성재모ph.d. cisa 정보보안본부본부장 - kif.re.krµœ근 전자금융...

2013. 5. 21

성 재 모 Ph.D. CISA 정보보안본부 본부장

2013. 5. 21

성 재 모 Ph.D. CISA 정보보안본부 본부장

-2-

ContentsContentsContentsContents

전자금융 현황전자금융 현황

전자금융 보안 현황전자금융 보안 현황Ⅱ

Ⅲ

Ⅰ

전자금융 보안 강화 이슈전자금융 보안 강화 이슈IV

전자금융 보안 위협전자금융 보안 위협

-3-

1. 이용자 환경 변화(1/2)

VS

I. 전자금융 현황I. 전자금융 현황

2013년 1월말 기준 국내 스마트폰 가입자 3,329만 돌파

언제 어디서나 접속 가능한 스마트폰 뱅킹 등록 고객수 2,395만명 돌파(2012년말)

-4-

2011년 부터 스마트 기기의 판매량이 PC를 넘어서 급속히 증가

1. 이용자 환경 변화(2/2)


-5-

2. 국내 인터넷뱅킹 이용 현황

2012년말 현재 19개 금융기관에 등록된 인터넷뱅킹(모바일뱅킹 포함) 등록고객수는

8,643만명으로 전년말(7,482만명)대비 15.5%(+1,161만명) 증가

※ 2012년말 현재 인터넷뱅킹용 공인인증서(은행·신용카드·보험용, 범용) 발급수는 2,419만개로

2011년말(2,208만개)대비 9.6% 증가

< 출처: 2012년중 국내 인터넷뱅킹서비스 이용현황, 한국은행(2013.2.22)>


2012년중 인터넷뱅킹(모바일뱅킹 포함) 이용건수 및 금액(일평균 기준)은

4,573만건, 33조 2,391억원*으로 전년대비 각각 17.2%, 4.1% 증가

※ 결제성 금융자산인 M1(협의통화, 민간보유 현금 + 결제성 예금)의 2012년 중 평균잔액

(441조 9,986억원)의 7.5% 수준

2012년중 입출금 및 자금이체 거래를 기준으로 한 업무처리비중은, 비대면 거래가

(87.0%)로 CD/ATM 비중이 39.8%, 인터넷뱅킹(33.9%), 텔레뱅킹(13.4%) 순임

-6-

3. 국내 스마트폰뱅킹 이용 현황

2012년말 현재 스마트폰 기반 모바일뱅킹 등록고객수(동일인이 여러 은행에 가입한

경우 중복 합산)는 전년말 1,036만명 대비 131.3% 증가한 2,395만명을 기록

< 출처: 2012년중 국내 인터넷뱅킹서비스 이용현황, 한국은행(2013.2.22)>


스마트폰 기반 모바일뱅킹서비스 이용 건수와 금액(일평균 기준) 1,279만건,

8,611억원으로 전년대비 각각 116.4%, 131.1% 증가

-7-

4. 스마트 금융서비스로 변화(1/3)

[모바일뱅킹 - 앱]

금융사별 전자금융 앱 개발

[오픈뱅킹 – 액티브엑스, 플러그인]

멀티브라우저, 멀티 OS 지원

엑티브엑스에서 플러그인으로 지원범위확대

과거 PC기반 전자금융 서비스

(웹브라우저 기반, APP기반 HTS등)

[오픈뱅킹 – 플러그인 탈피]

플러그인 방식에서 프로세스 호출방식

및 HTML5 등 다양한 기능을

지원할 수 있도록 표준화 진행 중

[모바일 웹 뱅킹]

스마트폰에서 웹 브라우저를 이용한

전자금융거래 지원


-8-

은행권을 중심으로 첨단 IT기기 도입을 통한 스마트브랜치 도입 본격화

(자료: 하나금융경영연구소, 2012.12)

4. 스마트금융 서비스로 변화(2/3)


-9-

[모바일 지갑] 모바일 카드 결제를 위해 필요한 정보 및 수단을 이용자에게

통합적으로 제공하는 애플리케이션

[모바일 결제] 휴대전화를 이용한 결제방식으로 “바코드를 이용한 결제”,

“QR코드를 이용한 결제”, “ NFC를 이용한 결제 등으로 분류됨


4. 스마트 금융서비스로 변화(3/3)

