통제를위한프로세스점검과개선활동을통하여수탁사의개인정보관리가보다안전하게통제될수있도록더욱주의를기울여야한다. 5) 2017 년 9 월 14 일부로 개인정보통제및관리시스템 특허취득 ( 제 10-1780209 호 ) 6 e-finance and Financial Security
전자금융과금융보안 e-finance and Financial Security Research 국내 외사이버보험현황및표준화필요성 금융회사정보보호투자효과산출모델검토 싱가포르통화청의블록체인프로젝트주요내용
Research 국내 외사이버보험현황및표준화필요성 국내 외사이버보험현황및표준화필요성 유진호 * Ⅰ 서론 11 Ⅱ 국내 외사이버보험추진현황 12 1. 미국 13 2. EU 19 3. 일본 23 4. 한국 26 Ⅲ 사이버보험표준화필요성 31 1. 보험계약을위한정보공유 31 2. 표준화가필요한분야 36 Ⅳ 결론 37 < 참고문헌 > 38 * 상명대학교경영학과교수, jhyoo@smu.ac.kr http://www.fsec.or.kr 9
전자금융과금융보안 ( 제 12 호, 2018-04) 요약 전세계적으로사이버침해사고와정보유출사고가지속적으로발생함에따라미국, 유럽, 일본등의해외기업들은위험관리의일환으로사이버보험가입을추진하고있으며, 국내에서도정보유출사고가지속적으로발생함에따라국내기업들도사이버사고및정보유출위험관리의일환으로사이버보험가입을적극검토할필요가있다. 이에본고에서는미국, 영국, 일본등해외사이버보험시장의현황을조사하고국내사이버보험시장과비교 분석한다. 또한해외에서추진되고있는사이버보험에대한표준동향을살펴봄으로써국내사이버보험의활성화를위해필요한표준화영역과표준화의필요성등을짚어본다. 10 e-finance and Financial Security
Research 국내 외사이버보험현황및표준화필요성 01 국내 외사이버보험현황및표준화필요성 Ⅰ 서론 전세계적으로사이버침해사고와정보유출사고가지속적으로발생함에따라미국, 유럽, 일본등의해외기업은사고로인한위험부담을감소시키기위해사이버보험가입을추진하고있다. 한편국내에서도정보유출등의사고빈도나그규모가작지않지만국내의사이버보험시장은해외에비해활성화되고있지않은실정이다. 국내기업들도사이버사고나정보유출의위험을안고있는만큼사이버보험에관심을기울이고도입을적극검토할필요가있다. 사이버보험시장부터살펴보면, 해외의경우글로벌보험회사들의치열한상품경쟁이나중소기업들의사이버보험에대한수요증가등으로사이버보험상품이다양화되는등그규모가크게성장중에있다. 반면, 국내의경우사이버보험은대부분배상책임보험중심으로운영되어보험상품이다양하지않으며그규모역시작아사이버사고피해기업에대한다양한손해배상및피해보상에한계가있다. 오늘날과같이 ICBM(IoT, Cloud, Big Data, Mobile) 과인공지능기술이적용되는시대에는신기술로인한장점뿐만아니라신종 변종사이버위험역시함께존재할것으로예상되며, 이로인해사이버위험에노출되는범위도넓어져피해발생시확산속도가가속화될것으로예상된다. 그러므로다양해지고있는사이버위험을관리할수있는사이버보험시장에대해객관적으로분석할필요가있다. http://www.fsec.or.kr 11
전자금융과금융보안 ( 제 12 호, 2018-04) 이에본고에서는미국, 영국, 일본등의해외사이버보험시장동향을조사하고현행사이버보험시장의상황을분석한후, 국내사이버보험시장과비교하고자한다. 또한해외에서추진되고있는사이버보험에대한국제표준동향및현시점에서우리나라의사이버보험이활성화되기위해필요한표준화영역등에대해살펴보고사이버보험의표준화가필요한이유등을분석하고자한다. Ⅱ 국내 외사이버보험추진현황 사이버범죄로인한전세계경제손실규모는연간 4,450 억달러 (452조원) 수준으로세계 GDP 의 0.8% 에해당하는것으로추정되며, 1) 이는국제범죄, 마약, 위조다음으로높은비중을차지하고있는것으로나타났다. 또한사이버범죄규모는계속확대되는추세로 2019년까지최대 2.1조달러에이를것으로전망되고있다. 표 1 범죄유형별사회적비용규모 구분 GDP 대비규모 (%) 비고 국제범죄 (Transnational Crime) 1.2 전세계 GDP 기준 마약 (Narcotics) 0.9 전세계 GDP 기준 위조및저작권침해 (Counterfeiting/Piracy) 0.89 전세계 GDP 기준 사이버범죄 (Cyber Crime) 0.8 전세계 GDP 기준 해적행위 (Maritime piracy) 0.02 전세계 GDP 기준 도난 (Pilferage) 1.5 미국 GDP 차량사고 (Car Crashes) 1.0 미국 GDP 12년기준전세계 GDP: 약 726,810억달러, 미국 GDP: 약 162,446억달러 ( 14. 5, 월드뱅크발표자료 ) 1) KISA, Internet & Security Biweekly, KISA Library, 2014.06 12 e-finance and Financial Security
Research 국내 외사이버보험현황및표준화필요성 알리안츠 (Allianz) 사에서실시한설문에따르면경영에위협을주는요인으로사이버위험을선택한비율이 2013년에는 6%(15 위 ) 에불과했지만 2015년에 17%(5 위 ) 로크게증가하였고, 2016년에는 28%(3 위 ) 까지높아져사이버위험에대한관리의중요성이상당히강조되고있다. 2) 또한영국의보험회사인로이즈 (Lloyd s) 사는사이버공격으로인해클라우드서비스가작동하지않을경우, 이로인한피해는 530억달러 ( 약 60조원 ) 에달할것으로추정했으며, 3) 사이버공격피해에따른보험회사들의피해보상지급액은적게는 6억 2000만달러 ( 약 7,047 억원 ) 에서많게는 81억달러 ( 약 9조 2,000 억원 ) 까지이를것으로분석했다. 2017년, 전세계전산망을휘저은랜섬웨어워너크라이 (WannaCry) 나페트야 (Petya) 등은사이버공격에대한기업의보안취약성을여지없이드러냈고, 이에보험회사들은발빠르게사이버공격으로인한피해보상상품을출시하고있다. 이러한흐름과더불어알리안츠 (Allianz) 사는사이버보험시장의규모가 2015년기준약 20억달러 ( 약 2조 3,000억원 ) 규모에서 2025년까지약 200억 ( 약 22조 8,000 억원 ) 달러규모로급성장할것으로전망하고있다. 1. 미국 가. 사이버보험시장규모 미국정부기관과민간기업에서는매년수천만건에서수억건의정보유출사고가발생하고있다. 하나의사례로 2015 년에미국건강보험회사들의고객데이터베이스가해킹당해약 1억 1,570건의고객개인정보가유출되었고, 이중 9,670만건의개인정보가앤섬 (Anthem) 사한곳에서탈취되었다. 게다가앤섬사에서유출된개인정보에는앤섬사와동일한보험전산망을사용하는다른회사의고객정보도포함되어더욱피해가컸으며, 이러한사건들로인해미국에서는사회적으로보안사고가매우심각한문제로대두되고있다. 2) KB 금융지주, 증가하는사이버리스크와사이버보험시장확대, KB 지식비타민, 2016.07 3) 주간무역, 글로벌사이버공격, 136 조원경제손실가능성, 뉴시스, 2017.07 http://www.fsec.or.kr 13
전자금융과금융보안 ( 제 12 호, 2018-04) 미국정부가발표한통계에의하면최근 10년동안사이버범죄피해액은매년 19.3% 수준으로증가하였으며, 피해액은 2005년 2억달러 ( 약 2,272 억원 ) 에서 2015년 10억 7000만달러로 ( 약 1조 2,154 억원 ) 10년사이에약 5배가넘게증가하였다. 그림 1 미국의사이버보안관련지출 4) 사이버범죄로인한피해가커져감에따라사이버보안관련지출이 2017년미국총 GDP의 0.35% 인 600억달러를넘을것으로예상되며, 사이버보안사고로인한피해를경감하기위해사이버보험가입또한증가할것으로예상된다. 전세계사이버보험시장의대부분을차지하고있는미국의사이버보험시장은 1999년대후반에형성되었고, 2005년이후본격적으로확대되었는데, 베러레이리포트 (Betterley Report) 에따르면, 2017년미국사이버보험시장규모가연간 40억달러로추산되고, 향후 10% ~ 25% 의지속적인성장이예상된다고한다. 표 2 미국사이버보험시장의연간규모 5) 기간 규모 ( 달러 ) 2013년 13억 2014년 20억 2015년 27억 5천만 2016년 32억 5천만 2017년 40억 4) Telecommunications Industry Association, TIA s ICT Market Review and Forecast, 2014 5) The Betterley Report, Cyber/Privacy/Media Liability Market Survey, 2013~2017 14 e-finance and Financial Security
Research 국내 외사이버보험현황및표준화필요성 프라이워터하우스쿠퍼스 (PwC) 역시사이버보험시장이 2020 년 75억달러까지성장할것으로전망하고있으며, 6) 더카운슬 (The Council) 은미국기업의사이버보험의가입률은 32% 이지만향후가입률이더증가할것으로보고있다. 7) 미국기업의사이버보험가입비율을살펴보면 2014년기준, 의료기관이 50% 로가장높았으며, 그다음으로는교육기관 (32%), 호텔과카지노기업 (26%), 서비스기업 (22%), 금융기관 (21%), 유통기업 (18%), 통신미디어와 IT기업 (12%), 제조기업 (8%) 의순으로나타났다. 미국에서사이버보험은정보유출에따른손해배상금이나소송방어비용뿐만아니라회사가관리하는기업정보유출에따른법률상손해배상금, 정보보안실패로인한정보훼손에따른법률상손해배상금까지종합적으로보장하고있다. 또한사고원인을밝히기위한조사, 법률자문, 신원모니터링비용등의위기관리비용까지보장하며, 사이버보험의보장범위와보험료는해당산업, 서비스형태, 데이터위험노출수준, 네트워크보안수준, 개인정보보호정책, 매출등에근거하여산출된다. 나. 미국의사이버보험관련법 제도 미국의초기사이버보험들은보장범위가전산시스템에대한배상책임으로한정되어있었다. 하지만오늘날에는보장및담보범위가확대되어시스템자체손해, 프라이버시책임, 정보유출관련제반비용까지포함하고있다. 이렇게사이버보험이활성화된계기는사이버위험과관련한법적규정의등장을하나의요인으로볼수있는데, 개인정보유출고지법 (Security Breach Notification Law, 2009) 등이이에해당한다. 개인정보유출고지법에따르면기업이나당국은개인정보를수집 생성하는단계부터용도를분명하게설명하고개인의동의를받아야하며, 개인정보가 6) KB 금융지주, 증가하는사이버리스크와사이버보험시장확대, KB 지식비타민, 2016.07 7) The Council, Cyber Insurance Market Watch Survey_Executive Summary, 2017.05 http://www.fsec.or.kr 15
전자금융과금융보안 ( 제 12 호, 2018-04) 분실 도난 훼손되는사례가발생할경우데이터통제책임자가규제당국뿐만아니라개인에게도 24시간내에충분한관련내용을통지해야한다. 8) 이법이시행됨에따라기관은개인정보유출위험을줄이고자보안정책을더욱강화하게되었고, 보험가입등과같은위험전가방법까지수행하게되었다. 2014년 12월, 뉴욕주금융서비스부 (DFS: Department of Financial Services) 는금융서비스업계전반에걸쳐보다강력한사이버보안체계를갖추기위한노력의일환으로, 금융기관을위한새로운사이버보안심사프로세스를수립했다. 해당프로세스는기업의사이버보안을살펴보는것과기업구성원에대한교육, 재난계획, 보험적용및기타제3자보호와관련된기업지배구조에대한검토를포함한다. 표 3 사이버보안심사프로세스 세부프로세스단계 사이버보안과관련된기업지배구조문제 사이버보안이슈관리 정보보안및전반적인위험관리에사용되는자원 공유인프라로인한위험 침입에대한보호 정보보안테스트및모니터링 사고탐지및대응프로세스 정보보안에대한직원교육 외부서비스제공자의관리 비즈니스연속성, 재해복구정책및절차에정보보안통합 사이버보험커버리지및제3자보호 2015 년한해, 미국에서는앤섬 (Anthem) 사, 프리메라블루크로스 (Premera Blue Cross) 사등건강보험회사들에서 9 천만건이상의민감한개인정보가 유출되었고, 이로인해보험관련사이버보안법제마련이가속화되었다. 8) 개인정보보호위원회, 개인정보보호연차보고서, 2012 16 e-finance and Financial Security
Research 국내 외사이버보험현황및표준화필요성 미국에서는 2015년을 건강보험회사데이터유출의해 로거론할만큼보험회사에대한사이버공격사건이많았으며, 이를계기로주보험감독당국들은 NAIC(National Association of Insurance Commissioners) 를중심으로보험회사, 보험소비자와협력하여사이버공격에선제적으로대응하고있다. 특히, NAIC는 2015년 4월에사이버보안규제지침을채택하였는데, 이지침은사이버보안침해로부터소비자들을보호하기위해보험회사, 설계사, 대리점등에데이터보안유지를촉구하고, 통일된기준마련으로보험산업과주보험규제당국의이해관계조정을목적으로한다. 또한 NAIC는주마다다른사이버보안요건을통일된보험회사검사표준으로제정하기위해 2015년 9월재무요건검사핸드북개정안을만들었으며, 개인정보침해시보험계약자, 보험수익자등을지원하기위해 2015 년 12월에사이버보안소비자권리법제정목적의로드맵을마련하였다 9). 2015년 9월, 미국증권거래위원회 (SEC) 의 OCIE(Office of Compliance Inspection and Examination) 사무국이수립한 Cybersecurity Examination Initiative 는사이버보안준수에대한회사의절차및통제이행을우선순위로두어강조하고있다. 10) 사이버보안준수상황에대한감사항목으로는거버넌스및위험평가, 접근권한및통제, 데이터손실방지, 공급업체관리, 교육 ( 훈련 ), 침해사고대응이포함되어있으며, 침해사고대응부분에는사고에대비하여회사의운영지속성을위한계획이나정책, 절차뿐만아니라회사가상환한고객손실금액, 사이버보험가입여부, 사이버사건과관련된보험청구제기여부, 사이버보험적용에따라회수된손실액정도를살펴보고있다. 또한 2016 년 9월에는사이버보험활성화를위한정책으로사이버보험을위한세금공제법안인 Data Breach Insurance Act 가발의되기도하였다. 이법안은기업이데이터침해보험에가입하고 NIST에서발간한핵심인프라사이버보안개선프레임워크나장관이지정하는유사한기준중하나를채택및준수할경우 9) 김진억, 2016 년사이버보안위협전망과미국의보험입법동향, KiRi Weekly, 2016.01 10) Office of Compliance Inspections and Examinations, OCIE s 2015 Cybersecurity Examination initiative, 2015.09 http://www.fsec.or.kr 17
전자금융과금융보안 ( 제 12 호, 2018-04) 보험료의 15% 에해당하는세금공제해택을부여하는법안이다. 11) 이법안은기업으로하여금보안을위한최선책 (Best Practices) 을선택하고사이버보험시장의발전을장려하기위한목적으로발의되어, 기업에게사이버침해를막는보안기준을제시하고기업이비즈니스보호를위한보험을채택하여사이버위협에대응하기위해필요한조치를취하는데도움이되도록하고있다. 표 4 Cyber Examination Initiative 주요내용 구분 거버넌스및위험평가 액세스권한및통제 데이터손실방지 공급업체관리 교육 사고대응 주요내용 주요영역에서사이버보안거버넌스및위험평가프로세스를보유했는지평가 사이버보안위험을주기적으로평가하는지에대해평가 통제및위험평가프로세스가비즈니스에맞게조정되었는지에대해평가 시스템및데이터액세스에대한관리수준검토 외부로전송된콘텐츠의양에대한모니터링방법평가 승인되지않은데이터전송에대한모니터링방법평가 고객의송금요청에대한진위여부검증방법평가 공급업체관리와관련된기업의관행및통제평가 공급업체와의관계가기업의위험평가프로세스의일부로어떻게고려되는지평가 기업이공급업체에수행할실사수준을결정하는방법평가 수행된교육이해당직무에맞는지여부와직원및공급업체에게책임감있는행동을장려하도록설계되었는지평가 사이버사고대응계획에따른사이버사고대응절차방법에대한검토 기업의정책수립, 역할할당, 시스템취약성평가, 발생가능한사이버보안문제해결을위한계획수립여부평가 사이버보험외에미국의정보보호보험종류로는전위험재물보험 (All Risk Property Insurance), 기업휴지손해보험 (Business Interruption Insurance), 영업배상책임보험 (CGL, Commercial General Liability), 과실및태만보험 (E&O, Errors and Omissions Liability), 인터넷배상책임보험 (Internet Liability 11) GovTrack, H.R. 6032 114th Congress: Data Breach Insurance Act, 2016.09 18 e-finance and Financial Security
Research 국내 외사이버보험현황및표준화필요성 Insurance), 네트워크보안보험 (Network Security Insurance) 등이있으며, 주요내용은아래 [ 표 5] 와같다. 표 5 미국의정보보호보험의종류 구분 전위험재물보험 기업휴지보험 영업배상책임보험 과실및태만보험 인터넷배상책임보험 네트워크보안보험 주요내용 보험증권내에특별히예외규정으로명시하지않는한, 보험목적물 ( 보험사고가발생하는객체 ) 에서발생한모든물리적손해, 코딩, 프로그램및소프트웨어의파괴또는상실에대한담보를제공 인터넷사업자가기업의휴지 ( 休止 ) 로인해수익을내지못하는경우그수익에대한보장을제공하고데이터처리와관련된손실에대해서는재물담보특약을통해보장 컴퓨터와관련된직접적인손해외에개인정보유출, 사생활침해등으로발생하는배상책임손실에대해서는주로일반영업배상책임보험, 하자배상책임보험에서담보하며, 인터넷배상책임보험, 네트워크시큐리티보험등을별도로운영 12) 보험계약자의업무활동으로부터야기되는배상책임손해를담보하며, 프라이버시침해, 저작권침해, 불공정경쟁과관련된손실을포함 컴퓨터시스템오류로부터발생할수있는보험계약자의배상책임손실을담보로함 전통적인영업배상책임과는다르게지적재산권침해로인한배상책임손해, 기밀누설또는프라이버시침해로인한배상책임등과같이인터넷으로야기되는배상책임손실을담보로함 13) e-biz 활동과관련하여데이터도난, 컴퓨터바이러스, 서비스접속거부등과관련한손실을담보로하며, 피보험자손실만을담보하는형태와피보험자손실및제 3 자손실까지담보하는형태 2 가지로운영하고, 악성코드의전염 ( 바이러스등 ) 으로인한손실, 권한없는자의접속이나사용으로인한손실, 서비스손실을포함 2. EU 가. 사이버보험시장규모 Marsh 에따르면 2014 년영국의사이버보험시장규모는 2,000 만 (296 억원 ) ~ 2,500 만 (369 억원 ) 파운드에이르는것으로추정된다. 14) 영국의시장규모에서 12) AKO Policyholder Advisor, Property&Liability Insurance for Internet and E-Commerce Risk, 2000.11 13) Anderson Kill & Olick, Internet Liability Insurance, 2001 14) 이소양, 영국의사이버보험활성화방안과전망, 보험연구원, 2015.05 http://www.fsec.or.kr 19
전자금융과금융보안 ( 제 12 호, 2018-04) 알수있듯이유럽기업들의사이버위험에대한인식수준은미국과비교하면낮은편인데, 그이유는미국이유럽보다소송이일반화된것에기인한다고여겨지고있다. 그러나 EU국가들의개인정보보호법개정안은정보유출로인한피해자의집단소송을담는방향으로가고있어향후소송이크게증가될것으로예상된다. 유럽은개인정보유출사고에대한체계적인대책마련을위해유럽네트워크정보보안전문기관인 ENISA(Europe Network and Information Security Agency) 를출범시켜범국가적인노력을기울이고있다. 그노력의결과로기업들이사이버보험가입에대하여긍정적인반응을나타내기시작하였고, 2011년부터 2015년까지의조사에따르면사이버보험에대한인식이점차긍정적으로변해가고있음을알수있다. 그림 2 유럽기업의사이버보험가입의향 15) 특히, 유럽에서는 2018년에시행되는 EU GDPR(General Data Protection Regulation) 로인해기업들의배상책임부담이증가하여사이버보험에대한수요증가추세가가속화될것으로전망되고있다. 16) GDPR 은 EU 내모든개인에대한데이터보호강화등을목적으로하며, 기업이해커에의해공격당하는경우 72시간이내에당국에보고해야한다는것을명시하고있다. 이러한보고를통해 15) ENISA, Cyber Insurance: Recent Advances, Good Practices and Challenges, 2016.11 16) EurActiv, New EU digital laws could boost specialised cyber security insurance, 2016 20 e-finance and Financial Security
Research 국내 외사이버보험현황및표준화필요성 정부는보안침해에대한더많은데이터베이스를구축할수있을것이고, 구축된 상세한정보를보험회사에게피드백으로제공하여, 보험회사는향후위험발생 가능성을계산하는방법을더욱세밀하게조정할수있을것으로기대하고있다. 나. 영국의사이버보험관련법 제도 EU 가맹국에서는공공부문과민간부문을포괄적으로규제하는 EU 개인정보보호지침 (Directive 95/46/EC) 이 1995년제정됨에따라이에맞춰자국법을정비하면서사이버보험상품이판매되기시작했다. 영국의경우 개인정보보호법(Data Protection Act, 1998), 독일은 연방정보보호법(Bundesdatenschutzgesetz: BDSG, 2001), 프랑스는 정보처리, 정보파일및개인의자유에관한 1978년 1월 6일의법률 78-17호, 1978(2004년법률제2004-801호에의해개정 ) 등을제정했다. 특히영국에서는중소기업을대상으로한위험평가의일환으로정부의사이버에센셜 (Cyber Essentials) 인증을권장하고있다. 사이버에센셜은조직이정보보안에대한우수사례를채택하도록권장하는영국정부의제도로, 사이버위협으로부터정보를보호하기위한여러기준들이포함되어있다. 해당제도는조직의 IT 시스템에대한인터넷기반공격에중점을두고있으며, 아래표와같이 5가지주요컨트롤에중점을두고있다. 표 6 사이버에센셜주요컨트롤 1. 방화벽및인터넷게이트웨이 : 하드웨어또는소프트웨어형태로방화벽및인터넷게이트웨이장치를올바르게설정하는것이중요하다. 2. 보안구성 : 시스템이조직의요구사항에맞는가장안전한방식으로구성돼야한다. 3. 액세스제어 : 접근권한이부여된사용자만접근할수있도록보장한다. 4. 맬웨어방지 : 바이러스및맬웨어방지기능이설치되어있는지와최신상태인지를확인한다. 5. 패치관리 : 최신버전의응용프로그램을사용하는지와공급업체가제공하는모든패치가적용되었는지확인한다. http://www.fsec.or.kr 21
전자금융과금융보안 ( 제 12 호, 2018-04) 영국의보험회사, 투자자및감사인은기업의사이버위험정도를평가할때사이버에센셜인증을참고한다. 사이버에센셜인증은검증된자체평가기준에따라부여되는데, 사이버에센셜인증이필요한조직은 CEO 와같은고위경영진이승인한설문지를통해사이버에센셜에대한자체평가를수행한다. 이설문지가적절하게표준화가이루어졌고인증에활용될수있는지는독립인증기관에의해확인된다. 기본사이버에센셜에서조금더발전시킨사이버에센셜플러스 (Cyber Essentials Plus) 도있는데, 이는조직의사이버보안에대해외부전문가의테스트를거쳐인증을받는것으로높은수준의보증을제공하지만사이버에센셜보다더많은비용이소요될수있다. 이러한사이버에센셜및에센셜플러스는보험회사로부터인센티브를받는데사용되기도한다. 그림 3 사이버에센셜및사이버에센셜플러스 또한영국에서는사이버보험사업의발전을위해정부차원에서다양한지원을계획하고주요기반시설사업자들과사이버위협정보공유를위한사이버보안정보공유파트너쉽 (Cyber Security Information Sharing Partnership, CISP) 의기능확대를추진하였다. 17) 사이버보안정보공유파트너쉽 (CISP) 은공용데이터베이스를통해제공되며, 사이버위험에관한데이터및정보를보다쉽게접근하고 17) 배병환외 2 명, 영국의사이버보안추진체계및전략분석, 한국인터넷진흥원, 2014.09 22 e-finance and Financial Security
Research 국내 외사이버보험현황및표준화필요성 사용할수있도록협력하는파트너쉽이다. 이를통해정확한위험도집계및사이버 재난시나리오에대한통찰력이향상될것이라고기대하고있다. 3. 일본 가. 사이버보험시장규모 일본은 2003 년 5월개인정보보호에관한법률이제정 공표되면서사회적으로개인정보취급에관한의식이급속히높아졌다. 18) 특히사업자에게법령에따라개인정보를취급하고적절한위험관리를해야함이요구되었고, 이에사업자는개인정보를취급하는데있어위험대응차원으로보험에가입하게되었다. 일본의사이버보험시장은정보보호서비스시장의 3.3% 를차지하고있으며, 사이버보험시장규모는 2017년기준약 156억엔으로추정된다. 표 7 일본의정보보안및사이버보험시장규모추정 19) ( 단위 : 억엔 ) 시장규모 2014 년추정실적 2015 년추정실적 2016 년추정실적 2017 년추정실적 정보보안제품 ( 툴 ) 시장 4,489 4,705 4,879 5,899 정보보안정보보안서비스시장 3,939 4,260 4,448 4,697 시장합계 8,428 8,965 9,327 10,596 사이버보험시장 105 118 135 156 나. 일본의사이버보험보장범위 IT관련정보보호손해보험의비용보상내역으로는제3자가수행하는업무의전부혹은일부휴지 저해, 전자정보의소실 손괴, 전자정보의유출, 인격권침해 저작권침해, 그외예측할수없고돌발적으로생긴사유로인한지출비용이포함된다. 또한정보유출대응비용에대해서도특약에의해위로금 위로품비용, 18) 배병환, 민경식, 국내정보보호보험시장활성화방안에관한정책제언, Internet & Security Focus, 2013.07 19) JNSA, 2016 년도정보보호시장조사보고서, 2017.06.21 http://www.fsec.or.kr 23
전자금융과금융보안 ( 제 12 호, 2018-04) 원인조사비용, 컨설팅비용, 사고 회견비용, 사죄문서우송비 소비자상담콜센터설치비등을지원하고있다. 일본의개인정보취급사업자보험은개인정보취급사업자에게필요한보상을종합화한상품이고, 제3자에대한손해배상에이어브랜드보호비용 ( 개인정보를유출한사업자가기업브랜드가치를방어하기위해지출하는사죄광고비등의비용 ) 을보상하는특징이있다. 이보험은개인정보보호법에서규정하는개인정보취급사업자 ( 개인정보의취급건수가 5,000건을넘는사업자 ) 에한하지않고, 개인정보를취급하는대부분의사업자가가입할수있다. 그리고개인정보유출보험보험료수준은다음의표와같이연간매출에따라나뉜다. 연간매출 200억엔의편의점의경우책임부분보상한도액이 3억엔이며, 비용부분보상한도액은 3,000 만엔, 보험료는약 60만엔수준이고, 연간매출 100억엔인인터넷소매, 통신판매사업자등의경우책임부분보상한도액은 1억엔, 비용부분보상한도액은 3,000만엔, 보험료는약 50만엔수준이다. 마지막으로연간매출 30억엔인정보서비스사업자등의경우책임부분보상한도액은 5,000 만엔이며, 비용부분보상한도액은 1,000만엔이고, 보험료는약 30만엔수준이다. 표 8 개인정보유출보험보험료수준 20) 구분 책임부분보상한도액 비용부분보상한도액 보험료 연간매출이 200억엔인편의점 3억엔 3,000만엔 약 60만엔 연간매출이 100억엔인인터넷소매, 통신판매사업자등 1억엔 3,000만엔 약 50만엔 연간매출이 30억엔인정보서비스사업자등 5,000만엔 1,000만엔 약 30만엔 각각의경우에면책금액 ( 사고발생시, 보험가입자가기본적으로부담해야하는금액 ) 은모두 10 만엔 이와별개로개인정보유출에대비하여대형 IT 업체를대상으로한상품과 중소기업을대상으로한단체보험도판매되고있다. 단체보험은개인정보유출 20) 보험개발원, 개인정보유출배상책임보험의활성화방안, 2012.12 24 e-finance and Financial Security
