금융보안원, 인공지능과 사물인터넷 등 혁신기술 보안취약점 시범평가 실시

[보안뉴스 원병철 기자] 금융보안원(원장 김영기)은 금융권에서 사용되는 인공지능(AI), 사물인터넷(IoT), 인증기술, 블록체인 등 혁신기술의 보안위협을 선제적으로 파악하고 대응하기 위해 보안취약점 평가기준을 마련하고, 2021년도에 시범평가를 실시할 예정이라고 밝혔다.


보안취약점 평가기준 개발 배경
최근 금융권에서는 AI, IoT, 인증기술 등을 사용해 다양한 금융서비스를 개발·운영하고 있지만, 기존과 다른 새로운 영역의 보안위협이 발생해 문제가 되고 있다. 예를 들어, 인공지능에서는 이미지 인식 AI 알고리즘에 노이즈(비정상 입력값) 추가로 오작동을 유도하거나 사물인터넷에서는 IoT 기기를 이용한 디도스(DDoS) 공격으로 웹사이트 장애가 발생하고 있다. 또한, 인증기술에서는 위조 운전면허증으로 비대면 실명인증을 우회해 비대면 계좌를 개설하거나 블록체인에서는 거래소가 보관 중인 개인키가 유출되어 이더리움을 탈취하는 일이 발생했다.

이에 금융보안원은 신기술 도입에 따른 보안위협을 사전에 제거하기 위해, AI, IoT, 인증기술, 블록체인 중심의 보안취약점 평가기준을 새로이 마련했다.

2021년도 시범평가 실시
그동안 금융보안원은 금융권에서 사용 중인 보안취약점 평가기준을 매년 개정해 금융회사, 정보보호 전문서비스기업 등에 배포하는 등 금융보안의 선도적인 역할을 수행 중이다. 이번 시범평가의 취지 또한 신기술의 보안취약점 평가기준을 금융회사, 정보보호 전문서비스기업 등에서 범용적으로 활용할 수 있도록 시범평가를 통해 동 평가기준의 객관성과 신뢰성을 확보할 예정이다. 시범평가를 위한 사전 수요조사는 금융회사를 대상으로 2021년 상반기에 실시하고, 수요조사 결과에 따라 순차적으로 평가를 수행할 계획이며, 2022년 본격 평가로 전환할 예정이다.

시범평가는 △AI △IoT △인증기술 △블록체인이 적용된 금융시스템을 대상으로 보안취약점을 점검한다.

△AI
중요 자원인 AI 학습 데이터, AI 학습 S/W, 모델 등을 대상으로 비인가 접근, 정상범위 이외 값 입력 가능성 등을 점검한다.


△IoT
금융시스템 중 IoT 서버, IoT 데이터베이스에서의 중요정보 노출, 외부 기관 연계를 통한 금융회사 내부 침입 가능성 등을 점검한다.


△인증기술
PIN, 패턴, 지문 등을 이용한 간편인증 수단은 인증 결과값 변조, 인증정보 재사용 등의 인증우회, 중요정보 유출 가능성 등을 점검한다.

△블록체인
블록체인 인프라를 구성하는 블록체인 인터페이스 서버, 노드를 대상으로 개인키 유출 가능성, 서비스 거부 공격 등을 점검한다.


금융보안원은 시범평가를 통해 신뢰된 평가기준을 제시함으로써 신기술 운영에 따른 금융보안 위협에 적극 대응해 금융서비스가 더욱 안정화될 것으로 기대하고 있다.

금융보안원 김영기 원장은 “금융의 디지털 전환이 가속화됨에 따라 혁신기술을 융합한 금융서비스 도입이 활발해지고 있으나, 금융시스템의 안정화에 문제가 될 수 있는 사이버 위협을 예의 주시해야 한다”면서, “앞으로도 금융보안원은 변화하는 금융IT 환경에서 발생되는 새로운 금융보안 위협에 선제적이고 적극적인 대응 노력을 강화해 나갈 것”이라고 밝혔다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>