-10-

5. 스마트금융 서비스로 확산

유무선전화기

VAN

PDA

PG

전화국 /PSDN

쇼핑몰

VAN

PDA

노트북

디지털TV

PC

PC

노트북

디지털TV통신사

지급용단말기

CD/ATM

거래내역

기준정보

금융기관

온라인 쇼핑

텔레뱅킹CD/ATM 거래

핸드폰

모바일금융

금융결제원

유무선전화기

VAN

PDAPDA

PG

전화국 /PSDN

쇼핑몰

VAN

PDAPDA

노트북

디지털 TV

PCPC

PCPC

노트북

디지털TV디지털TV통신사

지급용단말기

CD/ATM

거래내역

기준정보

거래내역거래내역

기준정보기준정보

금융기관금융기관금융기관

온라인 쇼핑

인터넷 전자금융

텔레뱅킹CD/ATM 거래

핸드폰

금융결제원

스마트 브랜치셀프존, 금융상담존,

스마트라운지

스마트폰 금융

스마트폰, 스마트패드

모바일 지급결제NFC, 모바일카드,

앱카드, 금융 MircoSD

오픈 인터넷 금융

오픈 OS, 오픈 브라우져

SNS

온라인 커뮤니티,

소셜 커머스

CSR

기업의 사회적 책임

스마트사회(ICT 급속한 발전 + 사회 현상의 변화)를 지원하는 스마트금융으로 변화

(Corporate Social

Responsibility)

(Social Networking Service)

장차법

빅데이타

스마트 IT 융합IPTV, 모바일 VoIP, 스마트카


-11-

국제 표준 정보보호 관리체계인 ISO 27001에서는 데이터의 기밀성, 무결성, 가용성을 보안 요소로 고려

전자금융서비스에서는 비대면 거래의 경우 양방향을 확인할 수 없고 거래내역에 대한 외부 유출이나 변경의 가능성이 높아져 기밀성, 무결성, 가용성에 인증/부인방지까지 보안 요소로 고려

1. 전자금융 보안요소

요 소 내 용

기밀성 인가된 대상만이 데이터에 접근하여 내용을 파악할 수 있음을 보장

무결성 비인가된 대상에 의해 데이터가 변경될 수 없음을 보장

가용성정보시스템의 성능을 안정적으로 유지하여 전자금융 거래 서비스의

연속성을 보장

인증/부인방지 인가된 대상자 확인 및 거래 사실에 대한 증빙을 보장

II. 전자금융 보안 현황II. 전자금융 보안 현황

-12-

국제결제은행(Bank for International Settlements)의 산하 위원회로 1974년 12월에설립된 바젤은행감독위원회(Basel Committee on Banking Supervision)는 2003년7월에 인터넷뱅킹에 대한 위험관리 지침 권고

미국의 연방금융감독위원회(Federal Financial Institutions Examination Council)와영국의 금융감독청(Financial Security Agency)은 2005년 말 보다 강화된 금융보안정책을 발표

- 이용자 인증을 단일 요소 인증(single-factor authentication) 방식에서 이중 요소

인증(two-factor authentication) 방식으로 갱신

Requires layered security, Identifies ineffective control methods(2011년)

- 피싱 공격에 대한 식별 및 방어를 위한 소프트웨어 사용

- 전자금융 사기 회피를 위한 이용자 교육 프로그램 강화

Emphasizes importance, Additional guidance on program elements(2011년)

- 금융기관, 정부기관, 기술 제공자와 긴밀한 정보공유 협력체계 강화

2. 국외 전자금융 보안 정책


-13-

국내의 전자금융 보안 기술은 1999년에 인터넷뱅킹 서비스가 시작되면서 발전

3. 전자금융 보안기술의 발전

2000.91999 2002~2005 2005.12 2007년~현재

컴플라이언스인터넷뱅킹

서비스출시

전자서명법제정

전자금융거래보안강화조치

전자금융거래법강화

보안조치

전자적장치

별도장치

ID/PW 공인인증서

사용자인증 보안

카드

키보드 보안프로그램

해킹방지프로그램

보안카드의조합 번호

OTP

안티피싱·파밍

E2E 암호화

가상브라우저

HSM(보안토큰)

주요해킹사고

악성코드에의한

공인인증서유출

ID/PW유출

악성코드에의한

보안카드유출

악성코드, 피싱, MITM에 의한고객정보 유출

DDoS 공격, 사회공학에

의한고객정보 획득

스마트기기보안

망분리,

무결성검증

APT 공격대응


-14-

4. 국내 전자금융 보안 정책


2007년 1월 전자금융거래법 시행, 전자금융감독규정, 시행세칙 등 전자금융거래

관련 법률 및 규정을 통한 다양한 보안 요구사항 등 규정(2011.10.10 감독규정개정)