Research 국내 외사이버보험현황및표준화필요성 보험이라는명칭으로일본상공회의소및지방상공회의소의회원을대상으로판매되고있으며, 개인정보보호법에대응한위험진단서비스를무료로받을수도있어, 중소기업의개인정보유출위험을줄이는데기여하고있다. 상공회의소단체보험보험료수준은업종과연매출액등으로차이가존재한다. 건설업의경우연매출액이 10억엔이면배상부분보상한도액은 3,000만엔, 비용부분보상한도액은 300 만엔으로보험료는약 8만엔수준이다. 일반소매업의경우연매출액이 1억엔일때, 배상부분보상한도액은 1,000만엔, 비용부분보상한도액은 100만엔이며, 보험료는약 3만엔수준이다. 음식점의경우연매출액이 5천만엔이면배상부분보상한도액은 1,000만엔, 비용분분보상한도액은 100만엔이고보험료는약 3만엔수준이다. 의료기관은연매출액이 3억엔일경우배상부분보상한도액은 5,000 만엔, 비용부분보상한도액은 500만엔이고보험료는약 18만엔수준이다. 자동차판매점의경우연매출액이 10억엔이면, 배상부분보상한도액은 1억엔, 비용부분보상한도액은 1,000 만엔이고보험료는약 21만엔수준이다. 이와같이일본은사이버보험활성화를위해중소기업들이상공회의소를통해저렴한가격으로개인정보유출배상책임보험에가입하도록유도하고있고, 저렴한보험료로보안컨설팅을무료로제공해주는부가적인서비스도운영하고있다. 표 9 상공회의소단체보험보험료수준 21) 업종 연매출액 보상한도액배상부분비용부분 면책 보험료 건설업 10억엔 3,000만엔 300만엔 10만엔 약 8만엔 일반소매업 1억엔 1,000만엔 100만엔 10만엔 약 3만엔 음식점 5천만엔 1,000만엔 100만엔 10만엔 약 3만엔 의료기관 3억엔 5,000만엔 500만엔 10만엔 약 18만엔 자동차판매점 10억엔 1억엔 1,000만엔 10만엔 약 21만엔 주 1) 각종할인요소등을감안하여인수보험회사에서결정 2) 인수보험사 : 동경해상일동, 손보재팬, 삼정주우해상 21) 보험개발원, 개인정보유출배상책임보험의활성화방안, 2012.12 http://www.fsec.or.kr 25
전자금융과금융보안 ( 제 12 호, 2018-04) 4. 한국 가. 사이버보험시장규모 국내사이버보험의연간보험료규모는 2010년기준전자금융거래배상책임보험 54.4 억원, 공인전자문서보관소배상책임보험 1.8억원, e-biz 배상책임보험 14.3억원, 개인정보유출배상책임보험 14.3억원 22) 으로약 79억에그쳤지만 2016년기준사이버보험의연간보험료규모는 322억원으로약 4배증가한것으로나타났다. 하지만이러한시장규모는여전히사이버위협으로인한위험과해외선진국가에비해낮은수준이다. 23) 표 10 국내사이버보험상품구분및보험료규모 24) 구분상품명주요보상내용가입대상 집적정보통신시설사업자배상책임보험 집적정보통신시설의멸실, 훼손, 그외운영장애로발생한피해를보상 집적정보통신시설사업자 보험료 [FY 16] 의무보험 전자금융거래배상책임보험 공인전자문서보관소배상책임보험 해킹또는전산장애등으로금융거래피해를본고객이입은손해를보상 공인전자문서보관소에서전자문서보관등의업무수행과관련하여위법한행위로이용자에게손해를입힌경우손해를보상 금융기관및전자금융업자 공인전자문서보관소 322 억원 임의보험 e-biz 배상책임보험 개인정보유출배상책임보험 피보험자의인터넷및네트워크활동에기인하여타인에게손해를가함으로써피보험자가제 3 자에게부담하여야할법률상의손해를보상 기업이개인정보유출로인해손해배상청구소송을당했을때발생하는손해를보상 온라인쇼핑몰및인터넷사업자등 고객정보를다루는업종 22) 김태형, 개인정보유출배상책임보험시장, 최대 3 조규모, 보안뉴스, 2015.05.31 23) 지연구, 사이버보험현황과과제, 보험개발원, 2017.07 24) 지연구, 사이버보험현황과과제, 보험개발원, 2017.04 26 e-finance and Financial Security
Research 국내 외사이버보험현황및표준화필요성 국내금융회사의자료에따르면, 기업의정보보안담당자들은사이버보험상품중에전자금융거래배상책임보험, 개인정보유출배상책임보험, e-biz 배상책임보험등이있음에도불구하고, 아직까지관련보험을잘모르거나 (43.7%) 알더라도가입하지않은것 (41.4%) 25) 으로나타났다. 특히일반기업들은주로의무보험대상기업만이사이버보험에가입하였고, 다른기업들은사이버보험가입률이나인식률이낮은것으로나타났다. 또한정부에서 9,586개사업체를대상으로한조사에따르면, 사이버위험에대비하는대응활동은 2016 년에 17.1% 의업체만실시하고있었고, 그중에서도정보보호관련보험가입을했다고응답한업체는 1.3% 수준이었다. 그림 4 사이버위험에대한대응활동 26) 사이버보험상품을살펴보면, 미국과일본이다양한손해에대해담보하고있는 반면, 국내는데이터복구, 개인정보유출로인한손해배상비용, 해킹으로인한 손해배상비용등기본적인손해만을담보하고있다. 25) KB 금융지주, 증가하는사이버리스크와사이버보험시장확대, KB 지식비타민, 2016.07 26) 미래창조과학부, 2016 년정보보호실태조사 ( 기업부문 ), 2016 http://www.fsec.or.kr 27
전자금융과금융보안 ( 제 12 호, 2018-04) 표 11 한 미 일사이버보험상품담보비교 27) 담보내용 한국 미국 일본 데이터복구, 대체비용 개인정보유출로인한손해배상비용 네트워크안전확보실패로인한손해배상비용 도난당한정보가공적으로노출되었을때손해배상비용 해킹바이러스관련손해배상비용 사이버범죄유죄판결시의위자료비용 기술적인오류나부주의로일어난손해배상비용 도난당한정보의사용과관련된협박처리비용 정보유출시그정보의소유자에게고지하라는법률비용 서비스중단으로인한외부비용과수입감소분 적절한서비스를제공했음에도불구하고생긴외부비용과수입감소분 정보도난, 유출에대한위기관리비용 정보도난처리비용 벌금 기업평판관련비용 사이버공공기물파손시처리비용 네트워크파괴및침입시대처비용 유럽의개인정보보호법과관련된비용 포괄적인접근에대한보호비용 ( 오프라인매개체포함 ) 사이버테러리즘에대한보상 내부직원에의한데이터유출개인정보위탁처의누설로인한피해보상후, 이에대해반환청구를하지않음피보험자의부주의, 실수로인해생긴데이터손실보상클라우드컴퓨팅이용기업을대상으로일반사이버보험보장제공 27) 김소연외 3 명, 국내사이버위험과사이버보험에관한연구, 보험학회, 2014 28 e-finance and Financial Security
Research 국내 외사이버보험현황및표준화필요성 나. 사이버보험관련법 제도 국내에서사이버보험이명시된법률에는정보통신망이용촉진및정보보호등에 관한법률, 전자문서및전자거래기본법, 전자금융거래법, 신용정보의이용및 보호에관한법률이있으며주요내용은 [ 표 12] 와같다. 표 12 사이버보험관련법률 법률조항주요내용 정보통신망이용촉진및정보보호등에관한법률 전자문서및전자거래기본법 전자금융거래법 신용정보의이용및보호에관한법률 제 46 조제 2 항 제 31 조의 16( 배상책임및보험가입 ) 제 9 조 ( 금융회사또는전자금융업자의책임 ) 제 43 조의 3 ( 손해배상의보장 ) 집적정보통신시설사업자는집적된정보통신시설의멸실, 훼손, 그밖의운영장애로발생한피해를보상하기위하여대통령령으로정하는바에따라보험에가입하여야한다 공인전자문서센터는전자문서보관등과관련하여이용자에게손해를입혔을때에는손해를배상하기위하여대통령령으로정하는바에따라보험에가입하여야한다 금융회사또는전자금융업자는접근매체의위조나변조로발생한사고, 전자적전송이나처리과정에서발생한사고, 정보통신망에침입하여거짓이나그밖의부정한방법으로획득한접근매체의이용으로발생한사고로인하여이용자에게손해가발생한경우에는그손해를배상할책임을진다 이를위해금융회사또는전자금융업자는금융위원회가정하는기준에따라보험또는공제에가입하거나준비금을적립하는등필요한조치를하여야한다 신용정보회사등은손해배상책임의이행을위하여금융위원회가정하는기준에따라보험또는공제에가입하거나준비금을적립하는등필요한조치를하여야한다 전자금융거래법에의해가입해야하는전자금융거래배상책임보험은금융기관, 기명피보험자의전 현직임원, 직원, 수탁인, 승계인또는양수인등을가입대상으로하며, 동보험은금융소비자가인터넷뱅킹등전자금융거래를이용함에있어접근매체의위 변조로발생한사고, 해킹이나전산장애등의계약체결또는거래지시의전자적전송 처리과정에서발생한사고에대하여이용자가입은손해를보상한다. 금융기관또는전자금융업자가전자금융사고배상책임을이행하기위해보험또는공제 28) 에가입시지급되는보상한도는금융업종별, 전자 http://www.fsec.or.kr 29
전자금융과금융보안 ( 제 12 호, 2018-04) 금융업무별로다르며, 기관별가입해야하는보험의기준보상한도를 [ 표 13] 과 같이설정하고있다. 29) 표 13 전자금융사고책임이행을위한보험가입기준 기관별종류은행 ( 지방은행 외은지점 * 제외 ), 지주회사, 정보집중기관, 신용조회회사등지방은행, 외은지점, 저축은행, 보험회사, 금융투자업자, 신협등금융기관기타기관 기준보상한도 20억원이상 10억원이상 5억원이상 * 외은지점 : 외국은행의국내지점 금융업종별보험가입기준을보면은행 ( 지방은행 외은지점제외 ), 지주회사, 정보집중기관, 신용조회회사등의경우가입해야하는보험의보상한도수준을 20억원이상으로하고있으며, 지방은행, 외은지점, 저축은행, 보험회사, 금융투자업자, 신협등금융기관은 10억원이상, 기타기관은 5억원이상으로하고있다. 다만, 전자금융거래법에따른배상책임보험이신용정보유출을함께보장할경우가입기준보상한도금액을차감하여중복가입부담을완화하고있다. 금융기관은사이버보험대신, 사이버사고발생시사용할전자금융사고책임이행을위한준비금을적립할수도있는데, 이때준비금은보험보상한도에준하는금액이되도록해야한다. 2014년도금융감독원은국내주요금융회사 ( 은행, 생명보험사, 손해보험사, 여신전문금융사, 증권사등 ) 총 78개를대상으로개인정보유출배상책임보험가입현황을조사한결과보험에가입한금융회사는 30개사에불과한것으로나타났다. 30) 은행중에서는 5개은행만개인정보유출배상책임보험에가입했고, 4개은행은의무보험인전자금융거래배상책임보험에만가입했으며, 8곳은전자금융거래배상책임보험에가입하지않고, 최저보상한도에준하는준비금만적립한것으로나타났다. 특히생명보험사의경우가입실적이 28) 특정목적으로조직된단체의조합원간의상호부조를위해운영되는제도로, 공제가입대상이불특정다수가아닌조합원이라는점에서생명보험과다름 29) 전자금융감독규정, 금융위원회고시, 2016 30) 장규진, 정보유출배상책임보험가입금융사 30 곳불과, 더벨, 2016.12 30 e-finance and Financial Security
Research 국내 외사이버보험현황및표준화필요성 더저조하였는데, 조사대상 25개사중 5개사만개인정보유출배상책임보험에가입하고있었다. 반면, 손해보험사의경우는조사대상 15개사모두개인정보유출배상책임보험에가입한것으로나타났는데, 이는손해보험사가직접상품을취급하고있기때문에다른금융회사에비해개인정보유출배상책임보험의인식이높은것으로파악된다. 또한여신전문금융사의경우조사대상 8개중 3개사만배상책임보험에가입했으며, 증권사는 13개사중에서 2개사만보험에가입했다. 이에대해금융회사들은법 규제상개인정보유출배상책임보험이의무보험이아니기때문에가입할필요성을크게느끼지못하고있고, 전자금융거래법및감독규정상보험보상한도액이상의준비금을적립하면된다고명시하고있기때문에보험에가입할이유가없다고응답한것으로파악된다. Ⅲ 사이버보험표준화필요성 1. 보험계약을위한정보공유 ISO는 2016년 10월 사이버보험가이드라인 을제안 31) 하였고, 2017년 11월부터는가이드라인에대한의견수렴을받고있다. 32) 가이드라인은피보험자 ( 가입조직 ) 와보험회사가사이버보험계약을위해필요한정보에대한내용을포함하고있다. 표 14 ISO 사이버보험가이드라인 주요내용 (a) 사이버보안사고관리를위한사이버보험이용 (b) 보험자와피보험자간의정보공유 (c) 사이버보험을통한사이버사고의영향도 (impact) 관리 (d) 보험회사와관련데이터및정보를공유하기위한 ISMS 활용 31) ISO/IEC JTC 1/SC 27, Proposal for a new work item on (ISO/IEC NP 27102) Information technology Security techniques Information security management Guidelines for cyber insurance, 2016.12 32) ISO/IEC JTC 1/SC 27/WG 1, 2nd Working Draft of ISO IEC 27102 WD2 Guidelines for Cyber Insurance, 2017.11 http://www.fsec.or.kr 31
전자금융과금융보안 ( 제 12 호, 2018-04) 가이드라인에따르면사이버보험계약이이루어지기위해서는피보험자와보험회사간에교환해야하는정보가있다. 즉, 피보험자가사이버위협으로부터조직을보호하기위해하고있는노력, 피보험자가보험회사에전가하고자하는위험정보를교환해야한다. 또한보험회사는피보험자의보험가입으로인수하게되는위험을예측할수있어야하고, 사이버보험정책을만들고가격을책정할수있어야한다. 한편, 피보험자는보험에대한검토와보험정책에대한명확한이해가필요하며이러한보험정책들이어떻게조직을보호하는지이해할필요가있다. 먼저, 피보험자는자기조직의정보자산을식별해야하는데이때, 조직이보유한정보자산에는고객개인정보도포함된다. 그리고보험의보장영역에대해이해해야하며, 정보자산이물리적으로저장된위치 33) 를명확히파악할필요가있다. 그리고특정사이버보험은단지일부만보장하기때문에사이버보험에서보장하는정보자산카테고리를이해하고이부분에대해반드시확인해야한다. 뿐만아니라, 정보자산의민감도에대해서도이해할필요가있는데특히, 중요한지적재산이나고객정보등을식별해야한다. 정보자산식별및수집단계에서피보험자는사이버보험가입범위에포함시킬정보자산식별및수집에정보보호관리체계 (ISMS) 를활용할수있다. ISMS 인증을받은기업은 ISMS체계를통한결과물을수집 분석 관리하고위험관리활동을수행하며, 수집된데이터를공개하는데이때, 공개하는데이터형태는보험회사와피보험자사이에합의될수있다. 피보험자는비즈니스활동을하는동안사이버보안위험에노출될수있는데만약이러한사이버보안위험이사이버보안사고로실현된경우에는피해비용에대한분석도수행해야한다. 보험회사는피보험자의정보자산및시스템과관련된조직의전반적인잠재적위험노출정도와피보험자가이러한정보자산및시스템에얼마나의존하는지를이해해야한다. 보험회사가검토하는것에는피보험자의재무상태 ( 대차대조표, 손익계산서, 현금흐름표등 ) 도포함될수있으며, 여기에는데이터교환, 감사, 33) 물리적으로저장된위치를파악한다는것은정보자산을조직내부에저장 관리하는지또는클라우드서비스같은외부서비스제공자를활용하는지등에대해파악하는것을의미 32 e-finance and Financial Security
Research 국내 외사이버보험현황및표준화필요성 보안테스팅, 문서검토등의활동이수반될수있다. 데이터교환에는피보험자의사이버보안활동관련정보, 교환정보의포맷정의, 합의된정보에대한업데이트주기를정의해야한다. 또한보험회사는피보험자의사이버보안활동에대해자체감사또는제3자를활용한감사를실시할수있다. 감사는산업계의최선책에따라수행되어야하고, 보험회사는감사결과를피보험자에게공유할지에대해결정해야한다. 보험회사는피보험자의정보보안통제상태를확립하기위한보안테스팅수행에모의침투테스트, 사회공학적공격등이포함할수있다. 또한보험회사는사이버보안활동과관련하여피보험자가보유한모든문서를검토해야하는데, 이러한문서에는 ISMS 문서, 내부또는외부감사보고서및후속결과보고서, 정보보안 / 사이버보안인증, 조직정책, 절차및지침이포함될수있다. 해당문서외에도피보험자에게이전에발생한사이버사고와발생기간동안에수집된문서와사고이후에수집된문서도검토해야한다. 이외에보험회사가사이버보험을위해가입기관을평가할때다음과같은여러가지요소를이해해야한다. (a) 피보험자의전반적인위험노출 ( 손실기록, 사업운영기간, 재정적인상태등포함 ) (b) 사고가해당피보험자에발생할빈도또는가능성 (c) 사고로인해피보험자에손해를끼칠빈도나가능성, 조직이법적으로책임이있는다른사람들에게손해를끼칠빈도나가능성 (d) 사고의심각성또는보험비용 (e) 구현된정보보호관리체계 (ISMS) 의효과성 (f) 아웃소싱된네트워크보안서비스의사용범위, 벤더사나공급업체에대한의존성 (g) 사이버보안손실을피하거나줄이기위해채택된예방활동 보험회사는사고가발생하게되면, [ 표 15] 의사고유형중하나로사고를 http://www.fsec.or.kr 33
전자금융과금융보안 ( 제 12 호, 2018-04) 분류하게된다. 이러한분류는보험보장영역에포함되는사고인지를결정하는 데활용될수있고, 보험정책수립이나보험료산출, 피보험자의청구와관련된 지불금의규모등을결정하는데활용될수있다. 표 15 사이버보험사고유형 참조사고유형설명 1 시스템오작동 / 문제 자체시스템또는네트워크가오작동하거나타사시스템또는공급업체의시스템이손상을입어작동하지않고, 디지털작업에영향을미침 2 데이터기밀침해자체시스템에저장된데이터의도난 / 노출 3 데이터무결성 / 가용성자체시스템에저장된데이터의손상 / 삭제 4 악의적인활동 소셜플랫폼 (SNS) 에서의사이버괴롭힘또는데이터삭제를위한피싱시도와같이해를끼치거나, 사이버사기와같이불법적으로이익을얻기위한디지털시스템의남용 보험회사는일반적으로피보험자의산업부문, 조직규모, 그리고피보험자의위험노출과연관된비즈니스의활동유형을고려해야한다. 또한추가적인위험노출을파악하기위해 (a) 저장되고사용되는정보의범위와유형, (b) 네트워크시스템에대한의존성, (c) 조직의규제대상여부등을파악해야한다. 이때, 매우민감한정보를사용하는금융기관및의료 건강관리조직은일반적으로더높은위험노출의대상이되는것으로간주되어보다높은위험노출범주에놓이게된다. 그림 5 ISMS 에서제공하는데이터및정보 34) 34 e-finance and Financial Security
Research 국내 외사이버보험현황및표준화필요성 보험회사는정보보호관리체계 (ISMS), 사이버보안측정프로그램 (ISO/IEC 27004 기반 ), 위험관리활동 (ISO/IEC 27005 기반 ) 에관한데이터를수집하고, 이를사이버보험에활용할수있다. 특히사이버보험정책과관련된정보수집을지원하는데 ISMS 를사용할수있고 ISMS 에서제공할수있는정보는 [ 그림 5] 와같다. 보험회사는피보험자가사이버보안위험으로부터정보자산을보호하기위해적용하고있는표준 35) 문서까지도평가하려고노력해야한다. 평가시에는기술, 프로세스및인력을검토하고, ISO/IEC 27002 에서식별된통제항목을포함하며, 통제항목에대한자세한설명은 [ 표 16] 과같다. 표 16 정보보호관리체계 (ISMS) 통제항목 (a) 정보보안정책 : 정보보안조직의정보보안에대한방향및지원을명확히하는정책을정의 (b) 정보보안조직 : 이해관계의상충을피하고부적절한활동을방지하기위해정보보안을위한역할과책임을정의하고할당 (c) 인적자원보안 : 직원, 계약자및임시직원의생명주기를관리할때고려해야할책임 (d) 자산관리 : 정보자산에대한책임, 보안목적에따른분류, 정보저장매체관리 (e) 액세스관리 : 네트워크연결제한및접근이제한된정보자산에대한액세스관리 (f) 암호화 : 디지털서명이나메시지인증코드와같은무결성제어및암호화키관리정책 (g) 물리적보안 : 허가되지않은접근으로부터건물, 사무실, 방등을보호하기위한물리적출입통제및물리적경계와장벽을정의 (h) 운영보안 : 운영절차및책임, 맬웨어방지, 백업, 로깅및모니터링, 운영소프트웨어제어, 기술적취약성관리및정보시스템감사 (i) 통신보안 : 네트워크보안관리및정보전송 (j) 시스템개발및유지보수 : 정보시스템의보안요구사항, 개발및지원프로세스보안, 테스트데이터관리 (k) 외부공급업체관리 : 외부공급업체의액세스관리및공급업체의서비스관리 (l) 정보보안사고관리 : 정보보안사고및개선관리 (m) 비즈니스연속성관련정보보안 : 정보보안연속성 IT 설비의중복성 (n) 컴플라이언스 : 법적 계약적요구사항및정보보안검토 34) ISO/IEC JTC 1/SC 27, Proposal for a new work item on (ISO/IEC NP 27102) Information technology Security techniques Information security management Guidelines for cyber insurance, 2016.12 35) ISO/IEC 27001, ISO/IEC 27002 및특정분야별표준 http://www.fsec.or.kr 35
전자금융과금융보안 ( 제 12 호, 2018-04) 2. 표준화가필요한분야 보험회사는사이버보험에가입하고자하는조직을피보험자로받아들일지결정해야하고, 이를위해데이터교환, 감사, 보안테스팅, 문서검토등해당기업에대한사이버위험을평가하는과정이필요하다. 따라서보험회사는가입자에대한사이버위험을평가할수있는평가체계를수립해야한다. 그러나대다수의보험회사는정보보안분야에관한이해도가높지않기때문에사실상사이버위험을평가할수있는기준을자체적으로마련하기란쉽지않다. 더구나가입하려는피보험자는사고경험이나해당회사가보유한위험정보를제 3자인보험회사에공개하는것을꺼리게된다. 민감한사고경험을기업들이알릴의무가없고, 민감한고객정보가포함되어있는사고라면더욱공개하기를꺼리게되는것이다. 따라서객관적인정보들이확보되지못하면보험회사입장에서는큰부담이되기때문에사이버보험을통한위험인수는사실상어려워지게된다. 이러한문제를해결하기위해서는보험에가입하는조직에대한객관적인위험평가체계를표준화할필요가있다. 피보험자가제공해야하는정보, 보험회사가파악해야하는정보, 이를이용한합리적인위험산출방식이표준화된다면피보험자나보험회사등시장에서신뢰가형성되기때문에사이버보험시장의기틀이마련될수있을것으로예상된다. 사이버보안분야에대한보험회사의관련지식한계를극복하기위해서는보험회사외에제3의전문기관에서사이버위험을평가할수있는평가체계를개발할필요도있다. 전문기관의위험평가서비스를활용하면사이버위험평가결과에대한신뢰도를제고할수있을것이며, 이를통해사이버보험시장의활성화에도큰도움이될것으로보인다. 그리고제3의전문기관중에서도위험평가기관은보험대상범위에대한체계적인위험평가를수행하게된다. 위험평가기관은가입하려는조직을위한서비스와보험회사를위한서비스를구별해서진행하는데, 가입하려는조직에게는현장실사등을통해적정한보험가입금액을제안하고위험률을경감시킬수있는방안을제공하며, 보험회사에게는보험가입시필요한정보를제공하게된다. 또한 36 e-finance and Financial Security
Research 국내 외사이버보험현황및표준화필요성 보험회사에게자산에대한위험등급, 주요위협및보안관리현황, 보험회사의위험인수여부및보험요율 ( 보험료를산정하기위한기초자료 ) 결정에필요한보험가액등의정보를제공하여보험회사가합리적인의사결정을할수있도록지원한다. 예를들어화재보험시장의경우, 위험평가기관은화재에대한위험을체계화시키고, 이를평가하기위해화재위험평가시스템을개발하여관리하기도한다. 화재위험평가시스템은화재발생에대한대응수준평가정보를이용하여화재위험평가대상의화재위험지수를산출하며, 산출된화재위험지수를이용하여화재위험평가대상의화재예상손실액을계산하기도한다. 이와같이, 사이버보험시장에서도위험을평가할수있는체계가표준화되어야하며, 사이버위험의여러특성상이러한역할은제3의위험평가기관에서수행하는것이보다효과적일것이다. 사이버보험상품가입자인피보험자와보험상품을판매하는보험회사의계약관계사이에제3 의기관이개입하여, 객관적으로위험을평가 분석하고정보를제공한다면, 기존사이버보험의가입조건 절차가보다객관적이고신뢰도높은체계로발전할수있을것으로판단된다. IV 결론 미국, 영국, 일본등해외사이버보험시장의동향을조사하고현행사이버보험시장의상황을분석하였으며, 국내사이버보험시장과비교하여국내시장의한계점을파악하였다. 뿐만아니라해외에서추진되고있는사이버보험에대한국제표준동향을살펴보고우리나라상황에서사이버보험의표준화가필요한금융권분야등에대해살펴보았다. 이러한분석자료들은사이버보험활성화를위한법 제도적정책과제발굴에도움이될것으로판단된다. 또한사이버보험에가입하고자하는기업들에게사이버보험가입시제공할수있는실질적인인센티브를설계하는데도움이되고, 보험회사들에게는합리적인위험평가나보험요율평가지원등을통해보다적절한상품을개발하는데도움이될것으로생각된다. http://www.fsec.or.kr 37
전자금융과금융보안 ( 제 12 호, 2018-04) 참고문헌 [ 국내문헌 ] [1] KISA, Internet & Security Biweekly, KISA Library, 2014.06 [2] KB금융지주, 증가하는사이버리스크와사이버보험시장확대, KB 지식비타민, 2016.07 [3] 개인정보보호위원회, 개인정보보호연차보고서, 2012 [4] 과학기술정보통신부, 호스팅업체침해사고중간조사결과발표및후속대책논의, 보도자료, 2017.06 [5] 김소연외 3명, 국내사이버위험과사이버보험에관한연구, 보험학회, 2014 [6] 김진억, 2016년사이버보안위협전망과미국의보험입법동향, KiRi Weekly, 2016.01 [7] 김태형, 개인정보유출배상책임보험시장, 최대 3조규모, 보안뉴스, 2015.05.31. [8] 미래창조과학부, 2016년정보보호실태조사 ( 기업부문,2016) [9] 배병환외 2명, 영국의사이버보안추진체계및전략분석, 한국인터넷진흥원, 2014.09 [10] 배병환, 민경식, 국내정보보호보험시장활성화방안에관한정책제언, Internet & Security Focus, 2013.07 [11] 보험개발원, 개인정보유출배상책임보험의활성화방안, 2012.12 [12] 손해보험협회, 일본의손해보험시장에서의상품동향, 2009.10 [13] 이소양, 미국사이버보험시장의최신동향, KiRi Weekly, 2015.06 [14] 이소양, 영국의사이버보험활성화방안과전망, 보험연구원, 2015.05 [15] 장규진, 정보유출배상책임보험가입금융사 30곳불과, 더벨, 2016.12 [16] 전자금융감독규정, 금융위원회고시, 2016 [17] 주간무역, 글로벌사이버공격, 136조원경제손실가능성, 뉴시스, 2017.07 [18] 지연구, 사이버보험현황과과제, 보험개발원, 2017.04 [19] 지연구, 사이버보험현황과과제, 보험개발원, 2017.07.19. [20] 최민지, 2011년이후 2억건개인정보털렸다, 디지털데일리, 2017.07 [21] 국정보화진흥원, 영국사이버보안위협대처를위한새로운파트너십시작, 2013.04 [22] 행정자치부, 개인정보보호실태조사, 2016 38 e-finance and Financial Security
Research 국내 외사이버보험현황및표준화필요성 [ 해외문헌 ] [1] AKO Policyholder Advisor, Property&Liability Insurance for Internet and E-Commerce Risk, 2000.11 [2] Anderson Kill & Olick, Internet Liability Insurance, 2001 [3] ENISA, Cyber Insurance: Recent Advances, Good Practices and Challenges, 2016.11 [4] EurActiv, New EU digital laws could boost specialised cyber security insurance, 2016 [5] GovTrack, H.R. 6032 114th Congress: Data Breach Insurance Act, 2016.09 [6] HUNTON&WILLIAMS, New York Banking Regulator Announces New Cybersecurity Assessment Process, Privacy&Inforamtion Sercurity Law Blog [7] JNSA, 2016년도정보보호시장조사보고서, 2017.06.21. [8] Marsh, UK Cyber Security: The Role of Insurance in Managing and Mitigating the Risk, 2015.03 [9] McAfee, The Economic Impact of Cybercrime and Cyber Espionage, 2013.06 [10] Munich RE, Cyber Risk Research HSB s 2016 Survey, Hartford Steam Boiler Inspection and Insurance Company, 2016 [11] Office of Compliance Inspections and Examinations, OCIE s 2015 Cybersecurity Examination initiative, 2015.09 [12] Ponemon, Cost of Data Breach Study Global Analysis, 2015 [13] ISO/IEC JTC 1/SC 27, Proposal for a new work item on (ISO/IEC NP 27102) Information technology - Security techniques - Information security management - Guidelines for cyber insurance, 2016.12 [14] ISO/IEC JTC 1/SC 27/WG 1, 2nd Working Draft of ISO IEC 27102 WD2 Guidelines for Cyber Insurance, 2017.11 [15] Telecommunications Industry Association, TIA s ICT Market Review and Forecast, 2014 [16] The Betterly Report, Cyber/Privacy/Media Liability Market Survey, 2013~2017 [17] The Betterly Report, Cyber/Privacy/Media Liability Market Survey, 2017.06 [18] The Council, Cyber Insurance Market Watch Survey_Executive Summary, 2017.05 http://www.fsec.or.kr 39
금융회사정보보호투자효과산출모델검토 연구총괄팀 * Ⅰ 검토개요 43 Ⅱ 정보보호투자의특성 44 1. 투자규모증가와투자효과 44 2. 정보보호투자효과의정량적측정곤란 45 3. 정보보호투자의유형별분류 45 Ⅲ 주요정보보호투자효과및피해액산출방법사례 47 1. ROSI(Return On Security Investment) 산출 47 2. Gordon & Loeb 모델의피해액산출 48 3. 신진모델의사이버사고피해액산출 49 Ⅳ 금융회사정보보호투자효과산출모델 ( 안 ) 51 1. 소개 51 2. 제안모델을이용한투자효과산출예시 55 Ⅴ 향후정보보호투자시고려사항 60 < 참고문헌 > 61 * 금융보안원보안연구부연구총괄팀 (e-mail: cchany@fsec.or.kr)
전자금융과금융보안 ( 제 12 호, 2018-04) 요약 금융회사정보보호임직원은매년정보보호투자규모, 방법등을결정할때어느정도의투자가적절한지에대해고민할것이다. 하지만정보보호의특성상투자대비사고예방효과등을구체적으로정량화하는것은한계가있어투자결정이쉽지않다. 2000 년대초반부터국내의정보보호전문가들은정보보호투자효과산출방안에대해서고민해왔으나금융회사에서직접활용할수있는방안을제시하는것은쉽지않은상황이다. 본고에서는금융회사가정보보호투자시참고할수있는새로운정보보호투자효과산출모델을소개한다. 이모델은국내 외관련연구를조사하여기존정보보호투자효과산출모델을국내금융환경에맞도록수정 보완한것이며, 금융회사가새로운산출모델을실제업무에쉽게적용할수있도록산출예시를포함하여작성하였다. 또한제안모델의이해를돕기위해, 정보보호투자의특성과주요정보보호투자효과및피해액산출방법사례, 향후정보보호투자시고려사항등을함께살펴보고자한다. 42 e-finance and Financial Security
Research 금융회사정보보호투자효과산출모델검토 02 금융회사정보보호투자효과산출모델검토 Ⅰ 검토개요 전문가들은 2013년 3 20 대란 과같은대규모의사이버사고발생시, 정보보호에더많은투자를해야한다고한다. 하지만, 어느정도의투자가적절한지에대한정확한산출이쉽지않은실정이다. 특히사이버사고의경우, 사고발생에따른손실규모나피해금액의정확한산정, 그리고명확한사고인과관계분석이곤란하다. 그리고정보보호투자시, 투자대비사고예방효과등을구체적으로정량화하는것이어려운특징이있다. 하지만, 이러한어려움에도불구하고최대한투자효과측정을정량화한다면금융회사는정보보호투자효과를산출하여최적의투자를할수있을것이다. 본고에서는국내 외에서연구된정보보호투자효과산출모델을국내금융환경에맞도록수정하여 금융회사정보보호투자효과산출모델 을제시하고자한다. 이는정보보호투자관련국내 외연구자료를조사하여정보보호투자가갖는특성을분석함으로써정보보호투자에대한금융회사담당자들의이해를돕고, 금융회사가정보보호투자시참조할수있는자료가될것이다. http://www.fsec.or.kr 43
전자금융과금융보안 ( 제 12 호, 2018-04) Ⅱ 정보보호투자의특성 1. 투자규모증가와투자효과 전문가들은사이버공격의유형, 빈도수, 성공률, 피해액등을고려하여정보보호투자대비효과를측정한결과, 투자가늘어나면공격방어율은상승하나상승폭이점차감소함 1) 을알수있다. 아래의상관관계그래프를보면일정수준의투자이후에는투자액이증가되더라도사이버공격방어율은같은비율로증가하지못하기때문에, 투자효과가줄어든다. 이때투자효과만을고려한기업은정보보호투자규모를일정수준이하로유지하려는경향을보일수있다. 이와같은경우에는단순히투자규모를늘리는것대신외부전문기관의도움이나업권별공동대응등사이버공격방어율을효과적으로높일수있는방법을추가로사용하여, 정보보호에취약점이발생하지않도록운영하는방법을모색할필요가있다. 그림 1 정보보호투자대비사이버공격방어율상관관계그래프 1) 김정덕, 박정은, TCO 기반정보보호투자수익률 (ROSI) 에대한연구, 2003 44 e-finance and Financial Security
Research 금융회사정보보호투자효과산출모델검토 2. 정보보호투자효과의정량적측정곤란 일반적인투자대비효과측정은 ROI(Return On Investment) 분석방법을사용한다. 하지만, 정보보호투자는사고정보가서로쉽게공유되지않기때문에사고관련데이터수집이곤란하고정보보호투자효용성을정량화하는데한계를가지고있다. 또한 ROI 분석방법은정보보호교육으로인한효과등정보보호투자의무형적인효과를반영하는것과시장가치나주가하락등의장기적정보보호투자효과반영도쉽지않기때문에 R(Return) 을계산하기가어렵다 2). 그리고 R 계산의어려움과함께일반적인 IT투자와정보보호투자에대한명확한구분이모호하기때문에 I(Investment) 계산도어려울수있다 3). 예를들면, 전자금융서비스는고객식별과정없이는불가능하지만, 생체인증등고도화된인증서비스를적용하지않더라도전자금융서비스는수행가능한것과같이, 일부정보보호투자는서비스를위한필수적인 IT비용과서비스경쟁력제고를위한투자비용의경계가모호하다. 3. 정보보호투자의유형별분류 본절에서는정보보호투자에대한이해를돕기위해, 투자유형을네가지로분류하였다. 네가지는각각업무수행을위해반드시필요한투자인 기본투자, 사고가능성이높거나예방효과가큰부문에대한투자인 일반투자, 높은기술력이나투자비용이요구되고효과확인이어려운부문에대한투자인 상급투자, 서비스경쟁력을높이기위한투자인 비교우위확보투자 이다. 2) 신영웅, 전상훈, 임채호외 1 명, 국가사이버보안피해금액분석과대안, 국가정보연구제 6 권 1 호, pp. 129-173, 2013.10 월 3) Matthias Brecht and Thomas Nowey, A Closer Look at Information Security Costs, Workshop on the Economics of Information Security, 2012 http://www.fsec.or.kr 45
전자금융과금융보안 ( 제 12 호, 2018-04) 이때일반투자와상급투자의경우, 해당업무에관련된사이버위협이높아지면해당업무의투자유형이재분류될수있다. 예를들어보호수준향상을위해, 일반투자에해당하던업무를기본투자로분류하고상급투자에해당하던업무를일반투자로분류할수있다. 표 1 투자유형 기본투자 정보보호투자유형및특징과해당업무 내용 업무수행을위해반드시필요하며 IT부문투자와경계가모호 ( 해당업무 ) 고객식별및인증, 업무연속성확보, 데이터백업등 사고가능성이높거나예방효과가큰부문에대한투자로미투자시피해발생가능성이매우높음 일반투자 - 우리나라는법규, 가이드등에서금융회사가준수토록규정 ( 해당업무 ) 백신설치, 망분리, 데이터암호화, 네트워크전송암호화, 침입탐지및차단 *, 취약점분석평가 *, 이상거래탐지 (FDS) *, 침해위협정보공유 *, 사이버대응훈련 *, 침해사고조사 *, 정보보호교육 ( 일반 ) *, 보안성검토 * 등 높은기술력이요구되거나투자비용이크고상대적으로효과확인이어려운부문에대한투자 상급투자 - 핵심시설이나대량의중요정보를보유하고있는금융회사는사고예방과회복탄력성 (Resilience) 을위해최대한투자필요 ( 해당업무 ) 정보보호정책 기술연구 *, 침해위협분석 *, 국내 외위협정보공유 *, 정보보호교육 ( 고급 ) *, 정보보호컨설팅 *, 보안인증 * 등 비교우위확보투자 보안성은저하되지않으면서고객편의성등을높여서비스경쟁력을높이기위한투자 ( 해당업무 ) 생체인증, 블록체인, 빅데이터, 머신러닝을이용한이상거래탐지 (FDS) 등 별표시 (*) 된해당업무는금융보안원에서제공하는서비스 46 e-finance and Financial Security
Research 금융회사정보보호투자효과산출모델검토 Ⅲ 주요정보보호투자효과및피해액산출방법사례 본절에서는 4장에서소개할금융회사정보보호투자효과산출모델 ( 안 ) 의이해를돕기위해, 본산출모델설계시타모델에비해보다적절하다고판단되는정보보호투자관련기존모델인 ROSI, Gordon & Loeb 모델, 신진모델세가지에대해설명하고자한다. 1. ROSI(Return On Security Investment) 산출 4) ROSI 는 ROI 분석을준용하여연간사고발생횟수, 1 회피해금액, 예방확률, 정보보호솔루션비용등을사용해다음과같이계산한다. ROSI 자산손실분 정보보호솔루션비용정보보호솔루션비용 연손실기대치 ALE 정보보호솔루션도입시 ALE 정보보호솔루션비용정보보호솔루션비용 ALE ALE감소비율 정보보호솔루션비용정보보호솔루션비용 ALE 정보보호사고연간발생횟수 ARO 정보보호사고건당손실기대치 SLE MitigatedALE 5) 예를들어, 1 년에 5 회의공격을받았고, 1 회의공격방어실패당피해금액이 1,500 만원인 A 사가 B 사의백신프로그램 ( 가격 : 2,500 만원, 탐지율 : 80%) 을 도입했다는가정을설정하여 ROSI 를계산하면다음과같다. 만원 만원 ROSI 만원 4) ENISA, Introduction to Return on Security Investment, 2012 5) ALE: Annual Loss Expectancy, ARO: Annual Rate of Occurrence, SLE: Single Loss Expectancy http://www.fsec.or.kr 47
전자금융과금융보안 ( 제 12 호, 2018-04) 계산된 ROSI 가 100% 이상이므로 B 사의백신프로그램은비용대비효과적 이라고할수있다. 2. Gordon & Loeb 모델의피해액산출 6) Gordon & Loeb 모델에서는명시적비용, 잠재적비용, 직접비용, 간접비용으로사이버공격피해금액을산출 7) 한다. 직접비용이란사이버공격으로인해직접적으로발생하게된사고복구비용등을말하며, 간접비용은공격으로인해간접적으로발생하게된사고예방비용등을말한다. 이경우, 명시적비용으로서의직접비용은감소한매출이익, 복구비용, 생산성저하손실비용, 복구불능정보자산가치를모두합한것이되고, 간접비용은예방투자액이된다. 또한, 잠재적비용으로서의직접비용은잠재적책임비용이되고, 간접비용은주가하락및이미지손상등이된다. 표 2 Gordon & Loeb 모델의피해액산출항목 구분명시적비용잠재적비용 직접비용 기대이익감소매출이익감소생산성저하 추가비용발생복구비용복구불능정보자산가치 잠재적책임비용 간접비용예방투자액주가하락, 이미지손상등 예를들어, Gordon & Loeb 모델로 2013 년 3 20 대란 피해액을산출해보면 다음과같다. 6) ENISA, Introduction to Return on Security Investment, 2012 7) 신영웅, 전상훈, 임채호외 1 명, 국가사이버보안피해금액분석과대안, 국가정보연구제 6 권 1 호, pp. 129-173, 2013.10 월 48 e-finance and Financial Security
Research 금융회사정보보호투자효과산출모델검토 2013년 3 20 대란피해액 : 8,673억원 직접비용 : 1,362억원 ( 매출이익감소 22억 + 생산성저하손실 365억 + 복구비용 571억 + 복구불능정보자산가치 404억 ) 간접비용 : 예방투자비용 1억원 잠재적비용 * : 주가하락 7,310억원 * 잠재적책임비용, 이미지손상등은실제산출이어려워미포함 이와같은방식으로 2003년 1 25 대란 의피해액을계산하면 1,055 1,675억원, 2009년 7 7 디도스 는 363 544억원으로계산할수있다. 한편, 2013년 3 20 대란 과달리, 2016년 DD4BC와 2017년아르마다컬렉티브디도스공격의경우사전정보보호투자로금융회사피해가미미했다. 그리고 2016 년대기업 PC 13만여대를감염시킨북한발유령쥐사건도대응이늦었더라면천문학적피해가발생할수있었으나, 금융회사가사전정보보호투자로피해가발생하지않은사례중에하나이다. 3. 신진모델의사이버사고피해액산출 8) 신진모델은국내사이버사고피해금액에대한정보수집이어려운것을 감안한모델이다. 신진모델에따른국내사이버사고피해액산출방법은공개된 해외피해액과, 국내 외 GDP, 인터넷사용자수의비율을활용하여비공개된 국내사이버사고피해액을추정하는방식이다. 예를들어해외 24 개국과비교할경우, 우리나라의사이버사고피해액산출 결과는아래와같다. 1 해외 24 개국의 GDP 를기준으로우리나라의 GDP 비율을계산하는경우, 한국GDP 개국GDP 억달러 억달러가되고, 24개국의피해액인 427조에 을 곱한 9 조원이한국의사이버사고피해액이된다. 8) 신진, 사이버정보보호의경제적효과분석 : 국가적피해액산정을중심으로, 정보보호학회논문지, 제 23 권, 제 1 호, 2013.2 월 http://www.fsec.or.kr 49
전자금융과금융보안 ( 제 12 호, 2018-04) 2 인터넷사용자수기준으로산출하는경우도마찬가지로사용자수의비율로한국의사이버사고피해액을추정할수있다. 이때한국의피해액은 13조원으로계산된다. 같은방식으로영국의 GDP, 인터넷사용자수기준으로우리나라의사이버사고피해액을추정할경우, 우리나라의사이버사고피해액산출결과는각각 22조, 37조로추산된다. 표 3 24 개국, 영국과비교한우리나라사이버사고피해액산정 기준 GDP (2010 년기준 ) 인터넷사용자수 (2009 년기준 ) 1 GDP 기준피해액 2 인터넷사용자수기준피해액 24 개국 493,400 억달러 124,759 만명 427 조원 24개국비교 한국 10,140 억달러 3,940 만명 9조원 13조원 [ 계산식 ]427조원 x [ 계산식 ]427조원 x (10,140억달러 / (3,940만명 / 493,400억달러 ) 124,759만명 ) 영국 22,620 억달러 5,145 만명 48 조원 영국비교 한국 10,140 억달러 3,940 만명 22조원 37조원 [ 계산식 ]48조원 x [ 계산식 ]48조원 x (10,140억달러 / (3,940만명 / 22,620억달러 ) 5,145만명 ) 이두개의계산결과를통해국내사이버사고피해액은약 10~40 조원으로 추정할수있다. 참고로, 한국의 GDP 기준과인터넷사용자수기준계산피해액 결과가다른이유는우리나라의인터넷사용률이다른국가에비해높기때문이다. 50 e-finance and Financial Security
Research 금융회사정보보호투자효과산출모델검토 Ⅳ 금융회사정보보호투자효과산출모델 ( 안 ) 1. 소개 금융회사정보보호투자효과산출모델 ( 안 ) 은사고로인한예상피해액을정보보호투자효과 ( 피해예방 ) 로간주한다. 본고에서제안하는금융회사정보보호투자효과산출모델 ( 안 ) 은학계에서인정받는 Gordon & Loeb 모델과사고정보공유가부족한국내여건을고려한신진모델을국내금융환경에맞게일부수정한후, 위에서언급한두모델을결합하여설계하였다. 특히, 신진수정모델에서필요한사이버사고피해액은 Gordon & Loeb 수정모델을통해산정하였고, 신진수정모델에서는 Gordon & Loeb 수정모델을통해산정한피해액을기준으로피해액을산정한금융회사와산출대상금융회사의정보보호관련수준을고려하여정보보호투자효과를측정하였다. 가. Gordon & Loeb 수정모델 먼저, 기업에서사이버사고가발생할경우, 해당기업은과징금 / 벌금 / 과태료를내야할수있으므로이를기존 Gordon & Loeb 모델에추가하였다. 이때과징금 / 벌금 / 과태료는법규에명시되어있으므로직접비용에서명시적비용부분에해당한다. 두번째로, 직접비용에서잠재적비용이었던잠재적책임비용은의미가광범위하기때문에좀더명확한제3자배상비용으로구체화하였다. 또한, 간접비용에서명시적비용인예방투자액은사고예방시스템도입비용, 정보보호인력확충비용등으로구체화하였고간접비용에서잠재적비용이었던주가하락은기업의미래가치를반영한것으로서사이버사고와관련성이낮고영향을주는타요인들이다양하므로삭제하고, 이미지손상은비용으로서그수치에대한산출이어려워항목에서삭제하였다. 대신, 사고예방을위한시큐어코딩등 http://www.fsec.or.kr 51
전자금융과금융보안 ( 제 12 호, 2018-04) 관련 IT 비용을간접비용중잠재적비용으로추가하였다. 여기서직접비용은사고와직접적으로관련된사고복구비용등을말하며, 간접비용은사고예방비용등사고와직접적으로관련되지않은비용을말한다. 표 4 기존모델과수정모델 기존모델명시적비용잠재적비용 직접비용 기대이익감소매출이익감소생산성저하 추가비용발생복구비용복구불능정보자산가치 잠재적책임비용 간접비용예방투자액주가하락, 이미지손상등 수정모델 * 명시적비용잠재적비용 직접비용 기대이익감소 1 매출이익감소 2 생산성저하 추가비용발생 3 복구비용, 4 과징금 / 벌금 / 과태료 5 복구불능정보자산가치 6 제 3 자배상비용 간접비용 7 사고예방시스템도입비용, 8 정보보호인력확충비용등 9 사고예방을위한시큐어코딩등 * 4, 6~9 는기존모델에서추가또는수정된부분임 직접비용중기대이익감소부분에대한명시적비용을살펴보면, 1감소한매출이익은인터넷 모바일에의한시간당이익, 사고피해시간, 시스템가용률을이용하여산출할수있고, 2생산성저하손실은사고로영향을받은직원수, 시간당생산성, 피해시간, 생산효율저하비율로계산이가능하다. 그리고직접비용중추가비용발생에대한부분은 SW 복구비용과 HW 복구비용을합한금액이 3복구비용에해당하고, 4과징금 / 벌금 / 과태료는사고관련과징금, 벌금및과태료총액이된다. 5복구불능정보자산가치는데이터복구가필요한시스템수, 시스템당복구시간, 복구투입인원, 복구인건비로산출할수있다. 직접비용의마지막항목이자잠재적비용인 6제3자배상비용은사고에대한법원의판결로정해진제3자배상비용총액을말한다. 52 e-finance and Financial Security
Research 금융회사정보보호투자효과산출모델검토 간접비용에서명시적비용에속하는 7사고예방시스템도입비용과 8정보보호인력확충비용은사고발생후 1년이내에, 추가로도입한정보보호시스템비용과추가로확충한정보보호인력인건비를말하고, 간접비용에서잠재적비용인 9사고예방비용은사고발생후 1년이내에, 사고를예방하기위해서프로그램개발에시큐어코딩, 취약점점검등을추가로적용할경우발생하는비용이된다. 이러한항목들의자세한계산방법은아래표와같다. 표 5 Gordon & Loeb 수정모델의계산방법 구분 1 매출이익감소 2 생산성저하손실 3 복구비용 계산방법 인터넷 모바일에의한시간당이익 피해시간 시스템가용률 ( 인터넷 모바일에의한시간당이익 ) 연간매출 매출영업이익률 인터넷 모바일의존도 연간인터넷 모바일영업시간 ( 인터넷 모바일의존도 ) 인터넷 모바일에전적으로의존할경우는 1, 전혀의존하지않을경우는 0 ( 시스템가용률 ) 인터넷 모바일시스템의정상서비스시간 고장시간, 복구시간, 유지보수시간, 백업시간, 서비스가능시간등의합 사고로영향을받은직원수 시간당생산성 피해시간 생산효율저하비율 ( 시간당생산성 ) 시간당인건비 ( 생산효율저하비율 ) 사고로영향받은업무의비율로전체업무량대비사고로인해전산시스템등의사용불가로인한수행불가업무량으로계산 ( 06년 KISA 정보보호실태조사통계에서침해사고발생시금융권효율저하평균은 64%) SW 복구비용 + HW 복구비용 (SW 복구비용 ) 피해시스템수 시스템 1대당복구시간 시스템 1대당복구투입인원 복구인력의시간당인건비 (HW 복구비용 ) 복구불능피해시스템수 시스템당평균대체비용 4 과징금 / 벌금 / 과태료 사고관련과징금, 벌금및과태료총액 5 복구불능정보자산가치 6 제 3 자배상비용 7 사고예방시스템도입비용 데이터복구가필요한시스템수 시스템당복구시간 복구투입인원 복구인건비 사고관련법원판결에의한제 3 자배상비용총액 사고후추가로도입한정보보호시스템비용 ( 사고후 1 년이내 ) http://www.fsec.or.kr 53
전자금융과금융보안 ( 제 12 호, 2018-04) 구분 8 정보보호인력확충비용 9 사고예방비용 계산방법 사고후확충한정보보호인력인건비 ( 사고후 1 년이내 ) 사고를예방하기위해프로그램개발시시큐어코딩, 취약점점검등을추가로적용할시발생하는추가비용 ( 사고후 1 년이내 ) 나. 신진수정모델 기존의신진모델은타국가와의비교를위해비교기준으로 GDP 와그국가의인터넷사용자수를사용하였는데, 수정모델에서는비교대상을타기업으로설정하고비교기준은총매출액, 임직원수등 11개의항목을사용하였다. 또한, 해당항목별로피해액과의관련성을판단하여가중치를설정하고비교결과에가중치를곱한값을비교지수로사용해타기업의피해액대비해당금융회사의피해액을추산하였다. 이때, 타기업의피해액은앞에서언급한 Gordon & Loeb 수정모델로산출한다. 비교항목은크게두분류 기업환경 과 정보보호투자 로구분하였으며, 세부 11개항목은총매출액, 임직원수, 전자금융업무수, 전자금융업무고객수, 개인정보보유량, 개인정보수탁업체수, 수탁개인정보량, 정보보호예산수준, 정보보호인력수준, 정보보호시스템수준, 금융보안원가입여부이다. 표 6 비교항목별피해액관계설명및가중치 구분피해액과의관계가중치 1 총매출액 사이버사고발생시, 피해액규모및매출이익감소와관련성이있음 5% 기업환경 2 임직원수 3 전자금융업무수 임직원수는많을수록사이버사고발생가능성이높을수있으나, 피해액과직접적인관련성은낮음 많을수록사이버사고발생가능성과피해액도높으나, 실고객수나개인정보보유량은적을수있으므로관련성은낮음 5% 5% 4 전자금융업무고객수 많을수록사이버사고발생가능성은높으나, 피해액과직접적인관련성은낮음 5% 54 e-finance and Financial Security
Research 금융회사정보보호투자효과산출모델검토 구분피해액과의관계가중치 5 개인정보보유량사이버사고발생가능성및피해액과관련성이매우높음 15% 6 개인정보수탁업체수 많을수록사이버사고발생가능성이높으며, 통상위탁업체에비해수탁업체의보안수준이낮으므로관련성이높음 10% 7 수탁개인정보량 일반적으로위탁업체에비해수탁업체의보안수준이낮으므로유출될가능성이매우높음 15% 정보보호투자 * 8 정보보호예산수준 9 정보보호인력수준 10 정보보호시스템수준 법적의무사항인 IT 전체예산의 5% 보다낮을경우보안수준이낮아져사이버피해를받을가능성이높음 법적의무사항인 IT 인력의 7% 보다낮을경우보안수준이낮아져사이버피해를받을가능성이높음 법적의무사항준수외에추가적인고도화된정보보호시스템을도입하여운용하는경우보안수준이높아져사이버사고피해를받을가능성이낮아짐 10% 10% 10% 11 금융보안원가입여부 보안관제, 침해대응지원및연구보고서제공등전문적인금융정보보호서비스를받을경우사이버사고피해가능성을낮출수있음 10% * 예산수준 : 상 (8% 이상 ), 중 (7%), 하 (6% 이하 ) 인력수준 : 하 (6% 이상 ), 중 (5%), 하 (4% 이하 ) 시스템수준 : 상 (AI 등고도화된시스템도입 ), 중 ( 법준수 ), 하 ( 법미준수 ) 비교항목별가중치는피해액과의관련정도에따라관련성이낮으면 5%, 보통이면 10%, 높으면 15% 로설정하였다. 2. 제안모델을이용한투자효과산출예시 앞에서언급한정보보호투자의유형별분류에서기본투자는업무수행을위한필수투자이며, 비교우위확보투자는일반적인 ROI 방법을이용하여투자효과를분석할수있으므로별도의정보보호투자효과분석이불필요하다. 따라서정보보호투자효과산출제안모델은일반및상급투자를대상으로한다. 이때, 금융회사의특성을고려하여비용항목의수정이필요할경우일부항목을수정하여산출에사용할수있다. http://www.fsec.or.kr 55
전자금융과금융보안 ( 제 12 호, 2018-04) 가. Gordon & Loeb 수정모델을이용한피해액산출예시 최근사이버사고 ( 해킹및개인정보유출 ) 가 A 금융회사에서발생했다고가정할 때, A 금융회사의피해액은 [ 표 7] 의피해및복구내용과 [ 표 8] 의일반정보를 바탕으로 Gordon & Loeb 수정모델을사용해 [ 표 9] 와같이산출할수있다. 표 7 A 금융회사의피해및복구내용 피해내용 서버 3대 PC 200대 (200명) 700만건의고객정보유출 ( 대상고객수 : 500만명 ) 복구내용 서버복구에걸린시간 : 48시간 서버복구에투입된인원 : 5명 HW 복구가불가능한서버 : 1대 데이터를복구한서버 : 3대 데이터복구에걸린시간 : 10일 ( 대당 ) 데이터복구에투입된인원 : 10명 A금융회사는 [ 표 7] 과같이사이버사고로서버 3대, PC 200대 ( 즉, 사용자 200명 ) 가피해를입었고 700만건의고객정보가유출되었다. 또한, 서버를복구하는데 5명의인원이 48시간동안작업을하였으며, 그중한대의서버는 HW 복구가불가능하였다. 서버에저장된데이터는 3대모두복구를완료하였으며, 해당복구에 10명의인원이투입되었고한대의서버당 10일이소요되었다. 표 8 A 금융회사의일반정보 ( 가정 ) 구분 내용 연간매출 25 조원 매출영업이익률 5.9% 인터넷 모바일의존도 24.2% 연간인터넷 모바일영업시간 8,760 시간 시스템가용률 95% 과징금 / 벌금 / 과태료총액 5 억 7,000 만원 56 e-finance and Financial Security
Research 금융회사정보보호투자효과산출모델검토 시간당생산성 ( 인건비 ) 구분 시스템복구시간당인건비 복구불능피해시스템대체비용 데이터복구시간당인건비 사고관련법원판결에의한제 3 자배상비용총액 사고후추가로도입한정보보호시스템비용 ( 사고후 1 년이내 ) 사고후확충한정보보호인력인건비 ( 사고후 1 년이내 ) 시큐어코딩점검시스템구입비 추가취약점점검비용 내용 3만원 / 시간 3만원 / 시간 2억원 3만원 / 시간 100억원 AI를이용한보안관제시스템 1억원 방화벽업그레이드 3,000만원 3억 9,900만원 2억원 1억 1000만원 A금융회사의일반정보가 [ 표 8] 과같다고할때, A금융회사의피해액총액은 [ 표 9] 와같이매출이익감소, 과태료, 생산효율저하손실, 복구비용, 복구불능정보자산가치, 제3자배상비용, 사고예방시스템도입, 정보보호인력확충, 사고예방비용을계산하여산출할수있다. 모두계산하여총합을구하면 A금융회사의피해총액은약 131억이산출된다. 표 9 Gordon & Loeb 을수정한모델에따른 A 금융회사피해총액 구분 1 매출이익감소 2 생산성저하손실 3 복구비용 4 과징금 / 벌금 / 과태료 계산 1,114,857,534.25 원 ( 인터넷 모바일에의한시간당이익 피해시간 시스템가용률 ) 184,320,000 원 ( 사고로영향을받은직원수 시간당생산성 피해시간 생산효율저하비율 ) 221,600,000 원 (SW 복구비용 + HW 복구비용 ) 570,000,000 원 ( 사고관련과징금, 벌금및과태료총액 ) http://www.fsec.or.kr 57
전자금융과금융보안 ( 제 12 호, 2018-04) 구분 5 복구불능정보자산가치 6 제3자배상비용 7 사고예방시스템도입비용 8 정보보호인력확충비용 9 사고예방비용피해액총액 계산 216,000,000 원 ( 데이터복구가필요한시스템수 시스템당복구시간 복구투입인원 복구인건비 ) 10,000,000,000 원 ( 사고관련법원판결에의한제 3 자배상비용총액 ) 130,000,000 원 ( 사고후추가로도입한정보보호시스템비용 ( 사고후 1 년이내 )) 399,000,000 원 ( 사고후확충한정보보호인력인건비 ( 사고후 1 년이내 )) 310,000,000 원 ( 시큐어코딩, 취약점점검등을추가로적용할시발생하는추가비용 ( 사고후 1 년이내 )) 약 131 억원 매출액이 500 억인경우, 피해액총액은 120 억원임 나. 신진수정모델을이용한정보보호투자효과산출예시 B금융회사가신진수정모델로정보보호투자효과를산출한다고하면, 앞에서 Gordon & Loeb 수정모델로계산한 A금융회사의피해액 (131 억원 ) 을기준으로계산할수있다. [ 표 10] 과같이 A금융회사대비 B금융회사의비교지수가 0.713 이므로 B금융회사의예상피해액은 93억원 (131억원 0.713) 이된다. B금융회사가정보보호투자로인해피해를입지않을경우, 예상피해액은모두정보보호투자로얻을수있는효과가되므로, B금융회사는이금액 (93억원 ) 을이용해 ROSI를계산하여정보보호투자규모 (I) 를전략적으로결정할수있다. 본모델에서 1~7 항목은기업환경이고, 8~11 항목은정보보호투자라고할수있는데, 이러한투자를많이할수록예상피해액은감소하게된다. 만약 A금융회사와 B금융회사의정보보호투자수준이같을경우에는기업환경에의해서만피해액이추산되며, B금융회사가추가로정보보호에투자할경우추산피해액은해당비율만큼감소한다. 예를들어, B금융회사가 AI 보안관제시스템을 58 e-finance and Financial Security
Research 금융회사정보보호투자효과산출모델검토 도입하여정보보호시스템수준을 중 에서 상 으로향상시킨다면정보보호 시스템수준의비율이 1.0에서 0.67( ) 이되므로, B금융회사의 추산피해액은 93 억원에서 89 억원으로약 4 억감소하게된다. 표 10 A 금융회사를기준으로한 B 금융회사의비교지수계산 구분 A 금융회사 (a) B 금융회사 (b) 비율 * (c) 가중치 (d) 비율 가중치 (c d) 1 총매출액 1,000 억원 500 억원 0.5 5% 0.025 2 임직원수 2 만명 1 만명 0.5 5% 0.025 3 전자금융업무수 10 개 8 개 0.8 5% 0.04 기업환경 4 전자금융업무고객수 1,000 만명 800 만명 0.8 5% 0.04 5 개인정보보유량 1,200 만명 900 만명 0.75 15% 0.113 6 개인정보수탁업체수 30 개 20 개 0.67 10% 0.067 7 수탁개인정보량 1,500 만명 1,200 만명 0.8 15% 0.12 8 정보보호예산수준중상 0.33 10% 0.067 정보보호투자 ** 9 정보보호인력수준중상 0.67 10% 0.067 10 정보보호시스템수준중중 1.0 10% 0.10 11 금융보안원가입여부미가입가입 0.5 10% 0.05 계 - - - 100% 0.713 * 1~7 비율 : b/a, 8~10 비율 9) : {(b-a)/3}+1, 11 비율 10) :{(b-a)/2}+1 ** 수준 : 하 (3), 중 (2), 상 (1) / 가입여부 : 미가입 (2), 가입 (1) 9) 가능한값이상, 중, 하로 3 개이기때문에 3 으로나누며, 1 을기준점으로설정하기위해 1 을더함 10) 가능한값이 가입, 미가입 으로 2 개이기때문에 2 로나누며, 1 을기준점으로설정하기위해 1 을더함 http://www.fsec.or.kr 59
전자금융과금융보안 ( 제 12 호, 2018-04) Ⅴ 향후정보보호투자시고려사항 향후정보보호투자시고려할사항으로는자율보안체계대비, 정보공유활성화, 정보보호상급투자확대가있다. 먼저자율보안체계대비에대해알아보면, 국내에자율보안체계가정착되면막대한배상금을지불해야할가능성이있으므로상급투자등을통해정보보호수준을보다향상시킬필요가있다. 다만현재까지우리나라는정부주도의정보보호정책으로인해기업에게우호적인판례가많아기업들이정보보호투자를최소한으로하고있는실정이다. 그예로 S사의 3,500만건개인정보유출에대해 13년 1심에서 539명에게 1인당 20만원배상을판결했으나, 15년 2심에서는 ISMS인증을받았다는사유로무죄를선고한바가있다. 둘째, 정보공유활성화를통한공동대응능력향상은전 ( 全 ) 금융권정보보호수준향상에중요한요소이다. 미국이나유럽연합은사이버사고정보공유방안을논의중이며, 우리나라도금융회사와이해관계가없는금융보안전문기관이사고정보를안전하고효율적으로수집 관리하고상호공유할필요가있다. 마지막으로정보보호상급투자는간과할경우, 바로손실이발생하지않을수있으나고도화된공격에취약하게되며, 침해사고발생시유사사고발생가능성이매우높아지고, 사고발생후복구시간이지연될수있다. 또한고객정보유출후손해배상, 과태료등을지급하게되면다른해커들의유사공격가능성이커지므로상급정보보호투자를통해리스크를최소화할필요가있다. 특히대량의개인 ( 신용 ) 정보를보유한금융회사는리스크관리차원에서피해액추산등을통해 ROSI를산출하여정보보호투자를최대한확대해야하겠다. 60 e-finance and Financial Security
Research 금융회사정보보호투자효과산출모델검토 참고문헌 [1] 김정덕, 박정은, TCO 기반정보보호투자수익률 (ROSI) 에대한연구, 2003 [2] ENISA, Introduction to Return on Security Investment, 2012 [3] Matthias Brecht and Thomas Nowey, A Closer Look at Information Security Costs, Workshop on the Economics of Information Security, 2012 [4] 신영웅, 전상훈, 임채호외 1명, 국가사이버보안피해금액분석과대안, 국가정보연구제6권 1호, pp. 129-173, 2013 [5] Scott Berinato, Finally, a Real Return on Security Spending, CIO FROM IDG, 2002년 [6] Scott Berniato, Calculated Risk: Return on Security Investment, CSO FROM IDG, 2002 [7] 권영옥, 김병도, 정보보안사고와사고방지관련투자가기업가치에미치는영향, Information Systems Review, Vol. 9, No. 1, pp. 105-120, 2007 [8] 공희경, 김태성, BSC 관점에의한정보보호투자효과분석, 한국경영정보학회춘계학술대회, pp. 669-679, 2008 [9] Matthias Brecht and Thomas Nowey, A Closer Look at Information Security Costs, Workshop on the Economics of Information Security, 2012 [10] 신진, 사이버정보보호의경제적효과분석 : 국가적피해액산정을중심으로, 정보보호학회논문지, 제23권, 제1호, 2013 [11] Emanuel Kopp, Lincoln Kaffenberger, and Christopher Wilson, Cyber Risk, Market Failures, and Financial Stability, International Monetary Fund, IMF Working Paper(WP/17/185), 2017 http://www.fsec.or.kr 61
싱가포르통화청의블록체인프로젝트주요내용 보안기술연구팀 * Ⅰ 서론 65 Ⅱ Proejct Ubin 의추진내용 66 1. 추진배경및개요 66 2. Project Ubin 1단계 블록체인기반실시간총액결제시스템 67 3. Project Ubin 2단계 결제유동성절약기능적용 72 Ⅲ 블록체인기반금융시스템구축시고려사항 76 1. 시스템관리측면 76 2. 서비스가용성측면 79 Ⅳ 결론 80 < 참고문헌 > 81 * 금융보안원보안연구부보안기술연구팀 (e-mail: dongjink@fsec.or.kr)
전자금융과금융보안 ( 제 12 호, 2018-04) 요약 최근금융권에서블록체인기반의시스템구축이본격적으로시작되고있으며, 각국의중앙은행은블록체인기반의디지털통화를발행하여활용하는방안을모색중이다. 대표적인사례로싱가포르의통화청은블록체인기반의디지털통화를발행하여현재운영중인은행간의실시간총액결제시스템을대체하기위해 Project Ubin 을추진중이다. 싱가포르통화청은 Project Ubin 을통해중앙은행의디지털통화발행, 은행간의실시간총액결제, 결제유동성절약기능등에대한가능성을단계별로추진및검토하였으며, 증권대금동시결제와같이타업권과의상호연동이필요한서비스까지실험을계획중이다. 본고에서는금융권에서블록체인시스템을구성시참고할수있도록 Project Ubin 의단계별주요내용을분석및소개한다. 그리고싱가포르통화청이 Project Ubin 을통해도출한시스템관리및서비스가용성측면의고려사항을제시한다. 고려사항중블록체인시스템의탈중앙화수준, 노드관리, 중앙기관의역할재정의등은블록체인기반의금융시스템을구축시시스템의신뢰성과보안성을보장하기위해반드시고려되어야할사항이다. 이러한고려사항은국내금융권에서도블록체인시스템구축시참고가능하며, 해당시스템및서비스의특성이반영된추가고려사항을도출하여단계적으로검토해나가야한다. 64 e-finance and Financial Security
Research 싱가포르통화청의블록체인프로젝트주요내용 03 싱가포르통화청의블록체인프로젝트주요내용 Ⅰ 서론 싱가포르는블록체인기술을무역금융, 보험등다양한금융분야에적용하는시도를하고있다. 대표적으로, 싱가포르통화청 (MAS) 1) 은블록체인기술을기반으로금융회사간실시간총액결제시스템 (RTGS) 2) 을구축하기위한프로젝트인 Project Ubin 을추진중이다. Project Ubin의최종목적은현재운영중인싱가포르의실시간총액결제시스템인 MEPS+ 3) 를블록체인기반시스템으로대체하는것으로, 이를위해싱가포르통화청은 2016년하반기부터 Project Ubin을여러단계로구분하여추진중이며, 현재 2단계까지수행을완료하였다. 프로젝트 1 단계 (2016년 12월 ) 에서는실시간총액결제시스템의기본기능을블록체인상에서구현가능한지확인하였으며, 2 단계 (2017 년 11월 ) 에서는실시간총액결제를위한추가기능의적용가능성을검증하였다. 이에본고에서는 Project Ubin의주요추진내용및결과를소개하고, 국내금융권에서블록체인시스템구성시활용가능하도록 Project Ubin 에서도출된다양한고려사항을분석및제시한다. 1) 싱가포르통화청 (MAS, Monetary Authority of Singapore) 싱가포르의중앙은행과감독기관의역할을동시에수행하는중앙정부기관 2) RTGS(Real-Time Gross Settlement) 금융회사간의자금이체를중앙은행의계정을통해건별로즉시처리하는시스템 3) MEPS+(new MAS Electronic Payment System) 한국은행의지급결제시스템 (BOK-Wire+) 에해당 http://www.fsec.or.kr 65
전자금융과금융보안 ( 제 12 호, 2018-04) Ⅱ Proejct Ubin 의추진내용 1. 추진배경및개요 싱가포르통화청 ( 이하 통화청 ) 은싱가포르에서현재운영중인실시간총액결제시스템 (MEPS+) 의효율성을개선하고자, 캐나다중앙은행이수행한유사프로젝트 (Project Jasper 4) ) 를모델로 Project Ubin을계획하였다. 캐나다중앙은행의 Project Jasper 는블록체인시스템을기반으로캐나다은행간의지급결제시스템을구축하는프로젝트로서, 대표적인금융권의블록체인컨소시엄 (R3) 과 R3에참여중인주요은행 5) 들이함께수행하였다. 캐나다중앙은행은 Project Jasper 를통해, 중앙은행이디지털통화를발행및활용하는모델 ( 캐나다달러를디지털통화로발행 ) 을제시하였으며, 이를참고하여통화청은블록체인상에서싱가포르달러를디지털통화로발행하여활용하는 Proejct Ubin을계획하였다. Project Ubin은실시간총액결제시스템에필요한기능및고려사항에따라단계별로추진되고있으며, 현재 2단계까지수행이완료되었다. Project Ubin의단계별개요는 [ 표 1] 과같다. 1단계에서는통화청이발행한디지털통화의활용가능성을검토하기위해블록체인기반의실시간총액결제시스템을구축하여검증하였다. 2단계에서는실시간총액결제시스템에서유동성리스크를완화하는데필요한결제유동성절약기능과개인정보보호기능의적용가능성을검토하였으며, 1단계에비해참여금융기관의수를확대하고더다양한블록체인플랫폼을통해실험을진행하였다. 향후, 통화청은프로젝트 3단계로실시간총액결제시스템과증권시스템과의상호연동을통한증권대금동시결제시스템을구축및실험하고, 이후에는외환동시결제, 정책및법규와의관련성등다양한추가연구를수행할계획이다. 4) Payments Canada, Bank of Canada, Project Jasper: A Canadian Experiment with Distributed Ledger Technology for Domestic Interbank Payments Settlement, Tech. Paper, 2017. 5) Bank of Montreal, Canadian Imperial Bank of Commerce, Royal Bank of Canada, Scotiabank, TD Canada Trust 66 e-finance and Financial Security
Research 싱가포르통화청의블록체인프로젝트주요내용 표 1 Project Ubin 의단계별개요 분류 1 단계 ( 16 년하반기 ) 2 단계 ( 17 년하반기 ) 향후계획 목표 중앙은행 ( 통화청 ) 이발행한디지털통화의활용가능성검토 결제유동성절약기능, 개인정보보호기능적용검토 증권대금동시결제, 외환동시결제기능등적용검토 참여기관 금융회사 : 9개기술업체 : 2개 금융회사 : 12개기술업체 : 4개 - 블록체인플랫폼 Ethereum Corda, Hyperledger Fabric, Quorum - 2. Project Ubin 1 단계 블록체인기반실시간총액결제시스템 싱가포르통화청은 9개금융회사, 2개의기술업체와함께 Project Ubin의 1단계 ( 이하 Ubin 1 ) 를수행하였으며, Ubin 1을통해블록체인상에중앙은행 ( 통화청 ) 이디지털통화를발행하는시스템을구축하고, 발행된디지털통화를기반으로은행간의실시간총액결제가가능한지여부를확인하였다. Ubin 1에서통화청은실시간총액결제시스템의기본적인기능인은행간의단순지급처리기능을중점적으로실험하였다. Ubin 1의시스템구성은 [ 그림 1] 과같다. 먼저, 블록체인은이더리움 (Ethereum) 플랫폼을기반으로구축되었으며은행과통화청이노드로참여한다. 그리고, 각노드는현재운영되고있는싱가포르의실시간총액결제시스템인 MEPS+ 와연결된다. Project Ubin의목적은블록체인기반시스템으로 MEPS+ 를대체하는것이지만, Ubin 1에서는 MEPS+ 에존재하는각은행의결제계좌에보관된준비금 ( 싱가포르달러 ) 중일부를디지털통화로발행 ( 전환 ) 하기때문에블록체인과 MEPS+ 와의연결이필요하다. http://www.fsec.or.kr 67
전자금융과금융보안 ( 제 12 호, 2018-04) 그림 1 Ubin 1 의시스템구성 이때, 디지털통화는 MEPS+ 내결제계좌에보관된준비금 ( 싱가포르달러 ) 에대한각은행의소유권을인정하는예탁증서 (DR, Depository Receipts) 이다. 발행된예탁증서는최종적으로블록체인의각은행별지갑에디지털통화로지급되고은행은해당디지털통화를이용하여타은행과의실시간총액결제를수행한다. 싱가포르달러가블록체인전자지갑에디지털통화로발행 지급되기까지, MEPS+ 내에존재하는총 3가지종류의계좌를거치며, 각계좌에대한설명은 [ 표 2] 와같다. 표 2 계좌종류 CAS 계좌 RTGS 계좌 디지털통화발행과관련된계좌 설명 은행이예치한자금이자금교환과정에이용되지않을경우저장되는장소 최소예금잔액 (Minimum Cash Balance, MCB) * 을고려하여예금을저장 * 최소예금잔액 : 자금의교환 ( 인출 예치 ) 과정에서전체자금의부족 (shortfall) 이발생하지않도록자금운용기간동안최소한으로보유하고있어야하는예금잔액 일반적으로최소예금잔액을제외한나머지자금을 MEPS+ 의운영시작시간에 RTGS 계좌로전송하고전송된자금은운영종료시간에 RTGS 계좌에서 CAS 계좌로상환 은행간 RTGS 전송을위한계좌로 MEPS+ 운영시간에자금의인출과대출을위해이용 일반적으로 CAS 계좌의자금을이용하여운용 Project Ubin에서 RTGS 계좌는 DR 계좌와의자금전송을위해이용 68 e-finance and Financial Security
Research 싱가포르통화청의블록체인프로젝트주요내용 계좌종류 DR 계좌 설명 Project Ubin을위해새로생성된계좌로참가자 ( 은행 ) 별로계좌를운영하며, 싱가포르달러를예탁증서로변환하여각은행의전자지갑으로전송 블록체인내거래후, 전자지갑별잔액이 DR 계좌와동기화되어미지불 미처리된계좌의차액결제가이루어짐 가. 디지털통화기반의실시간총액결제 Ubin 1 시스템에서실시간총액결제과정은 [ 그림 2] 와같다. 디지털통화가발행 ([ 그림 2] 1 참고 ) 되고실시간총액결제에의해디지털통화가교환 ([ 그림 2] 2 참고 ) 된후에 MEPS+ 내계좌로상환 ([ 그림 2] 3 참고 ) 되는과정으로구분되며각과정에대한세부내용은다음과같다. 그림 2 Ubin 1 의실시간총액결제과정 1) 디지털통화발행발행과정은각은행의결제계좌에해당하는 RTGS 계좌에보관된싱가포르달러를은행간실시간총액결제에이용되는예탁증서로변환하여디지털통화를발행하는과정으로, MEPS+ 의운영시간내에만가능하다. 디지털통화의발급예시는 [ 그림 3] 과같으며, 은행 A, B, C의 RTGS 계좌로부터각각 10, 40, 5 싱가포르달러를 DR 계좌로이체한후동일한가치를갖는예탁증서를디지털통화로서각은행의전자지갑에발행 지급한다. http://www.fsec.or.kr 69
전자금융과금융보안 ( 제 12 호, 2018-04) 그림 3 디지털통화의발행과정예 발행전 발행후 MEPS+( 싱가포르달러 ) 블록체인 ( 예탁증서 ) MEPS+( 싱가포르달러 ) 블록체인 ( 예탁증서 ) 은행 A 의 RTGS 100 은행 A 의 RTGS 90 은행 B의 RTGS 100 은행 B의 RTGS 60 은행 C의 RTGS 100 은행 C의 RTGS 95 은행 A의 DR 0 은행 A의전자지갑 0 은행 A의 DR 10 은행 A의전자지갑 10 은행 B의 DR 0 은행 B의전자지갑 0 은행 B의 DR 40 은행 B의전자지갑 40 은행 C의 DR 0 은행 C의전자지갑 0 은행 C의 DR 5 은행 C의전자지갑 5 2) 디지털통화교환교환과정은블록체인의은행별전자지갑에발행된디지털통화를이용하여은행간에실시간총액결제를수행하는과정으로, 발행과정과다르게 MEPS+ 의운영시간에상관없이처리가능하다. 은행간의디지털통화의교환예시는 [ 그림 4] 와같으며, [ 그림 4] 에서는은행 A가은행 C에게디지털통화 5를전송하고은행 B가은행 C에게의디지털통화 5를전송한다. 그림 4 디지털통화의발행과정예 발행전 발행후 MEPS+( 싱가포르달러 ) 블록체인 ( 예탁증서 ) MEPS+( 싱가포르달러 ) 블록체인 ( 예탁증서 ) 은행 A 의 RTGS 90 은행 A 의 RTGS 90 은행 B의 RTGS 60 은행 B의 RTGS 60 은행 C의 RTGS 95 은행 C의 RTGS 95 은행 A의 DR 10 은행 A의전자지갑 10 은행 A의 DR 10 은행 A의전자지갑 5 은행 B의 DR 40 은행 B의전자지갑 40 은행 B의 DR 40 은행 B의전자지갑 35 은행 C의 DR 5 은행 C의전자지갑 5 은행 C의 DR 5 은행 C의전자지갑 15 70 e-finance and Financial Security
Research 싱가포르통화청의블록체인프로젝트주요내용 3) 디지털통화상환상환과정은은행의요청에의해전자지갑에보관된디지털통화를 MEPS+ 내의계좌로상환하는과정으로, MEPS+ 의운영시간내에만가능하다. 특정은행이상환을요청하면각은행의전자지갑과 DR 계좌간의차액을정산한후에상환을요청한은행의 DR 계좌잔액을 RTGS 계좌로이체한다. 디지털통화의상환예시는 [ 그림 5] 와같으며, 은행 C의상환요청에따라은행 A, B, C의전자지갑과 DR 계좌간의차액이정산되고, 은행 C의 DR 계좌잔액이 RTGS 계좌로이체된다. 그림 5 디지털통화의교환과정예 MEPS+ ( 싱가포르달러 ) 은행 A의 90 RTGS 은행 B의 RTGS 은행 C의 RTGS 은행 A의 DR 은행 B의 DR 은행 C의 DR 발행전발행후발행전 60 95 블록체인 ( 예탁증서 ) 10 은행 A 의전자지갑 40 은행 B 의전자지갑 5 MEPS+ ( 싱가포르달러 ) 은행 A의 90 RTGS 은행 B 의 RTGS 은행 C 의 RTGS 10 은행 A 의 DR 40 은행 B 의 DR 은행 C의전자지갑 5 은행 C의 DR 60 95 10 40 5 블록체인 ( 예탁증서 ) MEPS+ ( 싱가포르달러 ) 은행 A 의 RTGS 은행 B 의 RTGS 은행 C의 RTGS 은행 A의전자지갑 5 은행 A의 DR 은행 B의전자지갑은행 C의전자지갑 은행 B의 35 DR 은행 C의 15 DR 90 60 95 블록체인 ( 예탁증서 ) 10 은행 A 의전자지갑 10 40 은행 B 의전자지갑 40 5 은행 C 의전자지갑 5 다. 프로젝트결과 싱가포르통화청은 Ubin 1을통해, 블록체인상에서중앙은행이발행한디지털통화를기반으로한실시간총액결제시스템의구축가능성을확인하였다. 그리고 Ubin 1의장점으로신용리스크방지가가능함을제시하였는데, 이는디지털통화가 MEPS+ 상의싱가포르달러를담보로중앙은행이발행한예탁증서이기때문이다. http://www.fsec.or.kr 71
전자금융과금융보안 ( 제 12 호, 2018-04) 하지만 Ubin 1에유동성리스크가존재하는한계를확인하였다. 즉, Ubin 1의시스템에는유동성리스크를완화할수있는기능이존재하지않는다. 따라서각은행의결제자금 ( 결제유동성 ) 이부족하여은행간의지급요청을처리할수없는경우, 실시간총액결제시스템의운영이중단될수있다. 3. Project Ubin 2 단계 결제유동성절약기능적용 싱가포르통화청은 Project Ubin의 2단계프로젝트 ( 이하 Ubin 2 ) 를 12개금융회사, 4개기술업체와함께수행하였으며, Ubin 2에서는 Ubin 1에서확인된한계점을개선하기위한실험을수행하였다. 통화청은 Ubin 1에서한계점으로확인되었던결제유동성리스크를완화하기위한목적으로, 블록체인시스템에결제유동성절약기능 (LSM, Liquidity Saving Mechanism) 의적용가능성을검증하였다. 그리고결제유동성절약기능을적용함에있어여러블록체인플랫폼의특징을비교 분석하기위해총 3개의블록체인플랫폼 6) 을사용하여시스템을구축하고실험을수행하였다. 3개의블록체인플랫폼은금융시스템에서요구되는참여자식별및권한관리기능과개인정보보호를위해거래당사자간에만거래정보를공유할수있는기능을제공한다. 통화청은블록체인플랫폼마다 1개씩블록체인시스템을구축하였으며, 실험환경을탄력적으로구성하기위해클라우드환경에서시스템구축하여실험하였다. 구축된블록체인시스템의예로, Corda 플랫폼을이용하여구축한블록체인시스템의구성은 [ 그림 6] 과같으며, 각구성요소별역할은다음과같다. 은행 (Bank) 은실시간총액결제를위한지급요청트랜잭션을요청하는주체이고, 통화청 (MAS) 은디지털통화의발행, 트랜잭션모니터링, 시스템운영등의역할을수행한다. 공증인 (Notary) 은트랜잭션의유효성을확인하고거래를공증하는역할을수행하며, 네트워크맵 (Network Map) 은블록체인시스템의참여자 6) R3 의 Corda, Hyperledger 의 Fabric, J.P. Morgan 의 Quorum 72 e-finance and Financial Security
Research 싱가포르통화청의블록체인프로젝트주요내용 식별과참여자간통신에필요한정보 (IP 주소등 ) 를관리하고제공한다. 그리고 각노드를구성하는모듈의역할및기능은 [ 표 3] 과같다. 그림 6 Ubin 2 에서 Corda 플랫폼기반의실시간총액결제시스템구성 표 3 Corda 노드의구성 모듈 Client CorDApp Corda Node Vault Corda Core 역할및기능트랜잭션을생성및타노드와송 수신트랜잭션을실행및처리 CorDApp을실행및관리블록체인노드의기본모듈 가. 결제유동성절약기능적용 싱가포르통화청은블록체인기반실시간총액결제시스템의결제유동성리스크를개선하고자 [ 그림 7] 과같은결제유동성절약기능을스마트컨트랙트기반으로개발및적용하였다. 결제유동성절약기능은금융회사간의실시간총액결제시스템에서지급요청을처리할때, 결제계좌의잔액이부족한경우, 지급요청을대기큐 (queue) 에추가하여결제계좌잔액이일정수준이상이되면처리하거나, 상계 (netting) 를통해처리하는방식을의미한다. http://www.fsec.or.kr 73
전자금융과금융보안 ( 제 12 호, 2018-04) 그림 7 결제유동성절약기능예시 대기큐를통한처리방식은은행이결제계좌의잔액부족으로거래상대은행의지급요청을처리 ( 결제 ) 할수없는경우해당지급요청을대기큐에추가하고, 향후결제계좌의잔액이충분해지면처리하는방식이다. 대기큐에있는지급요청은큐에추가된순서대로처리되며, 해당은행은우선순위설정, 변경, 취소를통해지급요청처리순서를변경할수있다. 상계를통한처리방식은금융회사상호간에발생하는채권 / 채무를개별적으로결제하지않고일정기간이경과한후에차액만을결제하는방식 ([ 그림 8]) 을의미하며, Ubin 2에서는상호간결제계좌의잔액부족으로결제가불가능한경우에만다자간상계 ([ 그림 9]) 를실행하여처리한다. 그림 8 양자간상계예시 74 e-finance and Financial Security
Research 싱가포르통화청의블록체인프로젝트주요내용 그림 9 다자간상계예시 또한, 싱가포르통화청은결제유동성절약기능적용시거래내역, 거래당사자의신원등개인정보의기밀성이보장되는지검토하였다. Ubin 2에사용된블록체인플랫폼은 [ 표 4] 와같이최소한의거래정보공유, 익명화된서명키사용등을통해개인정보보호기능을제공하여일반적인거래에는개인정보보호가가능하다. 하지만다자간상계시에는은행간의거래내역등이거래당사자가아닌타은행에도공유되어개인정보가유출될수있기때문에개인정보의기밀성보장여부를검토할필요가있다. 표 4 블록체인플랫폼별개인정보보호방식 플랫폼거래내역보호거래당사자신원보호 Corda Fabric Quorum 최소한의참여자 (need to know) 에게만거래내역을공유 - Corda: 거래당사자및공증인에만공유 - Fabric: 채널 (Channel) 참여자에만공유 거래내역및거래당사자의신원정보없이거래유효성을확인할수있는 Zero Knowledge Proof 방식을적용 거래마다익명화된공개키쌍을생성및사용 나. 프로젝트결과 싱가포르통화청은 3개의플랫폼별블록체인시스템에서개인정보보호기능과결제유동성절약기능을동시에제공가능함을확인하였다. 그리고플랫폼별성능을개인정보보호, 확장성, 처리성능, 시스템복원력측면에서분석하였으며 3개플랫폼의성능이동등함을확인하였다. http://www.fsec.or.kr 75
전자금융과금융보안 ( 제 12 호, 2018-04) Ⅲ 블록체인기반금융시스템구축시고려사항 싱가포르통화청은 Project Ubin 의 1, 2 단계추진경험기반으로블록체인 기반의금융시스템구축시시스템관리와서비스가용성측면에서고려해야할 사항을제시하였다. 1. 시스템관리측면 블록체인시스템을효율적으로관리하고안전성을보장하기위해시스템의 탈중앙화수준, 노드관리, 중앙기관의역할을고려해야한다. 1) 탈중앙화수준탈중앙화수준은블록체인시스템에참여한주체의권한, 역할, 기여도등이서로평등한수준을의미한다. 모든참여자가평등한경우탈중앙화수준이높고, 참여자가평등하지않거나특정참여자가일부역할을담당할경우탈중앙화수준이낮다. 블록체인시스템을구축하는경우에탈중앙화수준을위해고려해야할것은금융회사의참여형태등이다. 금융회사의참여형태의경우, 블록체인시스템에대한이용률이낮은금융회사는블록체인에직접참여하는다른참여기관을통해간접적으로참여하는방안에대해고려할필요가있다. 이용률이낮은금융회사는블록체인시스템유지와보안에필요한비용을절감하고자블록체인에직접참여하는것을기피할수있기때문이다. 또한, 거래에직접관여하지않거나블록체인의기능및서비스중에서일부만을이용하는비 ( 非 ) 금융회사도간접적인형태로참여하는것이적합하다. 싱가포르통화청은 [ 그림 10] 과같이모든참여기관이블록체인시스템에직접참여하는것이아니라, 간접참여하는기관이포함된형태를준 (semi) 탈중앙화된블록체인이라고지칭하였다. 76 e-finance and Financial Security
Research 싱가포르통화청의블록체인프로젝트주요내용 이밖에도블록체인시스템의효율성및보안성등을고려하여다양한관점에서 블록체인시스템의탈중앙화수준에대한고려가필요하다. 그림 10 준탈중앙화된블록체인의예시 ( 금융회사가직 간접형태로참여 ) 다만, [ 그림 10] 과같은준탈중앙화된블록체인을구성하기위해서는시스템의거버넌스및정책수립 통제를강화해야하고, 특히간접참여기관을대행하는기관에높은보안수준및처리성능을충족하도록요구해야한다. 예를들어, 직접참여기관중에서높은보안수준및처리성능을충족시킬수있는금융회사를대표로선정하거나중앙기관이이를대행하는역할을담당하는방안이고려될수있다. 2) 노드 ( 참여자 ) 관리 블록체인시스템의신뢰성, 안전성을보장하기위해서는참여자에대한관리와블록체인시스템의정책및기능에대한관리가필요하다. 먼저, 블록체인시스템을안정적으로운영하기위해서는처리성능및보안수준을일관성있게유지해야하는데, 이를위해서는금융회사의참가자격 ( 보안수준등 ) 을검증하고검증결과에따라적절한권한을부여하는등의참여자관리가필요하다. http://www.fsec.or.kr 77
전자금융과금융보안 ( 제 12 호, 2018-04) 또한블록체인시스템의합의방식, 시스템설정과블록체인소프트웨어에대한유지보수및패치등이전체참여자에게동일하게적용되어일관성을유지하도록관련정책과기능을관리해야한다. 즉, 참여자관리및정책 기능관리가모든노드에일관되게적용될수있도록 [ 그림 11] 과같이별도의담당관리기관을지정하는방안에대한고려가필요하다. 그림 11 관리기관에의한참여자및정책 기능관리의예시 3) 중앙기관의역할재정의 블록체인은일반적으로중앙기관, 중개기관등이존재하지않는기술로알려졌으나, 금융권의경우블록체인시스템을효율적으로관리하고안전성을향상시키기위해서중앙기관이참여하여일부역할을담당할필요가있다. 싱가포르통화청은중앙집중식금융시스템에서중앙기관이수행하던역할 ([ 표 5]) 중, 감독, 거버넌스등의중요역할은안전성및효율성향상을위해블록체인시스템에서도중앙기관이담당하는방안을제시하였다. 그밖에도시스템거버넌스, 참여자관리, 간접참여기관의운영대행, 블록체인간게이트웨이, SLA(Service Level Agreement) 거버넌스, 감사등의기능을중앙기관의역할로고려할수있다. 표 5 중앙집중식금융시스템에서중앙기관의주요역할 관리 감독 분야주요역할 7) 거래검증 감독거버넌스 금융거래시거래대상 ( 예금, 증권등 ) 의존재와거래유효성을검증하여거래의신뢰성보증 금융업무수행시규제이행여부, 금융거래의적법성등관련법규를준수하는지확인 금융회사인허가와금융회사별역할및권한등을부여하고사업범위등을관리 78 e-finance and Financial Security
Research 싱가포르통화청의블록체인프로젝트주요내용 분야주요역할 7) 사기방지분쟁해결 보안강화 사기거래를차단및예방 금융거래와관련된분쟁발생시사실관계확인및분석 금융회사의보안수준을강화하고침해사고를예방하기위해보안성평가및위협정보공유등수행 2. 서비스가용성측면 블록체인시스템의가용성을보장하기위해시스템장애및재해발생시시스템복원전략을수립하고금융서비스를상시제공하기위한방안마련이필요하다. 현재, 대부분의블록체인시스템에는중앙집중식시스템의복원전략을그대로적용하고있다. 그러나중앙집중식시스템의복원전략은블록체인시스템의특성이반영되지않았기때문에효과적인복원이어려울수있다. 그러므로블록체인의특징과블록체인시스템에발생할수있는시스템장애유형등을파악하고효과적인복원시점, 백업방식등의복원전략을마련할필요가있다. 또한블록체인시스템을기반으로금융서비스를상시제공하기위한다양한기준을마련할필요가있다. 예로, 싱가포르통화청이도출한실시간총액결제서비스의상시제공을위해필요한기준은 [ 표 6] 과같다. 이를참고하여, 금융회사등은블록체인시스템구축시, 서비스의특성을분석및반영하여상시서비스제공을위한기준을도출하여야한다. 표 6 상시서비스제공을위해고려해야할기준 ( 예시 : 실시간총액결제시스템 ) 순번기준 1 거래요청처리와관련된기준시간, 단위 2 금융회사업무시간이후의거래요청수수료및거래처리인센티브 3 금융회사별로상이한업무처리시간 4 금융회사별로상이한 SLA 5 외환거래시환율결정등 7) M. Mainelli and A. Milne, The Impact and Potential of Blockchain on the Securities Transaction Lifecycle, SWIFT Institute Working Paper, May 2016. http://www.fsec.or.kr 79
전자금융과금융보안 ( 제 12 호, 2018-04) Ⅳ 결론 최근금융권등을중심으로블록체인기반의시스템을구축및활용하기위한시범테스트가활발히진행중이다. 하지만많은경우에는단순기능적용및처리성능중심의테스트를수행하고있으며, 대부분일회성시도로끝나고있는실정이다. 일회성시도에그치지않고, 블록체인기반의금융시스템을체계적으로구축하기위해서는싱가포르통화청의 Project Ubin과같이, 구축하고자하는금융시스템의목표를기능및성능에따라단계적으로설정하는것이중요하다. 그리고완전한탈중앙화를추구하지않고업권과해당시스템의특성을감안하여적절한탈중앙화수준을고려해야한다. 블록체인기술의등장초기에는, 대부분의블록체인시범테스트에서비트코인등의퍼블릭블록체인 8) 과같이중개기관없이완전히탈중앙화된시스템을구성하고자하였지만, 이후 Project Ubin을비롯한다수의시범테스트를통해중앙기관의역할및기능에대한필요성이제기되었다. 예를들어, 금융권역에서는거래모니터링, 거래공증, 참여기관관리등의관리 감독기능에대한신뢰가보장되어야하므로참여자간의합의에의존하기보다별도의전담기관을지정하여담당하도록하는방안을검토해야한다. 또한, 금융권등에서도입중인프라이빗블록체인 9) 은참여자의보안수준이상이할수있고, 블록체인의참여자가이해관계자로구성되어있어내 외부공격에의해거래정보유출및위 변조가발생할수있다. 그러므로시스템의보안성과신뢰성을보장하기위해중앙기관이블록체인에참여하여일부기능을수행하는방안에대한검토가필요하다. 8) 누구나참여가능한블록체인유형으로중개기관없이모든노드의합의로운영 9) 검증을통해승인된주체만참여가능한블록체인유형 80 e-finance and Financial Security
Research 싱가포르통화청의블록체인프로젝트주요내용 참고문헌 [1] Monetary Authority of Singapore, Project Ubin: SGD on Distrivuted Ledger, Tech. Paper, 2016.12. [2] Monetary Authority of Singapore, Project Ubin Phase 2, Tech. Paper, 2017.11. [3] M. Mainelli and A. Milne, The Impact and Potential of Blockchain on the Securities Transaction Lifecycle, SWIFT Institute Working Paper, May 2016. http://www.fsec.or.kr 81
전자금융과금융보안 e-finance and Financial Security Issue Trend 산업동향 일본총무성, AI 연구개발가이드라인 (draft) 주요내용 핀테크 신기술 웹사이트정보수집기술활용사례및이슈사항 설명가능한인공지능 (XAI) 소개 블록체인기반의자산교환기술동향 악성파일패밀리주요분류방법소개 페이팔 (PayPal) 간편결제서비스분석 법 정책 PSD2 규제기술표준주요내용및시사점 금융권레그테크국내 외최근동향및시사점 유럽연합사이버보안법안주요내용및시사점
Issue Trend 일본총무성, AI 연구개발가이드라인 (draft) 주요내용 산업동향일본총무성, AI 연구개발가이드라인 (draft) 주요내용 개요 일본총무성에서는향후독립적인 AI 시스템들이연결되는 AI 네트워크화 사회를전망하면서, 이로인한편익증진과위험감소를위해지속적인 논의를진행 일본총무성이 17 년 4 월 G7 정보통신장관회의와 10 월 AI 국제컨퍼런스 1) 에서 공개한 AI 연구개발가이드라인 (draft) 2) 의주요내용을소개 AI 연구개발원칙 가이드라인은 3 개의기준으로분류된 9 개의 AI 연구개발원칙으로구성 표 1 AI 연구개발원칙요약 분류원칙설명이익증진및올바른개발 ➀ 협력성 (collaboration) AI 시스템간의상호연결성 (inter-connectivity) 및운용성 (inter-operability) 에관한원칙 위험완화 AI 시스템산출물의검증 (verifiability) 및산출근거의 ➁ 투명성 (transparency) 설명가능성에관한원칙 ➂ 통제가능성 (controllability) 사용자의 AI 시스템통제가능성에관한원칙 ➃ 안전성 (safety) 사용자의생명, 신체, 자산등에미치는영향에관한원칙 ➄ 보안성 (security) AI 시스템이갖춰야할신뢰성, 기밀성, 무결성등의보안요소에관한원칙 1) OECD, Conference on Artificial Intelligence - AI: Intelligent Machines, Smart Policies, 2017.10.26. 2) The Conference toward AI Network Society, Draft AI R&D GUIDELINES for International Discussions, 2017.7.28. http://www.fsec.or.kr 85
전자금융과금융보안 ( 제 12 호, 2018-04) 분류원칙설명 사용자의수용성 (acceptance) 향상 ➅ 프라이버시 (privacy) ➆ 윤리 (ethics) ➇ 사용자지원성 (user assistance) ➈ 책임성 (accountability) 사용자의사생활, 개인정보등을침해하지않음에관한원칙 AI 시스템연구개발에서인간의존엄성과자주성등이고려되어야함에관한원칙 AI 시스템이사용자에게적절한지원방법을제공해야함에관한원칙 AI 시스템연구 개발자의책임에관한원칙 ➀ ( 협력성의원칙 ) AI 시스템은타시스템과네트워크로연동되는상호연결성및운용성을지원가능해야함 - 이를위해효과적인정보공유협력방안마련, AI 시스템개발을위한국제표준준수, 표준화된데이터포맷및외부인터페이스개발, 연동및운용중에발생가능한위험분석, 표준필수특허 3) 등이필요 ➁ ( 투명성의원칙 ) 연구 개발자 ( 이하 개발자 ) 는 AI 시스템의입력과산출물간의관계를검증할수있어야하며, 산출물이도출된근거를설명할수있어야함 - 이는 AI 시스템에대한사회적신뢰와이해를얻기위한원칙이며, 사용된학습데이터, 알고리즘, 소스코드등의공개를목적으로하지않음 ➂ ( 통제가능성의원칙 ) 개발자는 AI 시스템을통제할수있어야하며, 실용화에앞서위험요소들을식별하고조치방안을마련해야함 - 개발자는검사 (Verification) 와검증 (Validation) 을수행하여 AI 시스템의통제가능성관련위험요소들을평가하는것이필요 - 보안이확보된폐쇄된환경 ( 샌드박스등 ) 에서위험요소들을평가하고, 조치방안마련및효과성확인이필요 3) 표준필수특허 (Standard Essential Patent, SEP): 표준기술이포함된특허 86 e-finance and Financial Security
Issue Trend 일본총무성, AI 연구개발가이드라인 (draft) 주요내용 ➃ ( 안전성의원칙 ) AI 시스템은액추에이터 (actuator) 4) 와같은장치를이용하여사람의자산, 신체등에해를끼쳐서는안됨 - 개발자는검사와검증을수행하여안전성과관련된위험을평가하는것이필요 - 또한, 사용자의자산, 신체등에관련된결정을내리는 AI 시스템개발시, 의도와근거를설명할수있어야함 - AI 시스템전 ( 全 ) 개발과정에걸쳐본질적안전조치 * 와기능적안전조치 ** 마련이필요 * AI 시스템의동작을위한액추에이터가본질적으로가지고있는위험요소를축소시키는안전조치 ** 자동제어장치같은추가적인장치운용으로위험을완화시키는안전조치 ➄ ( 보안성의원칙 ) 개발자는 AI 시스템의보안에유의해야함 - 개발자는국제보안가이드라인 5) 을참고해야할뿐만아니라, 학습으로인해변동되는 AI 시스템산출물이보안에미치는영향을염두 - 또한, AI 시스템에서사용되는정보의기밀성, 무결성, 가용성과신뢰성 (reliability) *, 완건성 (robustness) ** 까지고려해야하며, 검사와검증을통한 AI 시스템의사전위험평가가필요 * AI 시스템이의도된대로동작하며, 권한없는제 3자에의해조작되지아니함 ** 물리적공격또는사고에내성을지님 - AI 시스템개발전 ( 全 ) 과정에걸쳐필요한보안조치를취하는보안내재화 (Security by Design) 가필요 ➅ ( 프라이버시의원칙 ) 사용자의프라이버시 ( 사용자의사생활, 개인정보등 ) 가 AI 시스템에의해침해되어서는안됨 4) 액추에이터 (actuator): 에너지를움직임으로변환하는기계적인장치. 예를들어로봇은인간의다리와유사한기계장치 ( 액추에이터 ) 를활용하여보행 5) OECD Guidelines for the Security of Information Systems and Networks 등 http://www.fsec.or.kr 87
전자금융과금융보안 ( 제 12 호, 2018-04) - 개발자는개인정보관련국제가이드라인 6) 을참고하고, 학습으로인해변동되는 AI 시스템산출물이사용자의프라이버시에미치는영향을평가할필요 - 또한, AI 시스템개발전 ( 全 ) 과정에걸쳐프라이버시를고려 (Privacy by Design) 하는것이필요 ➆ ( 윤리의원칙 ) 사람의존엄성과자주성존중을기반으로 AI 시스템이개발되어야함 - 개발자는개발하는 AI 시스템이사람의신체와연결될경우생명윤리의관점에서사람의존엄성과자주성을고려해야함 - 사람의가치침해에대한예방책으로국제법 7) 을기반으로한조치방안을마련하는것이권장 - 또한, 한쪽성향으로치우쳐진학습데이터로인해사용자에대한불공정한차별이발생하지않도록해야함 ➇ ( 사용자지원의원칙 ) 사용자의의사결정에 AI 시스템이도움이될수있도록적시에적절한인터페이스 * 로정보를제공해야함 * 디폴트세팅, 쉽게이해가능한옵션, 경고메시지등 - 개발자는사용자에게 AI 시스템의산출물이학습으로인해변동될수있음을알리는것이필요 ➈ ( 책임의원칙 ) AI 시스템이사용자와사회의신뢰를얻을수있도록책임을 다해야함 - 개발자는사회와사용자의 AI 시스템수용성을향상시키기위해앞서 6) OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data 등 7) 국제인권법 (International Human Rights Law), 국제인도법 (International Humanitarian Law) 등 88 e-finance and Financial Security
Issue Trend 일본총무성, AI 연구개발가이드라인 (draft) 주요내용 언급된 8가지의원칙을고려하고, AI 시스템에사용된기술의특징등을제공 - 또한, 이해당사자 ( 정부기관, 사용자, 다른개발자등 ) 로부터다양한피드백을받는수단마련이필요 결론 일본정부는 AI 관련가이드라인발간등 AI 연구개발의국제적선도와자국내연구개발활성화를위해지속적으로노력 앞서살펴본가이드라인에서는 9가지의원칙외에정부기관, 표준화기구, 연구 개발자의역할에대해서도언급 - ( 정부기관 ) 이해당사자들이의견을공유할수있는수단 ( 커뮤니티활성화등 ) 을마련하고, AI 시스템의편익증대와위험완화를위한연구개발지원정책마련 - ( 표준화기구 ) 가이드라인을준수하는권장모델개발및공개 -( 연구 개발자 ) 가이드라인기반의실질적사례등을공유 국내금융분야에도 AI 기술도입이이루어지는만큼금융서비스개발자 들은보다보안성, 안전성, 수용성등이향상된 AI 시스템개발을위해, 국내의 AI 관련동향뿐만아니라해외동향에도관심필요 http://www.fsec.or.kr 89
전자금융과금융보안 ( 제 12 호, 2018-04) 핀테크 신기술웹사이트정보수집기술활용사례및 이슈사항 개요 최근금융권에서는웹사이트에서필요한정보를추출 수집하는기술인스크래핑을적용한서비스가증가 이와관련하여, 스크래핑기술의활용사례및특징을살펴보고기술적용에따른이슈사항을검토 스크래핑기술활용사례 국내금융회사등은스크래핑기술을활용하여여러기관에보관된이용자의정보를일괄적으로수집해처리함으로써이용자에게편의성제공 - 이를위해사전에서비스제공회사, 타기업, 이용자등과개인정보활용, 인증결과공유등에대한합의가필요 스크래핑기술을활용한주요서비스사례로는비대면대출, 보험통합관리, 통합자산관리등이존재 - ( 비대면대출 ) 금융회사등은비대면대출처리시, 스크래핑기술을활용하여홈택스등관련사이트에서이용자의신용평가에필요한자료를수집 대출기관은이용자가사전에입력한인증정보를사용해관련사이트에접속하고, 스크래핑기술을활용하여자료를수집 90 e-finance and Financial Security
Issue Trend 웹사이트정보수집기술활용사례및이슈사항 그림 1 스크래핑을활용한대출예시 예를들어이용자가뱅킹 App에공인인증서를한번만등록하면, 스크래핑엔진이이용자대신이용자의인증정보로홈택스등관련사이트에로그인하여필요한정보를수집 - ( 보험통합관리 ) 이용자는가입한보험중제3자정보제공에동의한보험에한해보험정보들을확인하여통합관리가능 - ( 통합자산관리 ) 이용자는예 적금, 카드사용내역등여러금융회사의거래내역을확인하여통합자산관리가능 스크래핑기술은수행하는엔진의위치에따라서버형과클라이언트형으로분류 1) ( 서버형 ) 스크래핑엔진이서버에서동작하는방식으로, 웹사이트에서필요한정보를수시로수집하여서버에저장 - 이용자가정보를요청하기전에서버에수집해놓는방식이므로처리속도가빠르고서버를이용하여대용량의정보처리가가능 - 하지만서버가사전에정보를수집하기위해이용자의정보를사용해서수시로타기관에접근 ( 클라이언트형 ) 스크래핑엔진이이용자의단말기에서동작하는방식 - 정보를이용자의단말기에서처리하기때문에서버형보다처리속도는느리지만이용자정보유출가능성이낮음 - 클라이언트형은브라우저에확장프로그램을설치하여데이터를수집하는방식등이가능 1) www.scraping.co.kr http://www.fsec.or.kr 91
전자금융과금융보안 ( 제 12 호, 2018-04) 스크래핑과관련된이슈사항 ( 제3자의개인정보수집 ) 해외주요국에서는스크래핑기술로인한제3자의과도한개인정보수집및개인정보유출가능성등의우려제기 - ( 유럽 ) 유럽은행감독청 (EBA) 2) 은유럽연합의결제서비스지침 PSD2 3) 시행을위한표준 RTS 4) 에서개인의지급결제계좌정보에스크래핑기술적용을금지 RTS 에서스크래핑은신원이확인되지않은제3자가이용자의금융정보에접근한다는점에서안전하지않을수있기때문에, 제3자는스크래핑대신 API를사용해야함을언급 - ( 미국 ) 미국의소비자금융보호국 (CFPB) 5) 은스크래핑과같은기술로제3자가소비자의인가를받은후소비자금융데이터에접근시, 정보보호및보안을위해고려할수있는소비자보호원칙 (Consumer Protection Principles) 6) 을발표 소비자보호원칙에서는소비자가제3자의금융데이터접근에대해행사할수있는권리, 제3자가접근가능한데이터의범위등을명시 소비자보호원칙과관련된내용은 [ 참고 ] 소비자보호원칙 (Consumer Protection Principles) 요약 참조 ( 타기업의정보무단사용 ) 기업이스크래핑기술로별도의사전동의 없이타기업에저장된정보를수집 활용할경우분쟁이발생가능 2) 유럽연합 (EU) 의은행에대한규제및감독을담당하는기구 3) PSD2(Payment Services Directive2): 소비자보호강화및더안전한지급결제서비스를위해개정된유럽연합의결제서비스지침 (2018 년 1 월부터적용 ) 원문 : ec.europa.eu/info/law/payment-services-psd-2-directive-eu-2015-2366_en 4) RTS(Regulatory Technical Standards): PSD2 를시행하기위한표준원문 : ec.europa.eu/info/law/payment-services-psd-2-directive-eu-2015-2366/amending-and-supple mentary-acts/implementing-and-delegated-acts_en 5) 미국이 2008 년의금융위기이후여러금융감독기구에분산되어있던소비자보호기능을통합해출범시킨금융소비자보호기구 6) www.consumerfinance.gov/data-research/research-reports/consumer-protection-principles-consumerauthorized-financial-data-sharing-and-aggregation 92 e-finance and Financial Security
Issue Trend 웹사이트정보수집기술활용사례및이슈사항 - 부동산관련회사 (Radpad) 와중고차매매회사 (Instamotor) 는온라인거래사이트 (Craiglist) 의정보를스크래핑으로무단수집하였고, 이로인해저작권분쟁발생 - 인사관리솔루션개발회사 (HiQ) 는구인 구직관련사이트 (Linkedin) 의회원정보를스크래핑으로무단수집하여자사의제품개발에활용하였고, 이에대한분쟁발생 결론 ( 스크래핑관련이슈 ) 스크래핑은복잡한절차를간소화하여이용자가다양한서비스를좀더편리하게이용할수있으나, 이용자의정보유출이나개인정보수집및활용등의이슈발생가능 - 따라서서비스에스크래핑기술을적용시, 관계자들의사전합의및해당서비스에정보보호를위한보안조치등이필요 ( 오픈 API 활성화 ) 금융권은스크래핑을활용한금융서비스에대한 지속적인모니터링및오픈 API 활성화방안고려필요 참고문헌 [1] Craigslist garners $60 million judgement against Radpad in scraping dispute, Proskauer, 2017.04. [2] Craigslist sues Instamotor for allegedly re-posting car ads, SFGATE, 2017.04. Data scraper s case v. LinkedIn pits free speech against CFAA, DMCA. 2017.06. [3] PSD2: Throwing a spotlight on RTS. 2017.09. [4] UK Fintech Battle Heats Up Over Screen-Scraping, LEXOLOGY, 2017.07. [5] Payment Services Directive(PSD2): Regulatory Technical Standards(RTS) enabling consumers to benefit from safer and more innovative electronic payments, European Commission-Fact Sheet, 2017.11. http://www.fsec.or.kr 93
전자금융과금융보안 ( 제 12 호, 2018-04) 참고 소비자보호원칙 (Consumer Protection Principles) 요약 접근 (Access) - 소비자는계좌제공자 ( 금융기관 ) 로부터소비자의소유권이나금융상품및서비스사용에관한정보를받기위해, 안전한방법으로제3자에게소비자를대신할수있는권한부여가능 - 금융계좌동의서및조항은소비자가소비자계좌정보에대한타인의접근허가를제지하지않는등인가된접근을지원하며, 해당접근은소비자에게소비자계좌와관련된개인정보를공유하도록요구하지않음 데이터범위및사용 (Data Scope and Usability) - 소비자및소비자의허가를받은접근이다루는금융데이터는일련의거래, 수수료나지출이자와같은소비자의실현된비용, 받은이자와같은소비자의실현된이익등을포함가능 - 액세스가허용된제3자는오직소비자에의해선택된상품및서비스를제공하는데필요한데이터만접근하며해당데이터를필요한기간에만유지 제어및사전동의 (Control and Informed Consent) - 소비자는데이터공유해지조항을이해하고데이터접근, 사용, 저장에대한승인을쉽고간단히해지가능 - 제공자들은적시에효과적인방법으로이와같은승인해지를수행하며, 소비자는승인해지를통해소비자의재량으로제3자에게개인적으로식별가능한정보를삭제하게할수있음 지급결제승인 (Authorizing Payments) - 데이터접근에대한승인은지급결제승인이아니며정보에접근하고지급결제를개시하려는제공자는소비자에게순리적으로지급결제승인요청가능 94 e-finance and Financial Security
Issue Trend 웹사이트정보수집기술활용사례및이슈사항 보안 (Security) - 소비자데이터는보안상의결함으로부터보호되고소비자의피해를막을수있는방식으로유지되며접근에사용되는개인정보도유사하게보호됨 - 데이터를접근, 저장, 전송, 삭제하는모든당사자들은전송오류, 인가되지않은접근등에대응하고위험을완화시키기위해강력한보안등을사용하며오직이러한조치를하고있는제3자에게만데이터를전송 액세스투명성 (Access Transparency) - 소비자는권한을부여한제3자가소비자의계좌등에관련된정보를접근하거나사용하는것에대해통지를받거나쉽게확인가능 정확성 (Accuracy) - 소비자는자신이접근하는데이터를예상하거나타인이정확하게접근하고사용하도록권한을부여할수있으며, 데이터의부정확성에대한분쟁및해결을위해합리적이며실행가능한수단을가짐 분쟁및인가되지않은접근해결능력 (Ability to Dispute and Resolve Unauthorized Access) - 소비자는인가되지않은접근및데이터공유, 인가되지않은지급결제등에대한분쟁및해결을위해합리적이며실행가능한수단을가짐 - 소비자는인가되지않은접근을하였거나그러한접근을허용한사람의신원을확인하도록요구받지않으며, 이에대한책임이있는당사자들은발생한결과에대해책임을짐 효율적이고효과적인책임메커니즘 (Efficient and Effective Accountability Mechanisms) - 영리를추구하는서비스제공자는그들이소비자에게안내한위험, 피해, 비용에대한책임이있으며인가되지않은접근및데이터공유, 인가되지않은지급결제를예방 감지 해결하도록장려됨 http://www.fsec.or.kr 95
전자금융과금융보안 ( 제 12 호, 2018-04) 핀테크 신기술 설명가능한인공지능 (XAI) 소개 개요 인공지능기술은빅데이터및복잡한알고리즘등을기반으로사용자의의사결정에따른결과를예측하여의사결정지원 - 하지만인공지능기술은알고리즘의복잡성으로인해최종결과의근거와도출과정의타당성등을제공하지못하는이슈가존재 특히금융, 보험, 의료분야의인공지능시스템은개인정보와자산등을다루기때문에공정성, 신뢰성, 정확성이중요 - 인공지능시스템의공정성, 신뢰성, 정확성등을위해서는최종결과의도출근거및도출과정의타당성확인이필요 이에본고에서는사용자 ( 개발자, 관리자등 ) 가인공지능시스템의최종결과를 이해할수있도록정보를제공하는 설명가능한인공지능 (explainable AI, XAI) 에대해소개 XAI 의등장배경및개념 ( 등장배경 ) 인공지능시스템결과에대한사용자및사회의수용과신뢰가우려되면서 XAI에대한관심이높아짐 - 70년대인공지능시스템인 전문가시스템 (expert system) 이도출한결과를관련전문가들에게이해시키지못하면서, 설명가능한인공지능의중요성이인식되었고 XAI 연구가시작됨 96 e-finance and Financial Security
Issue Trend 설명가능한인공지능 (XAI) 소개 - 최근딥러닝이전세계적으로확산되고, 다양한분야에도입되면서 XAI 연구가다시활성화됨 미 ( 美 ) 국방성산하국방위고등연구계획국 (DARPA) 에서는 17년부터 XAI 관련프로젝트 (XAI 학습모델개발및테스트 ) 를추진 1) ( 개념 ) XAI는사용자가인공지능시스템의동작과최종결과를이해하고올바르게해석하여결과물이생성되는과정을설명가능하도록해주는기술을의미 - 예를들어, 인공지능시스템이고양이이미지를분류할경우, 기존시스템은입력된이미지의고양이여부만을도출 - XAI 는고양이여부의결과뿐만아니라, 해당결과의근거 ( 털, 수염등 ) 까지사용자에게제공 그림 1 설명가능한인공지능 (XAI) 예시 1) DARPA, Explainable Artificial Intelligence(XAI) DARPA-BAA-16-53, 2016.8.10. http://www.fsec.or.kr 97
전자금융과금융보안 ( 제 12 호, 2018-04) XAI 를위한기술적접근방법 XAI 를위한기술적접근방법으로 ( 가 ) 기존학습모델변형, ( 나 ) 새로운학습 모델개발, ( 다 ) 학습모델간비교에기반을둔방법이존재 2) ( 가 ) 기존학습모델변형 기존학습모델변형은기존학습모델에역연산과정을추가하거나학습모델을수정하는방식 - 예를들어, 합성곱신경망에역연산과정인역합성곱신경망 (deconvolutional network) 을추가함으로써합성곱신경망의최종결과를설명하는방식등이있음 역합성곱신경망을통한학습모델의시각화연구사례 3) ( 연구개요 ) 합성곱신경망의학습과정을역연산하는신경망을추가함으로써최종결과에영향을미치는요소들을추론및시각화하는학습모델을연구 ( 합성곱신경망구성 ) 합성곱신경망은여러개의층 (layer) 으로이루어져있으며, 각층은이전층에서생성된특징정보맵 (feature maps) 을이용하여새로운특징정보맵을생성 ( 합성곱연산 ) 하는층과이를축소 ( 풀링연산 ) 시키는층등으로구성 ( 이미지분류예시 ) 입력된이미지는각층과최종분류를위한단계 ( 완전연결층, fully connected MLP) 를거쳐분류 < 합성곱신경망구성과정 > 2) Biran, Cotton, Explanation and Justification in Machine Learning: A Survey, IJCAI, 2017 David Gunning, Explainable Artificial Intelligence(XAI), DARPA, 2016. 3) Zeiler, M. D., & Fergus, R.Visualizing and understanding convolutional networks. In European conference on computer vision, 2014. 98 e-finance and Financial Security
Issue Trend 설명가능한인공지능 (XAI) 소개 ( 역합성곱과정 ) 역합성곱신경망은이러한학습과정을역으로계산하면서각층에서특징정보맵생성시영향을미치는요소 * 를추론하고이를시각화함 * 이미지분류에영향을미치게되는것을의미하며, 이를최종분류결과의근거로사용가능 < 역합성곱신경망구조예시 > ( 이미지분류근거확인 ) 앞에서시각화한요소들을실제이미지와매칭함으로써이미지분류근거를확인 < 각층의특징정보맵생성에영향을미치는요인 ( 왼쪽회색 ) 과실제이미지에매칭된부분 ( 오른쪽이미지 ) 을시각화한예시 > http://www.fsec.or.kr 99
전자금융과금융보안 ( 제 12 호, 2018-04) ( 나 ) 새로운학습모델개발 새로운학습모델개발은원인으로부터결과도출과정을표현할수있는학습모델을새롭게만드는것을의미 - 예를들어, 분류결과에특징을매핑할수있는확률적 AND-OR 그래프모델이있음 확률적 AND-OR 그래프기반의설명가능한분류학습모델연구사례 4) ( 연구개요 ) 입력 ( 이미지, 텍스트등 ) 데이터의특징 ( 경곗값, 텍스쳐, 색등 ) 을관계그래프로생성하여분류결과에연결된노드로부터분류근거를확인 ( 이미지분류예시 ) 입력이미지들과이미지의특징 ( 스케치, 색, 텍스쳐, 주요객체위치등 ) 을 AND 노드 * 와 OR 노드 ** 를활용하여분류하는그래프로표현 * AND 노드 : 입력이미지에표현된객체를의미하며, 그래프의상위로갈수록큰개념의객체를표현하고하위로갈수록세분화된객체를표현 ** OR 노드 : AND 노드를연결하는노드로의미적관계를표현 4) Si, Z., & Zhu, S. C. Learning and-or templates for object recognition and detection. IEEE transactions on pattern analysis and machine intelligence, 2013. 100 e-finance and Financial Security
Issue Trend 설명가능한인공지능 (XAI) 소개 공작새 AND 노드 의하위노드로 날개 AND 노드 가있을때, OR 노드가이들을연결하고, 이에대한전이확률을표시 ( 새로운학습모델생성 ) AND-OR 그래프를통해터미널노드에도달하기까지의노드들을분석하고분류된이미지와매핑되는특징 ( 스케치, 색, 텍스쳐, 주요객체위치등 ) 을식별하여설명함 ( 다 ) 학습모델간비교 학습모델간비교방법은설명이필요한타깃학습모델을설명가능한타 모델과비교하여타깃학습모델의최종결과를설명하는방식 학습모델비교를통한범용적분류모델연구사례 5) ( 연구개요 ) 타깃분류모델의최종결과를설명할때, 설명가능한다른분류모델과대조및추론하여이를도출근거로활용하는범용적분류모델을연구 ( 이미지분류예시 ) 설명가능한분류모델이그림 (a) 를 전자기타 로분류하고, 그림 (a) 의일부를타깃분류모델에입력했을때 전자기타 로분류 ( 결과도출근거활용 ) 설명가능한분류모델의결과도출근거를타깃분류모델의결과도출근거로활용 (a) 입력이미지 (b) 입력이미지의일부 5) Ribeiro, M. T., Singh, S., & Guestrin, C. Why should I trust you?: Explaining the predictions of any classifier. In Proceedings of the 22nd ACM SIGKDD International Conference on Knowledge Discovery and Data Mining ACM, 2016. http://www.fsec.or.kr 101
전자금융과금융보안 ( 제 12 호, 2018-04) 결론및시사점 XAI 는다양한분야 ( 금융, 보험등 ) 의인공지능시스템이사용자와고객으로부터신뢰를얻고사회적수용을위한공감대를형성할수있는방안이될것으로예상 - XAI를위한기술적접근방법으로기존학습모델을설명가능하도록변형, 새로운학습모델개발, 학습모델간의비교를통한방법이존재 XAI를활용함으로써인공지능시스템의성능향상, 통찰력습득, 법적책임및준수확인등의효과가기대됨 6) - ( 성능향상 ) 학습모델의편향등시스템의성능저하요인을파악하고, 동일한목적과결과를갖는학습모델간비교로적합한학습모델을도출함으로써성능향상가능 - ( 통찰력습득 ) 인공지능의학습과정중생성된빅데이터로부터다양한패턴을추출 분석하여드러나지않았던법칙, 전략등을도출가능 ( 예시 ) 인공지능바둑기사인알파고의수 ( 手 ) 를바둑전문가들이연구하여새로운전략도출 - ( 법적책임및준수확인 ) 인공지능시스템의잘못된결과로분쟁발생시원인파악이가능하고, GDPR( 유럽연합 (EU) 개인정보보호규정 ) 과같은규정준수여부검증등이가능 인공지능시스템을개발및운영하는담당자들은아직연구단계에있는 XAI 관련기술등을지속적으로모니터링하는것이필요 6) Fox, Maria, Derek Long, and Daniele Magazzeni., Explainable Planning, IJCAI, 2017. Samek, W., Wiegand, T., & Muller, K. R., Explainable Artificial Intelligence: Understanding, Visualizing and Interpreting Deep Learning Models, 2017. 102 e-finance and Financial Security
핀테크 신기술 Issue Trend 블록체인기반의자산교환기술동향 블록체인기반의자산교환기술동향 개요 블록체인에서의토큰교환을위한기술인 Bancor 프로토콜 ( 이하 Bancor ) 과이에대한기술보고서 * 가공개되어동보고서의내용을조사 * E. Hertzog, et al., Bancor Protocol Continuous Liquidity for Cryptographic Tokens through their Smart Contracts, Tech. report, Jan. 2018. 주요내용 최근블록체인기반의 ICO가활성화되어다양한자산이토큰형태로발행됨에따라, 블록체인에서토큰교환을위한기술의필요성이제기 이와관련하여, 대표적인블록체인의토큰교환기술인 Bancor에대하여조사 분석 토큰 (Token): 가치를저장하기위한수단으로, 일반적으로블록체인에서토큰은스마트컨트랙트기술을기반으로 ICO를통해발행되며, 이더리움에는현재약 49,000 종의토큰이발행되어거래중 ICO(Initial Coin Offering): 블록체인에서새로운토큰을발행하는것으로, 토큰발행자는새로운아이디어또는기술을제안하고 ICO를통해투자금을모집하며이에대한보상으로토큰발행하여투자자에게지급 ERC20(Ethereum Token Standard 20): 이더리움상에서발행하고자하는토큰의스마트컨트랙트코드에대한규격으로 ERC20을따르는토큰간에는호환성이보장 http://www.fsec.or.kr 103
전자금융과금융보안 ( 제 12 호, 2018-04) Bancor 프로토콜의기술및특징 ( 가 ) 기술개요및현황 ( 기술개요 ) Bancor 는토큰교환기술로서, 토큰교환기술이적용된 스마트토큰 과다수의스마트토큰으로구성된 Bancor 네트워크 를 통해토큰교환기능을제공 ( 활용현황 ) 이더리움상에서발행된 ERC20 규격을따르는토큰중, Bancor 네트워크에연결된토큰간의교환만가능 * * 현재 Bancor 네트워크를통해약 50 여종의토큰의상호교환이가능 - 현재, 국내블록체인기업은블록체인간의자산교환을위해 Bancor 를적용 1) 할계획 - 향후, 블록체인간자산교환이가능하도록 Bancor 의기술범위가확장될것으로예상 ( 나 ) 세부기술 ( 스마트토큰 ) 스마트토큰은토큰교환기능이추가된토큰을의미하며, 세부적으로타토큰과의교환기능과스마트토큰의가격결정기능을포함 - ( 토큰교환 ) 토큰으로스마트토큰을구매 판매할수있는기능으로, 이를통해토큰간의교환이가능 예로, Bancor 개발진이발행한스마트토큰인 BNT 토큰은 Ether 토큰과의교환기능을가졌으며, Ether 를통해 BNT 을구매 판매함으로써 BNT과 Ether 간의교환이가능 1) 국내블록체인플랫폼기업인더루프는서로다른블록체인간에상호연동 ( 자산교환등 ) 을위한기술 (ICON 프로젝트 ) 의개발을추진중이며, 블록체인간자산교환기능개발을위해 Bancor 를적용할계획 104 e-finance and Financial Security
Issue Trend 블록체인기반의자산교환기술동향 이와같은경우, BNT 가 Ether 에대한 커넥터 (Connector) 를가졌다고 지칭하며, 스마트토큰은 1 개이상의커넥터를보유 BNT 토큰이 Ether 토큰에대한커넥터를보유 Ether 토큰을통해 BNT 토큰을구매 판매함으로써두토큰간의교환이가능 - ( 가격결정 ) 스마트토큰의가격 * 은수요 공급의원리를기반으로스마트 토큰의공급량, 준비금등을활용하여결정 * 스마트토큰의가격은교환가능한토큰 ( 커넥터 ) 별상대가격 스마트토큰의가격결정 (BNT 토큰과 Ether 커넥트를예로설명 ) - (Connector balance) 이용자가 BNT 토큰을판매하는경우에판매대가로서지급하기위해유지하는준비금개념의 Ether 토큰 - (Smart Token outstanding supply) 총발행된 BNT 토큰중에서이용자에게공급 ( 판매 ) 되어유통중인 BNT 토큰의개수 - (Connector weight) Connector balance와발행된 BNT 토큰의총가치 (Smart Token s total value) 간의비율 (0~100%) 로서, Connector weight 별로 BNT 토큰의 Smart Token s outstanding supply 증가에따른가격변화의탄력성이상이 Connector weight는고정된상수값으로스마트토큰의발행자가설정 Price < 가격결정관련수식 > Connector balance Smart Token s outstanding supply Connector weight Connector weight Connector balance Smart Token s Total value Smart Token s total value price Smart Token supply http://www.fsec.or.kr 105
전자금융과금융보안 ( 제 12 호, 2018-04) 준비금비율에따른스마트토큰가격의탄력성 준비금비율 = 100% 준비금비율 = 50% 준비금비율 = 10% 준비금비율 = 90% (Bancor 네트워크 ) Bancor 네트워크는다수의스마트토큰이연결되어구성된네트워크로서 DEX 2) 기능을제공 - ( 구성 ) 커넥터보유개수등에따라구분된여러종류의스마트토큰으로구성 표 1 Bancor 네트워크를구성하는스마트토큰의종류 분류 세부설명 Liquid Token 스마트토큰이보유한커넥터의준비금비율의총합이 100% 미만인경우 Proxy Token 스마트토큰이 1개의커넥터를보유했으며준비금비율이 100% 인경우 Relay Token 스마트토큰이 2개의커넥터를보유했으며준비금비율의합이 100% 인경우 Array Token 스마트토큰이 3개이상의커넥터를보유했으며준비금비율의합이 100% 인경우 Network Token 스마트토큰에대한커넥터를다수의다른스마트토큰이보유한경우 2) DEX(Decentralized EXchange) - 별도의중개기관없이블록체인의스마트컨트랙트를기반으로토큰간교환이가능한기능으로, 국내에서는 탈중앙화된분산거래소 등으로불림 106 e-finance and Financial Security
Issue Trend 블록체인 기반의 자산교환 기술 동향 - (토큰 교환) 교환하고자 하는 토큰 간에 커넥터가 존재하지 않는 경우에도 Bancor 네트워크를 통해 간접적으로 교환 가능* * 예시: 아래 그림에서 토큰 A, B 간의 교환이 가능 그림 1 Bancor 네트워크 예시 결론 (거래소 기능 제공) Bancor는 별도 중개기관이 토큰거래 기능을 제공하던 기존 거래소와는 달리, 블록체인의 스마트 컨트랙트를 기반으로 탈중앙화된 토큰 거래소 기능을 제공 (토큰 종류의 확장) Bancor는 ERC20 토큰에 대한 호환성 보장과 Bancor 네트워크를 통한 직 간접적인 토큰교환 기능을 통해 교환 가능한 토큰의 종류를 지속적으로 확장 가능 http://www.fsec.or.kr 107
전자금융과금융보안 ( 제 12 호, 2018-04) 핀테크 신기술 악성파일패밀리주요분류방법소개 개요 해마다증가하는악성파일을빠르게분석하고자유사한특성을지닌악성파일들을하나의패밀리로분류하는연구가꾸준히수행 -신종 변종악성파일의특성과유사한특성을갖는패밀리가존재할경우, 사전에분석된패밀리정보로악성파일의신속한조사및대응이가능 이와관련하여, 악성파일패밀리분류연구 1) 에서사용된주요분류방법을 간략히소개 악성파일패밀리주요분류방법 악성파일패밀리분류는악성파일간유사성에기반하며, 연구에서는악성 파일의특성을그래프, 문자열, 특징벡터로구조화한후, 유사성을비교하여 패밀리를분류 ( 가 ) 그래프유사성기반패밀리분류 악성파일에의해호출된시스템콜, 명령어기록등을그래프로표현한후, 그래프간에공통되는부분을비교하여, 유사도를측정 1) IEEE, ACM 저널및학회를중심으로 09 년이후발표된인용횟수가 80 회이상인연구를대상으로함 108 e-finance and Financial Security
Issue Trend 악성파일패밀리주요분류방법소개 그림 1 그래프유사성기반패밀리분류과정예시 1) 시스템콜그래프기반악성파일패밀리분류 2) ( 실험순서 ) ➀시스템콜그래프생성 ➁최대공통부분그래프 * 를이용한거리 (Distance) ** 측정 ➂패밀리분류 * 두그래프간에공통되는부분그래프중, 가장크기가큰그래프 ** 두그래프간의거리값이작을수록서로의유사성이높은것을의미 1 시스템콜그래프생성 : 시스템콜들의의존관계 (Dependency) 를그래프로 구조화 커널진입명령어인 SYSENTER 의사용을탐지하여호출한시스템콜과전달된인자 (Argument) 를수집 현재실행된시스템콜이사용한핸들 ( 운영체제의자원을가리키는변수 ) 이다른시스템콜의실행에쓰일경우두시스템콜은의존관계가있는것으로판단 현재실행된시스템콜이사용한핸들 ( 운영체제의자원을가리키는변수 ) 이다른시스템콜의실행에쓰일경우두시스템콜은의존관계가있는것으로판단 2 최대공통부분을이용한거리측정 : 두그래프의공통부분을추출하고 이를이용하여거리계산 2) Y. Park, et al. Fast Malware Classification by Automated Behavioral Graph Matching. Proceedings of the Sixth Annual Workshop on Cyber Security and Information Intelligence Research(ACM). 2010. http://www.fsec.or.kr 109
전자금융과금융보안 ( 제 12 호, 2018-04) 최대공통부분그래프 그래프 그래프 ( 그래프 = 그래프의노드수 ) 최대공통부분그래프의노드수가 3, 두그래프의노드수가 5, 10 일때, 수식의결과는 7/10 이며, 이결과값이두그래프간의거리값으로사용 3 악성파일패밀리분류 : 계산된거리가사전에설정된기준값보다작으면, 두그래프에해당되는악성파일을동일한패밀리로분류 2) 명령어의존성그래프기반악성파일패밀리분류 3) ( 실험순서 ) ➀명령어의존성그래프생성 ➁그래프간의유사도측정 ➂패밀리분류 1 명령어의존성그래프생성 : 디버깅을통해악성파일이사용하는명령어 ( 노드 ) 를수집하고, 이들간의의존관계 ( 간선 ) 를마르코프사슬 (Markov Chain) 4) 그래프로구조화 2 그래프간의유사도측정 : 세밀한유사도측정을위해그래프를고차원공간으로사상 5) 시켜유사도행렬계산 3 악성파일패밀리분류 : 계산된유사도행렬을서포트벡터기계 (SVM) 6) 의입력으로사용하여패밀리를분류 ( 나 ) 문자열유사성기반패밀리분류 HTTP 요청 (Request) 정보, 운영체제의행위정보등을문자열로표현한후, 유사도를측정 3) B. Anderson, et al. Graph-based malware detection using dynamic analysis. Journal in computer Virology. 2011. 4) 마르코프사슬 (Markov Chain): 상태전이모델에서다음상태결정을위해현재상태만을고려하는그래프모델. 마르코프사슬에서간선 (Edge) 의값은상태가전이될확률을의미 5) 두그래프를고차원공간에사상 (mapping) 시키기위해커널트릭이사용되며, 커널트릭을통해고차원을공간으로사상된두그래프를대상으로유사도행렬을생성 6) 서포트벡터기계 (SVM, Support Vector Machine): 딥러닝기술의발달이전까지많이사용되어진분류알고리즘으로기본적으로는데이터를두개의그룹으로분류하며, 이때 2 개의그룹으로데이터를분류하는최적의기준선을찾는것이알고리즘의목적. 또한 N 개의그룹으로데이터를분류하기위해커널트릭을사용 110 e-finance and Financial Security
Issue Trend 악성파일패밀리주요분류방법소개 1) HTTP 요청정보기반악성파일패밀리분류 7) ( 실험순서 ) ➀ 통계적분류 ➁ 구조적분류 ➂ 패밀리분류 그림 2 HTTP 요청정보기반악성파일패밀리분류과정예시 1 통계적분류 : 악성파일의 HTTP 네트워크트래픽정보를수집하고, 통계 분석으로악성파일의대략적인패밀리를분류 HTTP 요청횟수, 요청방식 (POST, GET) 별사용횟수등을벡터형태로표현하고, 벡터간유클리드거리 8) 를계산 유클리드거리기반최단연결 (Single-Linkage) 군집분석 9) 을이용하여대략적인패밀리를식별 ( 거리값이작을수록동일한패밀리로분류될가능성이증가 ) 2 구조적분류 : HTTP 요청문자열의구조적유사성을이용하여기분류된 패밀리를세부적으로재분류 (, 는 HTTP 요청문자열 ) 7) R. Perdici et al. Behavioral Clustering of HTTP-Based Malware and Signature Generation Using Malicious Network Traces. NSDI. 2010. 8) 유클리드거리 (Euclidean distance): N 차원공간에서두점사이의거리를측정하는것으로다음과같이계산. 두점사이의유클리드거리 = 두점 p 와 q 가, 일때 9) 최단연결 (Single-Linkage) 군집분석 : 데이터간의거리를계산하여사전에설정된값보다작을시하나의군집으로묶는방법 http://www.fsec.or.kr 111
전자금융과금융보안 ( 제 12 호, 2018-04) 항 설명 사전에설정한가중치로, =10, =8, =3, =1 로고정 HTTP 요청의방식이동일하면 0, 다르면 1 HTTP 요청 Path 및 Page 문자열의레벤슈타인거리 10) 를계산한값 HTTP 요청매개변수의이름집합의유사도를자카드거리 11) 를사용하여계산한값 HTTP 요청매개변수를이어붙여생성한두문자열의레벤슈타인거리를계산한값 문자열 = 예시 문자열 = 따라서, 두패밀리사이의거리 = 10 0 + 8 0 + 3 0 + 1 3 = 3 ( 거리가작을수록유사도가높음을의미 ) 3 악성파일패밀리분류 : 세분화된각패밀리의대표 HTTP 요청문자열을 생성하고, 문자열패턴매칭을기반으로다시병합함으로써최종적인 패밀리를도출 패밀리대표문자열의패턴매칭을이용한악성파일분류예시 패밀리 A의대표문자열 = b a a c a a b c 패밀리 B의대표문자열 = b a w c b a y c 매칭 매칭 매칭 매칭 매칭 3개의문자가매칭되지않았으므로패밀리 A와 B의거리는 3 사전에정한기준값이 5일경우, 패밀리 A와 B의거리 3은기준값보다작으므로하나의패밀리로병합 10) 레벤슈타인 (Levenshtein distance) 거리 : 두문자열이동일해지기위해필요한문자열수정 ( 수정, 변환등 ) 의최소횟수로, 값이작을수로두문자열이유사함을의미 11) 자카드거리 (Jaccard distance): 두집합간의비유사도를측정하는것으로집합 A, B에대하여다음과같이계산. 자카드거리 112 e-finance and Financial Security
Issue Trend 악성파일패밀리주요분류방법소개 2) 운영체제행위기반악성파일패밀리분류 12) ( 실험순서 ) ➀ 행위정보수집 ➁ 행위프로파일생성 ➂ 패밀리분류 1 행위정보수집 : 입력데이터의흐름, 프로그램실행제어흐름, 네트워크행위정보를수집 2 행위프로파일생성 : 수집된행위정보를이용하여악성파일의운영체제와네트워크의행위프로파일생성 표 1 행위프로파일의예시 행위 sample.exe 파일의복사및붙여넣기 행위프로파일 FileːC:\sample.exe open:1 SectionːC:\sample.exe open:1, map:1, mem_read:1 FileːC:\Windows\sample.exe query_file:0, create:1, write:1 SectionːC:\sample.exe FileːC:\Windows\sample.exemem_ read-write:(filelen) 3 악성파일패밀리분류 : 문자열로표현된행위프로파일은지역민감해싱 13) 을 거쳐패밀리로분류 ( 다 ) 특징벡터기반패밀리분류 악성파일의특정문자열포함여부, 사용된함수길이별빈도수등을특징벡터로표현하여패밀리분류 1) 문자열포함여부기반악성파일패밀리분류 14) ( 실험순서 ) ➀특징벡터생성 ➁패밀리분류 12) U. Bayer, et al. Scalable, Behavior-Based Malware Clustering. NDSS. 2009. 13) 지역민감해싱 (LSH, Locality Sensitive Hashing): 입력이약간만변형되어도출력 ( 해시 ) 이달라지는일반적인해시함수와는달리, 유사한입력에대해충돌성을극대화하여유사성을비교할수있도록하는방법. 해당연구에서는여러개의지역민감해싱함수를사용하여악성파일별로여러개의출력을갖게한후, 자카드거리와최단연결 (Single-Linkage) 군집분석을함으로써유사도를측정및분류를수행 14) R. Tian, et al. An Automated Classification System Based on the Strings of Trojan and Virus Families. IEEE. 2009. http://www.fsec.or.kr 113
전자금융과금융보안 ( 제 12 호, 2018-04) 1 특징벡터생성 : 모든악성파일에포함된문자열에대해각악성파일을 문자열포함여부에따라 0 과 1 로구성된특징벡터로변환 [ 그림 3] 그림 3 악성파일의특징벡터변환예시 2 악성파일패밀리분류 : 각악성파일의특징벡터를이용하여나이브 베이즈, 서포트벡터기계, 의사결정트리등의알고리즘으로패밀리를분류 2) 정적및동적특징을사용한악성파일패밀리분류 15) ( 실험순서 ) ➀ 정적특징벡터생성 ➁ 동적특징벡터생성 ➂ 패밀리분류 1 정적특징벡터생성 : 악성파일에포함된문자열과함수의코드길이에따른벡터생성 ( 포함된문자열의개수벡터 ) 모든악성파일에포함된문자열을추출한후, 악성파일별로각문자열의포함여부 (True/False) 를벡터로표현 ( 함수의코드길이별개수벡터 ) 악성파일에포함된각함수의코드길이를측정한후, 사전에정의된코드길이의범위에해당하는함수개수를벡터로표현 15) R. Islam, et al. Classification of malware based on integrated static and dynamic features. Jounal of Network and Computer Applications. 2013. 114 e-finance and Financial Security
Issue Trend 악성파일패밀리주요분류방법소개 2 동적특징벡터생성 : 모든악성파일에사용된 API 함수와인자에대해 악성파일에서사용된 API 함수및인자의개수벡터를생성 그림 4 악성파일의정적및동적특징벡터생성예시 3 악성파일패밀리분류 : 정적및동적특징벡터를결합한후, 서포트벡터 기계, 랜덤포레스트등의알고리즘으로패밀리를분류 결론 매년증가하고있는신종 변종악성파일들 16) 을보안전문가가일일이분석하는것은매우어려움 따라서향후악성파일에대한신속한대응을위해악성파일패밀리분류등의분석연구와이를구현한시스템의필요성및중요성이더욱커질것이라판단 또한, 악성파일패밀리분류를위해머신러닝 ( 딥러닝등 ) 기술까지고려한다면, 악성파일패밀리분류시성능향상에도움이될것으로예상 - 실무에서는좋은성능을보이는방법에대해테스트를수행하여업무생산성향상을위한활용성을검토하는것이필요 16) http://www.av-test.org/en/statistics/malware http://www.fsec.or.kr 115
전자금융과금융보안 ( 제 12 호, 2018-04) 핀테크 신기술 페이팔 (PayPal) 간편결제서비스분석 개요 최근몇년간금융회사, 전자금융업자및핀테크업체들은금융과 ICT 기술을융합한간편결제서비스를시장에출시 금융소비자들도국내 외간편결제서비스의편리성때문에 84% 가이용하고있으며, 특히해외간편결제서비스의경우페이팔이용률이 67% 수준으로매우높게나타남 * * 2017 금융보안통계조사결과보고 (2017.12.28.) 참조 이와관련하여, 페이팔서비스를간략히소개하고, 페이팔서비스의성공 요인및국내소비자의페이팔선호이유를살펴본후국내금융 핀테크 회사가나아갈방향을제시 페이팔서비스소개 연혁 시기 1998 년 내용 피터틸, 루크노셀등이 Confinity 설립 (Confinity 사가개발한결제시스템이 PayPal) 2000 년엘론머스크가설립한온라인뱅킹회사 X.com 과합병 2001 년 PayPal 로회사명변경 2002 년 ebay 가인수 2015 년한국지사설립및한국어서비스시작 / ebay 에서분리 116 e-finance and Financial Security
Issue Trend 페이팔 (PayPal) 간편결제서비스분석 서비스규모 구분사용가능국가자금인출가능통화계좌개설가능통화수취가능통화소비자계정수판매자계정수 내용 202개 56개 25개 100개 2억 1800만명 1700만개이상 ( 이용형태 ) 전체페이팔결제중 87% 가여행에사용하고전체페이팔트랜잭션중약 30% 가모바일을통해발생하며, 연간소득이 $50,000~ $75,000인사용자가주로이용 1) ( 보안성 ) 소비자와판매자모두를보호하기위해온라인부정거래위험관리조직 인력이있으며, 딥러닝을적용한사기방지시스템도운영 - 2,000명이상의위험분석팀이효과적인자체학습모델 ( 딥러닝 ) 을활용하여부정거래를방지및추적하고있음 2) * 17.6 월기준페이팔의사기손실비율 0.28%. 미국의평균사기손실비율은 1.58~2.39% 수준이며 3) 국내는엄격한규제로인해 0.1% 미만임 다른간편결제서비스소개및비교 ( 알리페이 ) 중국최대온라인쇼핑몰인알리바바그룹의간편결제서비스로 2004년에설립되었으며초기페이팔과달리설립초기부터자회사쇼핑몰의지원을받음 중국전역에 1억 2천만명의상인이알리페이를통해서비스를사용하고있으며, 36개국, 27개통화이용가능 1) Infographic PayPal success story, https://playnpay.co.uk/paypal-success-stroy, 2017.8 월 2) How PayPal Protects Billions of Transactions, Bank Info Security, 2017.6 월 3) 2017 True Cost of Fraud Study, LexisNexis, 2017.10 월 http://www.fsec.or.kr 117
전자금융과금융보안 ( 제 12 호, 2018-04) 아시아각지의중국인관광객들을주고객으로시장을넓혀가는중이며, 국내에서도페이팔에이어두번째로많이사용되는해외간편결제서비스임 - 페이팔의후발주자로페이팔의간편결제시스템과유사한서비스를제공하며 (FDS 사기탐지 ), 노점과소상공인등이많은중국시장의특성을감안해바코드결제기능추가제공 ( 아마존페이 ) 세계최대온라인쇼핑몰인아마존닷컴의간편결제서비스로 2007년에사업을시작하였으며외부사이트에서아마존닷컴의아이디를통해결제가가능 2016년부터글로벌활동을본격적으로시작하면서 17.2월 3,300 만명의고객이이용하고있고, 133개의온라인판매자가아마존페이를통해서비스를사용하고있음 - 페이팔과유사한서비스제공 (FDS 사기탐지 ) 및자회사인아마존의약 3억 1,000 만명고객을바탕으로성장 페이팔성공요인분석 외부적요인 - ( 정책환경 ) 미국의사업자주도자율보안체계를바탕으로원칙중심정책은사업자에게자율성을부여할수있어다양한결제서비스모델의개발 출시가가능하였음 4) 이러한자율보안체계에서는사업자가보안사고의예방 대응도자율적으로방안을수립하여운영하는것이가능 - ( 지급결제환경 ) 미국의지급결제수단은결제처리가신속하지않고, 신용카드관련사고가빈번히발생하여신속하고안전한간편결제서비스에대한니즈가컸음 5) 4) 조현아, 국내 외비금융기관의간편결제서비스관련동향및시사점, 지급결제와정보기술제 58 호, 금융결제원, 2014.10 월 118 e-finance and Financial Security
Issue Trend 페이팔 (PayPal) 간편결제서비스분석 - ( 사업환경 ) 페이팔설립당시에는미국의닷컴붐시기 ( 98~ 99년) 로새로운서비스에대한자금조달이용이했음 6) 내부적요인 - ( 독점 ) 시장지배를용이하도록초기시장을작게설정하여모든역량을경쟁이아닌기술혁신과고객에집중 7) 특정온라인마켓의일부계층만 (ebay 파워셀러 * ) 을목표로설정하여편리한결제서비스를제공함으로써성장발판마련 * (PowerSeller) 이베이에서하루에다수의옥션을운영하는전문판매자로많은양의상품을판매하고그와유사한양의상품을구매함 - ( 마케팅 ) 비싼인터넷배너광고대신, 회원가입시 $10, 친구추천시 $10, 총 $20를제공함으로써매일 7% 의회원증가효과를봄 8) - ( 사용자보호 ) 사용자가안심하고구매및판매할수있도록외부위협을차단하는고도화된위험관리시스템 (FDS) 을구축하고발전시키는데지속적으로투자 2000년도하루에 1,000만달러의사기피해가발생하자엘리트팀을만들어이고르 * 라는프로그램을개발하여사기발생률을낮춰 2002 년도에최초로분기영업이익달성 9) * (Igor) 의심거래자동추출기능, 운영자의사기분석기능을제공하는하이브리드시스템으로다양한사기탐지가가능하며, FBI 등으로부터성능을인정받아금융사기탐지, 테러리스트검거등에도활용 2015년사이버보안에 AI를적용하기위해이스라엘의사이버보안스타트업 CyActive 를인수하고딥러닝 (H2O 플랫폼 * ) 을이용한사기방지시스템을구축 운영 10) * H2O.ai사 (2011년설립 ) 에서개발한대용량데이터분석을위한오픈소스기계학습플랫폼으로빅데이터에서특정패턴검색우수 5) How PayPal Protects Billions of Transactions, Bank Info Security, 2017.6 월 6) Peter Thiel, Blake Masters, Zero to One, 1 판, Random House LLC, 2014.9 월 7) 성영조, 글로벌혁신기업의성공전략 : 독점과플랫폼, 이슈 & 진단제 258 호, 경기연구원, 2016.12 월 8) 조현아, 국내 외비금융기관의간편결제서비스관련동향및시사점, 지급결제와정보기술제 58 호, 금융결제원, 2014.10 월 9) 조현아, 국내 외비금융기관의간편결제서비스관련동향및시사점, 지급결제와정보기술제 58 호, 금융결제원, 2014.10 월 10) Venkatesh Ramanathan, Fraud Prevention Using Deep Learning, H 2 O World 2014, 2014.11 월 http://www.fsec.or.kr 119
전자금융과금융보안 ( 제 12 호, 2018-04) 부적절한거래실시간탐지, 데이터암호화, 24/7 거래모니터링, SW/HW 업그레이드등담당전담팀운영 11) 참고 ) 페이팔과유사한간편결제서비스를제공한업체들은높은금융사기손실률로, 금융사기방지를위해엄격한보안을적용한업체들은낮은편의성으로사업에실패 - ( 업무효율화 ) 엘리트들간의의견충돌등으로인한업무지연을방지하기위해직원별로다른업무를할당하였고, 그결과직원간충돌이적어지고관계및전문성이향상됨 국내소비자의페이팔선호이유 시장점유율 - 페이팔은전세계온라인간편결제시장에서약 72% 12) 라는압도적인수치로시장을장악하고있기때문에해외직구, 해외여행과같이국외지불이가장용이함 2위는 Stripe 사로시장의약 10.5% 를차지하고있음 사용편의성 - 페이팔은이메일과카드만으로간편하게가입이가능하고, 해외결제를클릭몇번만으로원하는상품구매가능 - 해외송금도상대방의페이팔계정으로간편송금이가능 낮은수수료 - 페이팔을이용한구매자는별도수수료가없으며, 판매자는다른간편결제보다상대적으로낮은수수료지불 ( 판매자수수료 ) 페이팔의경우미국결제기준판매액의 2.9% 에 0.3$ 를더한금액이고, 다른간편결제의경우이와유사하거나초기비용또는월사용료가있음 13) 11) http://www.paypal.coom/kr/webapps/mpp/fraud-prevention, 2018.1 월 12) https://www.datanyze.com/market-share/payment-processing/paypal (Alexa 통계이용 ), 2018.1 월 13) PayPal vs Stripe vs Authorize.net vs Amazon Payments? Which Is Best for a WordPress Site, https://www. codeinwp.com/blog/paypal-vs-stripe-vs-authorize-net-vs-amazon-payments-for-wordpress/, 2018.1 월 120 e-finance and Financial Security
Issue Trend 페이팔 (PayPal) 간편결제서비스분석 결론 페이팔의성공은 3개의외부적요인과 4개의내부적요인에의해이루어진것으로분석됨 - ( 외부적요인 ) 1 사업자책임의자율보안정책 2 느리고불편한기존결제시스템 3 신규업체에대한투자활성화 - ( 내부적요인 ) 1 독점적인분야선점 2 효율적마케팅 3 금융사기탐지및이용편의성을위한고도화된 FDS 시스템구축 4 업무효율성을높이는업무할당방식 국내소비자가페이팔을선호하는이유는다음 3가지로파악됨 1 해외온라인간편결제시장점유율이가장높고 2 간편한가입 결제가가능하며 3 별도구매수수료가없음 알리페이, 아마존페이사례와같이후발간편결제서비스는이미성공한간편결제서비스와유사하거나보다간편한결제서비스제공이성공을위한필수요건 - 알리페이바코드결제와같이국내산업특성을감안하여추가적인결제인프라구축없이서비스를제공할필요 간편결제서비스는이용편의성을높이기위해 FDS와같은백엔드 14) 보안기술이중요하며페이팔과같이 AI 등을통한백엔드기술고도화를지속추진할필요 - 단기간에고도화된백엔드보안기술을확보하기위해서는금융보안전문기관과금융회사, 핀테크회사와의협업이중요 14) 사용자가인지하지못하는후면에서특정기능을수행, 사용자와직접상호작용하는프론트엔드 (Front-end) 와반대개념임 http://www.fsec.or.kr 121
전자금융과금융보안 ( 제 12 호, 2018-04) 법 정책 PSD2 규제기술표준주요내용 및시사점 EU PSD2 의하위규정으로강화된사용자인증등이포함된규제기술표준 * 이 제정됨에따라주요내용및시사점을검토 * Regulatory Technical Standards( 이하 RTS ) 개요 EU는최근 PSD2 * 시행 ( 18.1.13.) 을통해금융거래시사용자인증절차강화, 인증정보관리보안강화등을규정 * 제 2 차지급결제서비스지침 (The Second Payment Services Directive, EU Directive 2015/2366) - 아울러, 계좌정보서비스, 지급개시서비스등신규서비스활성화를위해금융회사의오픈표준구현등을의무화 PSD2에서정의한신규지급서비스제공자 계좌정보서비스제공업자 (AISP, Account Information Service Provider): 고객의은행별계좌정보를제공하는서비스제공업자 지급개시서비스제공업자 (PISP, Payment Initiation Service Provider): 고객의은행에서타인의계좌로직접자금을이체해주는서비스제공업자 18.3.13 일 EU 에서는사용자인증절차, 오픈표준관련세부기준을규제 기술표준형태로제정 ( 19.9.14 일부터적용 ) 일부규정은 19.3.14 일부터적용 122 e-finance and Financial Security
Issue Trend PSD2 규제기술표준주요내용및시사점 주요내용 요약 모든지급서비스제공자는일반요구사항을준수하고, 강화된소비자인증구현과, 사용자인증정보보호를실시해야함 은행등은오픈표준을구현해야하고, 지급서비스제공자는사용자가요청한범위내에서이를이용할수있음 1. 지급서비스제공자 * 일반요구사항 * Payment Service Provider(PSP): 금융회사, AISP, PISP 등모든지급서비스제공자포함 사기거래예방을위해거래금액, 기기정보및시나리오등을바탕으로이상거래모니터링을실시할것 금융보안전문가를통한주기적테스트, 평가, 감사실시 - 특히, 강화된사용자인증의예외를적용하는경우그주기를 1년이내로하고, 매 3년마다외부전문가를통한평가실시 2. 강화된사용자인증 (Strong Customer Authentication, 이하 SCA) 구현 PSD2 제97조는계좌온라인접근, 전자지급거래개시, 원격채널접근등사기의가능성이있는경우강화된사용자인증을구현하도록규정 (1) 강화된사용자인증요건 (2-Factor 인증 ) 지식, 소유, 특징중 2개이상을기반으로생성한인증코드 * 를이용하여사용자인증을수행 * 인증코드는비가역적이며, 인증요소없이는위조또는재생성될수없어야함 - 5회이상인증실패시접근차단, 5분이상미활동시인증해제, 세션보호등보안조치적용 ( 거래정보연동 ) 전자지급거래수행시인증요소뿐만아니라거래정보 * 도인증코드에연동하여거래정보의기밀성, 신뢰성및무결성을보호해야함 * 수취인, 거래금액등 http://www.fsec.or.kr 123
전자금융과금융보안 ( 제 12 호, 2018-04) ( 예외 ) 소액이체, 이상거래모니터링결과리스크가낮은일부거래등의 경우강화된사용자인증미적용가능 구분 모든경우 이상거래모니터링을실시할경우 거래리스크기반 SCA 구현면제가능조건 특정금액이내 * 소액이체 * 건당 30 유로이내, 최종 SCA 이후누적 100 유로이내, 최종 SCA 이후연속 5건이내조건모두충족시 기업간전용결제절차 프로토콜이용거래 계좌잔액, 최근 90일이내거래내역조회 * 단, 위정보를처음접근하거나최근 90일이내 SCA를통해거래내역조회를한적이없을경우예외미적용 특정금액이내 * 의비접촉식거래 * 건당 50 유로이내, 최종 SCA 이후누적 150 유로이내, 최종 SCA 이후연속 5건이내조건모두충족시 교통 주차요금무인단말기지불 신뢰수취인대상거래 * 단, 신뢰수취인등록시 SCA 필요 동일수취인, 동일금액의반복거래 * 단, 반복거래생성, 수정, 초기실행시 SCA 필요 동일금융회사내본인계좌이체 거래금액및분석된사기율이기준값보다낮고, 이상행위가탐지되지않은거래에대해사용자거래패턴등의리스크를점수화하여면제여부결정 * 단, 사기율이기준보다높아진경우즉시관계당국에해당사실및조치방법보고, 연속될경우리스크기반 SCA 면제중단 사기율기준값 (RTS 부록 ): 카드기반거래 -EUR 500 이내 0.01, EUR 250 이내 0.06, EUR 100 이내 0.13, 신용기반거래 -EUR 500 이내 0.005, EUR 250 이내 0.01, EUR 100 이내 0.015 (2) 인증정보보호 인증정보화면표시시마스킹처리, 인증정보암호화및암호화관련자료 및절차의안전한관리등수행 사용자의인증정보를생성하고, 신원과연계한후사용자에게전송하는모든 절차를안전한환경에서수행 - 특히, 원격에서신원과인증정보를연계할경우, 강력한사용자인증을 통해정당한사용자에게만권한을부여 - 다수의인증정보또는인증기기가사용자에게전달될경우, 각각서로다른 채널로송부하여무권한자가한개이상의정보또는기기를갖지않도록함 124 e-finance and Financial Security
Issue Trend PSD2 규제기술표준주요내용및시사점 (3) 사기율관리 사기율계산기준, 사기율등을주기적으로평가하며, 각거래유형별 사기율이기준값보다낮도록유지 * 사기율계산 : 각거래유형별 무권한및사기관련원격거래총금액전체원격거래총금액 (90 일단위 ) - 특히, 강화된사용자인증미적용거래에대해서는사기거래총액, 사기율, 종류별거래내역등을분기 1 회이상검토 3. 공동의안전한통신오픈표준 (1) 거래단말기간통신 PSP는사용자가상점등에서전자지불거래수행시거래단말기간안전하게상호식별및통신할수있도록해야함 - 또한, 거래주체들간의모든거래내역등을추적할수있도록거래시간등모든거래정보를기록해야함 (2) 기관간통신인터페이스구현 < 인터페이스제공자 ( 은행등 )> 온라인으로접근가능한계좌를제공하는은행등 (ASPSP * ) 은계좌정보에접근이가능한인터페이스를구현해야함 * Account Servicing Payment Service Provider - 또한, 관련기술문서와테스팅시설을구비 * 하여 PSP 등에무상제공하고기술문서요약본을웹사이트에공개해야함 * 기존시스템은 19.3.14 일까지, 적용일이후신규출시시스템은출시일전까지, 규격에변화가생기면최소 3개월전에 PSP 등에미리공개 전용인터페이스제공또는기존사용자인터페이스이용가능. 다만, 사용자인터페이스이용시요청자를인지할수있어야하고, 인증과정을거쳐야함 전용인터페이스제공시, 이를통해사용자인증이가능해야하며, 가용성과 성능을보장할수있도록지표를설정해야함 http://www.fsec.or.kr 125
전자금융과금융보안 ( 제 12 호, 2018-04) - 또한, 인터페이스장애등에대한비상조치계획을작성하고장애발생시관련당국에지체없이보고해야함 다만, ASPSP가가용성및성능보장요건, 테스팅지원요건등을모두충족하였고, 3개월이상원활하게사용되었을경우비상계획설계의무면제 인터페이스사용을위한기관간식별및인증시제3자가발행한전자서명기반의인증방법 1) 을사용해야함 - 상호간통신내용은암호화하여기밀성과무결성을보호하고, 요청작업이완료되면즉시세션을종료 < 인터페이스이용자 (AISP, PISP 등 )> 인터페이스를사용하는 PSP는사용자가요청한서비스제공이외의목적으로데이터에접근, 저장또는처리해선안되며, 인터페이스를통해접근한로그는모두기록해야함 - 특히, AISP는사용자의명시적동의가있는계좌및거래정보만조회가능하며, 24시간내최대 4번 * 까지만조회가능 * 다만, 사용자의조회요청시에는추가조회가가능하고, 최대횟수도사용자가동의할경우변경할수있음 < 제공자및이용자 > 인터페이스를제공및이용하는 ASPSP 및 PSP 는사용자가해당계좌를 직접이용할때와동일한정보를상대기관에제공 1) eidas(electronic IDentification, Authentication and trust Services) 규정 (EU 910/2014) 제 3 조 (30), (39) 에명시된인증방법 : 제 3 의신용서비스제공자가발행한전자봉인증서 (Qualified certificate for electronic seal) 및웹사이트인증증서 (Qualified certificate for website authentication) 126 e-finance and Financial Security
Issue Trend PSD2 규제기술표준주요내용및시사점 시사점 (1) 금융 4차산업혁명에대한 EU의대응방식 EU에서는최근핀테크산업활성화등금융산업의변화에대해 오픈 과 보안 으로대응하고있음 - 통신인터페이스공개 와 사용자멀티팩터인증 을의무화한것은금융관련규정중거의최초이며, 추후세계각국의금융정책변화에많은영향을줄것으로보임 EU에현지법인등을운영중인금융회사의경우 PSD2 및 RTS 시행에따른법적요구사항준수에대비할필요 (2) 사용자인증패러다임의변화 : 리스크기반인증 RTS에서는 SCA 구현의예외 라는장치를통해사용자인증강화를통한소비자보호강화가소비자의편의성저하로연결되지않도록하였음 - 특히, 거래패턴, 이상행위및사기율분석을통한 거래리스크기반인증 은고정된방식으로진행하던기존의사용자인증패러다임에큰변화를야기하고있음 RTS에서제시된강화된인증방식, 이상거래모니터링을통한리스크기반인증방식선택, 사기율관리등참고 (3) 금융회사의입지변화 : 안전한금융인프라제공 은행들은 RTS 적용일 6개월전 ( 19.3.14일 ) 까지통신인터페이스관련기술문서와테스팅시설을구비해야함 - 다수핀테크기업및금융회사가신규유형의서비스를추진할것으로예상되며, 이때 보안성및안정성 이핵심차별화요소가될것으로예상됨 http://www.fsec.or.kr 127
전자금융과금융보안 ( 제 12 호, 2018-04) 법 정책금융권레그테크국내 외최근동향 및시사점 개요 그간다소생소한용어였던레그테크 (RegTech) 의개념과필요성이작년부터국내금융권에서논의되기시작 - 이에, 금감원은관련전문가로구성된 레그테크포럼 을구성 운영 * 하고, 레그테크활성화세미나를개최 ( 17.10 월 ) * 금감원, 금융보안원, 금융회사등의레그테크전문가가참여 ( 17.3~9 월까지운용 ) 금년에는금융권의레그테크도입이본격화될것으로보여, 레그테크관련국내 외최신동향을살펴보고시사점을검토 국내동향 ( 가 ) 금융당국 금융당국 ( 금융위, 금감원 ) 은 18년업무계획에서레그테크도입및레그테크활성화기반조성계획등을발표 [ 참고 ] 금융당국의 18년업무계획中레그테크관련내용 ( 발췌 ) ( 금융위 ) 정보보호진단자율평가에 RegTech 를도입하여금융회사의정보보호취약부분을관리 개선 (RegTech 시스템구축, 18. 하반기 ) ( 금감원 ) 레그테크 (Reg Tech) 활성화기반조성 - 레그테크회사에금융관련법규, 가이드라인등금융규제정보를제공하는오픈 API 구축등 128 e-finance and Financial Security
Issue Trend 금융권레그테크국내 외최근동향및시사점 ( 나 ) 유관기관등 ( 금융보안원 ) 금융보안분야레그테크시스템구축을추진中으로 18.9 월서비스개시예정 ( 코스콤 ) 한국IBM과블록체인기반레그테크사업협력을위한 MOU를체결 ( 18.1월) (KISA) 핀테크분야시범사업공모 ( 18.3 월 ) 대상과제中하나로레그테크가포함 18.2 월에는레그테크를주제로한핀테크오픈네트워킹세미나도개최 ( 기타 ) 일부금융회사에서자사업무에레그테크도입을검토 - 준법관리회사등을중심으로자금세탁 (AML) 모니터링등레그테크관련 금융권비즈니스를추진 해외동향 ( 가 ) 금융당국금융당국주도로레그테크활성화를위한각종행사 ( 포럼등 ) 개최는물론, 레그테크개발프로젝트도다수진행中 ( 영국 ) 금융감독청 (FCA) 은월간쇼케이스 ( 18.2월 ~), TechSprint * 등레그테크관련행사를주기적으로개최 * 18.5 월에는자금세탁모니터링 (AML) 관련 TechSprint 개최예정 - 금융회사의규제정보보고방식등을근본적으로개선하기위해블록체인등다양한레그테크 PoC 1) 프로젝트도진행 1) PoC(Proof of Concept): 개념증명 이라는의미로아직시장에나오지않은기술이나제품등에대해문제해결가능여부를사전증명 ( 검증 ) 하는과정 http://www.fsec.or.kr 129
전자금융과금융보안 ( 제 12 호, 2018-04) 표 1 FCA 의주요레그테크 PoC 프로젝트내용 구분프로젝트내용기간 블록체인 (BARAC 2) ) 블록체인기술을활용한규제준수업무자동화연구 17.5 ~ 19.5 월 기계인식 (Machine Readable) 각종규제정보를 SW 와연계하여활용할수있도록기계가판독가능한형태로제작 17.11 월 ~ 정보공유 (RegHome) 은행간규제정보교환을위한플랫폼구축 - 컴플라이언스자동화인공지능등을활용한 MiFiD-Ⅱ* 컴플라이언스프로그램개발 - * Market in Financial Instruments Directive Ⅱ ( 호주 ) 증권투자위원회 (ASIC) 는재무부, 규제기관등이참여하는포럼 * 을구성 ( 17.12월 ~) 하고레그테크현안사항을논의 * 포럼명 : Regtech Liaison 포럼 ( 18.3 월현재포럼회의 2 회개최 ) - 각종규제정보를자연어처리 (NLP) 기술 * 과접목하는파일럿 (Pilot) 프로젝트도실시예정 ( 18.4 ~ 18.6 월 ) * NLP(Natural Language Processing): 컴퓨터및인공지능기술을활용하여사람의언어를이해, 생성, 분석하는기술 ( 싱가포르 ) 통화청 (MAS) 은 16년에아시아최초로레그테크포럼을개최하는등금융권의레그테크도입을선도적으로추진 - MAS의고위당국자는아시아태평양은행감독회의 ( 18.2 월 ) 에서금융감독업무효율화를위한자체프로그램 (SupTech) * 개발이진행中임을발표 * SupTech(Supervisory Technology): 금융감독과관련하여수집된대량의데이터를자체알고리즘을적용하여자동으로분석하는프로그램 ( 인프라 ) ( 오스트리아 ) 중앙은행 (OeNB) 은규제관련보고업무자동화를위해 레그테크업체와함께표준화된보고플랫폼 * 을구축 운영 * AuRep GMP: Austrian Reporting Services Common Reporting System Platform 2) Blockchain Technology for Algorithmic Regulation and Compliance 130 e-finance and Financial Security
Issue Trend 금융권레그테크국내 외최근동향및시사점 ( 나 ) 레그테크업체 ( 지역별 ) 규제이슈가많은유럽, 미국을중심으로레그테크에대한수요가크며, 관련업체대부분 (90% 이상 * ) 도유럽, 미국에위치 * 全세계영향력있는 80 개레그테크회사中 74 개가유럽, 미국소재회사 3) - 특히, 유럽은 GDPR 등 18년에신규적용되는규제가많아레그테크를통한규제준수자동화필요성이더욱부각 표 2 18 년에신규적용되는금융관련주요규제 ( 유럽 ) 구분프로젝트내용기간 GDPR PSD2 MiFID Ⅱ/MiFIR General Data Protection Regulation - 개인정보보호규제 ( 개인정보처리원칙등규정 ) The Second Payment Services Directive - 결제서비스지침 ( 결제제공자의의무등규정 ) Markets in Financial Instruments Directive Ⅱ/ Market in Financial Instruments Regulation - 금융상품투자지침 ( 투기방지및소비자보호등규정 ) 18.5.25 18.1.13 18.1.3 ( 분야별 ) 全세계레그테크업체의상당수가컴플라이언스, 고객신원 (Identity) 관리분야등을주된사업 (Business) 대상으로선정 표 3 레그테크업체 (201 개 ) 별주요사업분야비교 사업분야컴플라이언스고객신원관리리스크관리리포팅거래모니터링 사업내용 규제준수여부관리및모니터링등 자금세탁 (AML) 모니터링, KYC (Know Your Customer) 등 금융시장정보분석등을통한위험탐지및예측등 규제준수관련리포팅자동화및리포팅관리등 실시간거래감시, 블록체인에서의이상거래모니터링등 업체수 ( 비율 ) 69 개 (34.3%) 49 개 (24.4%) 40 개 (19.9%) 22 개 (10.9%) 21 개 (10.4%) 주요업체 ( 英 ) CUBE ( 美 ) Comply365 ( 英 ) ComplyAdvantage ( 美 ) Accuity (EU) Bearingpoint ( 美 ) Ayasdi (EU) Vizor ( 英 ) Abide Financial (EU) Sysnet Global Solutions ( 美 ) IdentityMind Global 합계 201 개 - ( 출처 : 딜로이트 ) 3) 영국 30 개, EU 28 개, 미국 16 개, 기타 ( 캐나다, 이스라엘등 ) 6 개 ( 출처 : 딜로이트 ) http://www.fsec.or.kr 131
전자금융과금융보안 ( 제 12 호, 2018-04) 시사점 ( 가 ) 레그테크의現주소금융권의레그테크에대한관심도가 16년부터크게증가하고있으나, 국내뿐만아니라해외도아직은도입초기단계에해당 금융당국은리포팅기능을제외하고는대부분레그테크의가능성타진을위한시범 (Test) 사업만진행중인상황 기출시되어있는레그테크솔루션의경우규제관련업무를단순전산화하는수준으로 AI 등新기술적용은미흡한실정 - 레그테크업체도새롭게등장한것이아니라기존컴플라이언스업체등이레그테크업체로재명명 ( 命名 ) 된경우가대부분 4) ( 나 ) 향후방향 핀테크산업의성장세지속, 금융규제의변동성확대 * 로인한부담가중등으로레그테크는계속진화 발전할것으로전망 * 08 ~ 15 년중금융규제변화비율은이전에비해 492% 가증가 ( 출처 : Transatlantic) - 상대적으로규제준수역량이부족한핀테크기업등의경우저비용, 고효율의레그테크시스템이반드시필요한상황 다만, 대부분규제정보가사람친화적데이터 ( 문서등 ) 로되어있어관련 API개발이나新기술적용이어려움 - 따라서레그테크를고도화 활성화하기위해서는규제정보를표준화하고프로그램친화적데이터로표현하는작업이선행될필요 (Smart Regulation) 4) 앞선 204 개레그테크업체中 16 년이후신설된업체는 11 개 (5.4%) 에불과하며, 해당업체도대부분 10 명이내의소규모업체 132 e-finance and Financial Security
Issue Trend 유럽연합사이버보안법안주요내용및시사점 법 정책유럽연합사이버보안법안주요내용 및시사점 유럽연합 (EU) 에서사이버보안법 (Cyber Security Act) 의채택에대한논의가 진행중임에따라주요내용과시사점을검토함 * EU 집행위가추진하는법안으로서 18 년내에채택될가능성이높음 개요 EU집행위는보안위협 * 에대한효과적대응과각국가별로서로다르게운영되는보안인증제도 ** 의통합을위해본법안의제정을제안 ( 17.9월) * EU 기업의 80% 는최소한건이상의사이버보안사고를경험 ( 16년기준 ) ** ICT 제품및서비스공급업체는 EU회원국에서사업을위해각국가별로존재하는사이버보안인증제도를통과해야하는상황 ( 출처 : EU FactSheet) - 사이버보안법안은 EU회원국에통일된규제의적용과사이버복원력 (Cyber Resilience) 의증진을목표로함 EU 집행위는사이버보안법안에대한의견수렴을완료 ( 17.12 월 ) 하였으며 유럽의회는법안을검토하여 18 년말까지채택여부를결정 * * EU 집행위, 보안연합구축을위한진행상황제 13 차보고서, 18.1.24. - 사이버보안법안은규정 (Regulation) 으로서발효될경우별도의입법 절차없이 EU 회원국전체에서직접법적구속력을가짐 [ 참고 1] EU의규제체계구성 1 규정 (Regulation): EU회원국의별도입법조치없이 EU회원국전체에적용 2 지침 (Directive): 규제의목적과결과에구속력이있으며형식과방법에대해서는각 EU 회원국에서입법을통해구현 3 결정 (Decision): 대상범위를특정하여구체적법적구속력을가짐 4 권고 (Recommendation)/ 의견 (Opinion): 법적구속력없음 http://www.fsec.or.kr 133
전자금융과금융보안 ( 제 12 호, 2018-04) 주요내용 사이버보안법안은크게두개의부문으로구성 1 유럽네트워크정보보호원 ( 이하 ENISA * ) 의권한확대를통한 EU 사이버보안체계의강화 * European Union Agency for Network and Information Security 2 ICT 제품및서비스에대한 EU 차원의사이버보안인증제도 (ECCS * ) 의수립 * European Cybersecurity Certification Schemes 본법안에서다루는내용외에사이버범죄에대한처벌및네트워크보안등의내용은별도의지침 (NIS 등 ) 에따라각 EU회원국에서적용 가. ENISA 의권한 사이버보안기관의지정및목표설정 ( 3~4) - ENISA 를 EU 사이버보안기관 (Cyber Security Agency) 으로지정하고사이버보안과관련된업무목표를규정 [ 참고 2] EU 사이버보안기관 (ENISA) 의목표 1 기술적인사이버보안자문과정보를제공하고사이버보안분야에있어전문적역량의중심지가되는것을지향 2 사이버보안관련정책을개발하고시행함에있어 EU기관, EU회원국및각회원국의기관을지원 3 네트워크와정보시스템에대한보호를강화하고사이버복원력의증진을위해 EU와 EU회원국의역량개발과준비를지원 4 사이버보안과관련된문제에대해 EU, EU회원국, 민간부문을포함한관련당사자들간의 EU차원의협력과조정을촉진 5 국경을초월하는사건이발생하는경우 EU회원국의사이버위협에대한예방및대응을보완하기위해 EU차원의사이버보안역량을강화 6 EU차원의사이버보안인증제도를수립및유지관리 7 사이버보안과관련된문제에대해시민과기업의높은수준의인식을장려하고디지털시장에대한신뢰를강화 134 e-finance and Financial Security
Issue Trend 유럽연합사이버보안법안주요내용및시사점 ENISA 의법적권한 ( 32, 35, 57) - ENISA 와소속된직원은 EU의공무를수행하며 유럽연합의특권및면책규정 * 에따른권리를가짐 ( 32) * Protocol No.7(On The Privileges and Immunities of the European Union) EU 공식기구의특권 [ 참고 3] 유럽연합의특권및면책규정 (Protocol No.7) - EU 공식기구의재산은침해할수없고, 수색및몰수가면제되며연합법원의허가없이행정적또는법적조치의대상이될수없음 ( 1) - EU 공식기구의재산은직접세에서면제 ( 3) - EU 공식기구의통신은검열대상에서제외 ( 5) EU 공식기구임직원의특권 - 공무활동으로인해분쟁이발생한경우법적책임이면제되며퇴임한후에도이러한권리를유지 ( 11) - 통화또는외환규제와관련하여국제기구의관계자에게통상적으로부여되는것과동일한혜택을부여 ( 11) - EU 공식기구임직원을위한사회보장계획수립 ( 14) - ENISA 는 EU 의공식기구로서법인격을지니며각 EU 회원국의법률에 따라법인에게주어지는광범위한법적권한을행사가능 ( 35) - ENISA 의법적존속기한을무기한으로설정 ( 57) * ENISA 에관한기존규정 (Regulation(EC) No 526/2013) 에서는 ENISA 의존속기한이 20년까지로설정됨 본법안의부속내용에서는 ENISA 의예산확대계획이명시되어있으며, 22년까지 17년대비약 2배이상의예산을편성 * ( 총예산 ) ( 17) 1,124만유로 ( 원화약 148억원 ) ( 22) 2,302만유로 ( 원화약 303억원 ) ( 인건비 ) ( 17) 638만유로 ( 원화약 84억원 ) ( 22) 1,389만유로 ( 원화약 183억원 ) 나. ENISA 의역할 정책및역량개발지원 ( 5~6) - 사이버보안과관련된 EU의정책및법률개발등을지원하기위한독자적의견제시및기초작업수행 http://www.fsec.or.kr 135
전자금융과금융보안 ( 제 12 호, 2018-04) - EU 회원국이네트워크및정보보호지침 * ( 이하 NIS) 등 EU 정책을일관 되게준수할수있도록지침및가이드라인등을통해지원 * The Directive on Security of Network and Information Systems(NIS), 16.7 월 [ 참고 4] 네트워크및정보보호지침 (NIS) 의주요내용 EU 회원국의사이버보안역량강화 - EU 회원국은네트워크정보보호전략을채택해야하며, 본지침의집행을위한담당기관을지정하고침해사고대응팀 (CSIRTs) 을구축해야함 EU 회원국간사이버정보공유등협력증진 - EU 회원국간전략적협력및정보교환을위한협력그룹을창설하며, ENISA 가사무국이되어정보공유를위한침해사고대응팀네트워크를수립 주요기반시설 (Essential Service) 사업자에대한보호조치및통지의무 - 주요기반시설 * 의사업자는네트워크및정보시스템에대해적절한보호조치를취해야하며, 중대한침해사고발생시각감독당국에통지하여야함 * 은행, 금융기반시설, 디지털기반시설, 전자상거래플랫폼, 클라우드제공자등 - 침해사고통지를받은감독당국은해당사실을공개하도록결정할수있음 ( 출처 : 글로벌과학기술정책정보서비스 - 해외정책동향 ) - NIS등관련규정에따른침해사고통지여부등의이행상태를점검하고연간보고서를작성하여 EU의정책활동을지원 - EU 및 EU회원국의보안전략수립지원및사이버보안에대한전문지식과교육훈련제공 - 침해사고대응팀 (CSIRT) 의구축을지원하고주요기반시설 (Essential Service) * 각부문의정보공유분석센터 (ISAC) 의설립을촉진 * NIS 부속서 ll 에명시된은행, 금융기반시설, 디지털기반시설등 EU 차원의사이버보안협력 ( 7) - 매년 EU차원의사이버보안훈련을계획하고수행하며평가결과를토대로각 EU 회원국에개선정책을권고 * ENISA 는 10년부터 2년마다 EU차원의사이버보안훈련 (Cyber Europe) 을실시해왔으며, 본법에서는 ENISA가훈련을매년실시하도록명문화됨 136 e-finance and Financial Security
Issue Trend 유럽연합사이버보안법안주요내용및시사점 - 사이버보안관련자문및지침을제공하고 EU회원국간모범사례와정보공유협력을적극적으로추진 - 취약점에대한분석지원및 EU회원국의요청에따라보안사고조사등을수행 사이버보안인증제도및인식제고 ( 8~9) - ICT 제품및서비스에대한사이버보안인증제도를수립하고채택을촉진하며, 보안요구사항과관련된가이드라인을마련 - EU 사이버보안시장및보안위협에대한주요동향과신기술에따른영향등을분석하여정기적으로발표 - 사이버보안위험에대한대중의인식을제고하고지침등을제공 기타 ( 11) 사이버보안과관련하여다른국가및국제기구와의협력추진다. 사이버보안인증제도수립 인증제도개요 - ( 정의 ) ICT 제품및서비스의인증에적용되는제도로 EU수준에서정의된기술요구사항, 표준및절차의집합을의미 ( 2) - ( 적용범위 ) EU회원국전체에적용되어자발적으로운영되나, 기존개별국가의인증제도는폐지되고신규개발을금지 ( 49) 그림 1 사이버보안인증제도수립절차 http://www.fsec.or.kr 137
전자금융과금융보안 ( 제 12 호, 2018-04) 관련기관및역할 - (ENISA) EU집행위의요청에따라사이버보안인증제도를수립 제시 해야하며, EU 집행위는요건을충족하는제도를채택 ( 44) - ( 인증감독당국 ) EU 회원국별로인증감독당국이임명되며, 인증감독당국은 사이버보안인증제도관련감독업무수행 ( 50) - ( 적합성평가기관 * ) 사이버보안인증평가를통해인증서를발급하며, 해당 인증서는 EU 전회원국에서최대 5 년간유효 ( 51) * Regulation(EC) No 765/2008 에따라국가의인정기구가인증한기관 - ( 사이버보안인증그룹 ) EU 회원국의인증감독당국으로구성되며, 사이버 보안인증제도관련자문및협력수행 ( 53) 인증제도의세부사항 - 인증제도설계시고려되어야하는보안목표를규정 ( 45) [ 참고 5] 사이버보안인증제도의보안목표 무단접근및우발적손실등으로부터데이터를보호를보장해야함 권한있는사용자가데이터또는서비스에독점적으로접근이가능함을보장 데이터에대한접근내역을기록하고확인할수있음을보장해야함 물리적또는기술적사고가발생할경우데이터및서비스에대한가용성및접근에대해적시에복원할수있음을보장해야함 ICT 제품및서비스가알려진취약점없이최신소프트웨어와함께제공되며, 보안업데이트가적절히수행됨을보장해야함 - 사이버보안인증제도는 ICT 제품및서비스에대한보증수준에따라 Basic, Substantial, High 의 3 가지등급부여가능 ( 46) [ 참고 6] 사이버보안인증제도의보증수준 Basic: 제한된사이버보안신뢰성을제공하며, 보안사고의위험을줄이기위한기술적통제및표준등에대한참조 Substantial: 실질적수준의사이버보안신뢰성을제공하며, 보안사고의위험을대폭줄이기위한기술적통제및표준등에대한참조 High: 높은수준의사이버보안신뢰성을제공하며, 보안사고를방지하기위한기술 138 e-finance and Financial Security
Issue Trend 유럽연합사이버보안법안주요내용및시사점 - 그밖에인증범위와대상, 세부보안요구사항, 평가기준및방법, 인증 조건등인증제도의구성요소를규정 ( 47) 통지의무사항등 - EU회원국은인증제도가채택되면공인된적합성평가기관을 EU집행위에통지해야함 ( 52) - EU회원국은사이버보안인증제도에대한벌칙을규정하고시행을위한조치를해야하며, 이를 EU집행위에통지하여야함 ( 54) 시사점 EU는 ENISA의권한과역할을강화하고인력과예산을확충하여보안위협에대한 EU차원의공동대응체계를강화하고있음 - 특히, 법적근거마련을통한 ENISA 조직과역할의강화는국내사이버보안및금융보안분야에서도관심을가질필요 사이버보안법안은 EU집행위가추진하는사이버보안전략의일부로서통과될가능성이높으며앞으로도유관정책들이지속발표될예정 - 또한, 본법안통과시 ENISA 주관으로수립 운영될예정인사이버보안인증제도등후속조치등도관심있게지켜볼필요 * 보안취약점처리절차및 ICT 제품및서비스의측정방법등사이버보안인증제도에포함되는세부내용에대해참고할수있음 EU는통일된사이버보안인증제도를통해설계단계부터의보안 (Security by Design) 과인증제도의절차적효율성을개선하고자함 - 하지만획일화된사이버보안인증제도에따라시장의발전을저해할수도있다는우려의목소리도일부존재 - 따라서, 인증제도등을통한최소한의보안기준제시와업계의자율적인보안강화를보장하는사이의균형점을찾을필요 http://www.fsec.or.kr 139
전자금융과금융보안 e-finance and Financial Security News Notice 금융보안교육안내 금융보안원소식 사원사소식
News Notice 금융보안교육안내 01 금융보안교육안내 교육일정및모집인원 연번과정명형태일정교육시간정원비고 * 1 금융웹서비스공격과대응실습 4.18( 수 )~4.20( 금 ) 3 일 (18h) 25 명 2 금융권개인 ( 신용 ) 정보보호 - 관리자이론 4.25( 수 )~4.27( 금 ) 3 일 (18h) 40 명변경 3 금융권물리보안이론 5.9( 수 )~5.11( 금 ) 3 일 (18h) 40 명변경 4 금융권모바일악성코드공격과대응실습 5.9( 수 )~5.11( 금 ) 3 일 (18h) 25 명 5 정보보호시스템운영관리실무실습 5.15( 화 )~5.18( 금 ) 4 일 (28h) 25 명신규 6 금융권블록체인도입적용방안이론 5.16( 수 )~5.18( 금 ) 3 일 (21h) 40 명신규 7 금융 IT 감사실무이론 5.23( 수 )~5.25( 금 ) 3 일 (18h) 40 명변경 8 금융 APT 공격과대응실습 5.23( 수 )~5.25( 금 ) 3 일 (18h) 25 명 9 금융권개인 ( 신용 ) 정보보호 - 취급자이론 5.28( 월 )~5.30( 수 ) 3 일 (18h) 40 명변경 10 금융권취약점점검방법론의이해실습 6.18( 월 )~6.20( 수 ) 3 일 (18h) 25 명변경 11 IT 정보보호전문강사양성실습 6.20( 수 )~6.22( 금 ) 3 일 (18h) 25 명 12 금융권 IT 컴플라이언스이론 6.25( 월 )~6.27( 수 ) 3 일 (18h) 40 명변경 13 모바일시큐어코딩실습 6.26( 화 )~6.28( 목 ) 3 일 (21h) 25 명신규 14 금융시스템개발보안실습 7.3( 화 )~7.5( 목 ) 3 일 (18h) 25 명 15 금융정보보호관리체계이론 7.4( 수 )~7.6( 금 ) 3 일 (18h) 40 명변경 16 전자금융사고의이해및대응이론 7.11( 수 )~7.13( 금 ) 3 일 (18h) 40 명신규 17 금융빅데이터비식별조치및활용실습 7.17( 화 )~7.19( 목 ) 3 일 (18h) 25 명변경 * 2018 년에새로추가된교육은 신규, 2017 년에도진행하였던교육이지만내용이변경된것은 변경 으로표기 세부커리큘럼및자세한사항은금융보안교육센터홈페이지 (http://edu.fsec.or.kr) 를참고해주시기바라며, 상기일정은사정에따라변경될수있습니다. http://www.fsec.or.kr 143
전자금융과금융보안 ( 제 12 호, 2018-04) 02 금융보안원소식 2018년도금융보안교육과정안내 자료배포 (1.16.) 금융보안원은 2018년도금융보안교육과정안내 자료를사원사에게배포하였다. 금년교육은 사업주훈련과정, 금융보안자격제도과정 ( 금융보안관리사 ) 이신설되었으며, 컨소시엄과정, 사이버교육과정 등기존교육과정도일부변경되었다. 국군사이버사령부사령관금융보안원방문 (1.18.) 국군사이버사령부사령관은금융보안원을방문하여, 금융보안원의금융권통합보안관제센터견학및양기관의교류협력강화방안에대해논의하였다. 2018년도금융보안원사업계획설명회 (2.1.) 여의도한국거래소국제회의장에서 2018년도금융보안원사업계획설명회가개최되었다. 금융보안원은사원기관담당자들에게부서별 17년도실적과 18년도주요사업계획을공유하였다. 금융보안원제3대김영기원장취임식개최 (4.11.) 금융보안원은제3대김영기원장의취임식을개최하였다. 김영기원장은취임사에서금융보안서비스수준을고도화하고디지털금융혁신을효과적으로지원하여금융보안미래를선도하겠다고밝혔다. 144 e-finance and Financial Security
News Notice 사원사소식 03 사원사소식 기술보증기금인공지능기반리스크평가모형개발 (1.3.) 기술보증기금은인공지능으로기업의리스크를평가해주는리스크평가모형을개발하였다. 해당모형은합성곱신경망이라는딥러닝기법을사용하였으며, 다년간의재무정보와기업및대표자의금융거래정보등다양한부문의빅데이터를반영하여기존방법론보다약 13% 의성능향상을보였다. 현대캐피탈인공지능기반중고차표준시세모형개발을위한업무협약체결 (1.17.) 현대캐피탈이한국교통안전공단, 서울대학교와함께인공지능기반중고차표준시세모형개발을위한업무협약을체결하였다. 해당모형은한국교통안전공단에공공재로제공하여일반소비자들에게공개할예정이다. SC제일은행스마트폰키보드만눌러도송금이가능한 키보드뱅킹 출시 (1.24.) SC제일은행은스마트폰화면의키보드에서지정된버튼만누르면송금과계좌조회를할수있는 키보드뱅킹 서비스를출시하였다. 해당서비스는스마트폰화면에서키보드에설치된 SC제일은행로고만누르면바로송금과계좌조회가가능하다. KB국민은행로보어드바이저서비스 케이봇쌤 출시 (1.29.) KB국민은행은딥러닝기반인공지능로보어드바이저서비스인 케이봇쌤 을출시하였다. 케이봇쌤은경제상황, 리스크등시장국면과고객투자성향을인공지능기술로분석하여투자전략을결정한다. http://www.fsec.or.kr 145
전자금융과금융보안 ( 제 12 호, 2018-04) BNK 부산은행카드형미니 OTP 출시 (2.5.) BNK 부산은행은카드형미니 OTP 를출시하였다. 해당 OTP 는일반 카드절반크기 ( 가로 64mm, 세로 38mm, 두께 1mm) 로지갑등에 간편하게보관할수있어소지하기편하다는장점이있다. DB 손해보험 안전운전할인특약 특허권획득 (2.13.) DB 손해보험은 안전운전할인특약 에대해특허를획득하였다. 안전운전할인특약 은 T 맵네비게이션을켜고일정거리를주행한후 부여되는안전운전점수에따라보험료를할인받는자동차보험이다. 신한은행가상영업점 VR 웰스라운지 오픈 (2.22.) 신한은행은모바일통합플랫폼인 신한쏠 에가상영업점인 VR웰스라운지 를오픈하였다. VR웰스라운지 는스마트폰위의가상은행영업점으로서, 고객은시각화된자료와직원의음성안내를통해본인의자산현황및금융상품에대한정보를확인할수있다. 코스콤오픈소스기반 R&D 클라우드출시 (3.6.) 코스콤은오픈소스기반의 R&D 클라우드를출시하였다. 이는서비스형인프라 (IaaS) 와서비스형플랫폼 (PaaS) 을합친통합형클라우드서비스로특정인프라에종속되지않고누구나사용할수있는오픈소스를기반으로한다. ABL 생명보험 빅데이터국내주식형펀드 출시 (3.6.) ABL 생명보험은코스피를대상으로한뉴스기사빅데이터를분석해투자하는 빅데이터국내주식형 펀드 를출시하였다. 해당펀드는뉴스기사로유망한종목을선별하고시장선호도와주가반영도등을 고려해종목별최적투자비중을산출한다. 146 e-finance and Financial Security
News Notice 사원사소식 신한카드블록체인기술적용한모바일쿠폰발급 (3.21.) 신한카드는블록체인기술을적용한모바일쿠폰발급을시작했다. 해당모바일쿠폰은모바일앱 신한 FAN 으로발급 관리하기때문에, 기존의문자쿠폰에비해부정사용및도용이어렵고, 제휴 가맹점과의쿠폰발행및정산이편하다는장점이있다. NH농협금융지주정보보호캠페인실시 (3.21.) NH농협금융지주는임직원의보안의식강화를위한캠페인을실시하였다. 해당캠페인은농협금융전계열사와농협중앙회가합동으로실시하였으며, 임직원을대상으로안전한웹메일사용방법및임직원정보보호실천수칙에대한안내장과포스터를배부하였다. 우리은행빅데이터와머신러닝을활용한기업진단시스템 빅아이 도입 (3.27.) 우리은행은빅데이터분석과머신러닝등을활용한기업진단시스템 빅아이 를기업여신리스크관리에도입했다. 해당시스템은은행대내 외의다양한정보를분석하고, 이를통해기업관련중요정보와부실징후정보를파악한다. KEB하나은행데이터시각화기술기반의분석플랫폼 하나 Big Insight 구축 (3.27.) KEB하나은행은데이터분석시각화시스템 하나 Big Insight 를구축하였다. 해당시스템은은행내부의데이터를시각화여분석하는 BI(Business Intelligence) 시스템으로서은행핵심경영지표, 조직단위별영업실적모니터링등을제공한다. 전자금융과금융보안 은사원사의핀테크또는정보보호관련소식을알리고있습니다. 이와관련하여보도자료 ( 링크등 ) 를보내주시면내용을반영하고자하오니많은참여부탁드립니다. E-mail: research@fsec.or.kr Tel: 02-3495-9733 http://www.fsec.or.kr 147