또한 모범규준 등을 매년 제시 (금융당국)

- 전자금융거래시 보호 강화 (암호화 통신, 이용자의 전자적 장치에 보안프로그램 설치 등

보안대책을 적용, 공인인증서 또는 이와 동등한 수준의 안전성이 인정되는 인증방법 사용)

- 보안 체계 강화 (CISO 의무 지정, 정보보호예산 정보기술부문 예산의 100분의 7이상(권고))

- 내부 통제 강화 (시스템 접근 통제 강화, 거래 로그 관리 강화, 무선통신망 보호 등)

- 스마트폰 보안 강화 (거래앱 무결성 검증 등)

-15-

6. 스마트폰 뱅킹서비스 보안 기술(1/3)

스마트폰 플랫폼 보호

- Android 기반의 스마트폰은 금융앱 구동시 루팅(Rooting) 체크를 하고 백신

프로그램을 연동하여 악성코드 탐지 수행 후 금융서비스 시작

- iPhone은 플랫폼 특성상 탈옥(jailbreak) 탐지에 초점을 둠

LOG조회

인증센터

신용카드 투자증권

스마트폰 뱅킹


-16-


금융앱, 거래전문에 대한 위•변조 여부 등 무결성 검증

조회


-17-



-18-

새로운 표적공격 전술, 모바일 악성코드 급증, 웹 기반 공격 증가, 소셜 미디어를 통한 공격과 랜섬웨어 공격이 주요 보안 위협으로 조사·분석됨

1. 국외 주요 보안 위협 동향(1/3)

III. 전자금융 보안 위협III. 전자금융 보안 위협

<자료 : 시만텍 인터넷 보안 위협 보고서, 2013.4 >

-19-

MS사 보고서에 의하면 2012년 4분기 약 326만개의 악성코드 탐지되었으며,

악성코드 유포 웹사이트는 1,000대당 약18대로써 전세계 3위에 해당됨


<자료 : Mi crosoft 보안 인털리젼스 보고서, 2013. 4 >


-20-

모바일 악성코드는 안드로이드 운용체계(OS)를 타깃으로 증가하고 있음


<자료 : F-Secure 모바일 위협 보고서, 2013.3 >


-21-

2012년말부터 국내 인터넷 뱅킹 서비스 대상 악성코드 출현

o 개요

- 국내 은행, 저축은행 등 인터넷뱅킹 사용자를 타겟으로 한 악성코드가 발견

- 피싱사이트로 연결 유도

- 가짜 인증서 로그인 프로그램을 개발하여사용자가 입력한 인증서 비밀번호 절취가능, PC 저장된 공인인증서 복제

- 일부 국산 백신 프로그램 종료

o 시사점

- 국내 금융회사를 표적으로 하는 악성코드출현 및 변종 유포

- 다양한 기법을 사용 금융거래시스템 다중보안모듈 우회 가능

- 보이스피싱과 연계된 피해 확산 우려

2. 국내 보안 위협 동향(1/2)


-22-

국내 악성코드 유포 웹사이트 지속 증가, 안드로이드 플랫폼 대상 신종 악성프로그램도 지속적으로 증가함

출처 : http://www.ahnlab.com/


2. 국내 보안 위협 동향(2/2)

-23-

2007년 1월 19일 중국 해커로 추정되는 해커들이 국내 특정 웹사이트를 해킹하여

이 사이트에 접속한 고객의 PC에 악성코드를 설치, PC에 저장된 공인인증서를

빼내고 가짜 은행 사이트로 접속토록 유도하는 피싱(파밍)사건 발생

3. 국내 금융권 보안 사고 동향 - 피싱 공격에 의한 개인정보 유출사고


-24-

3. 국내 금융권 보안 사고 동향 - 고객 부주의에 의한 인터넷뱅킹 사고

2008년 3월부터 2009년 6월까지 은행, 증권사, 보험사, 카드사 등 국내 금융

회사 32곳 고객의 인터넷뱅킹 아이디와 비밀번호 300여개를 해킹, 그 중 86명

계좌에서 4억4000만원 상당을 불법 취득한 조선족 해커 2명을 검거

(서울지방경찰청 사이버범죄수사대 발표, 2009. 12)


-25-

3. 국내 금융권 보안 사고 동향 – 최근 사고 사례


-26-

4. 국외 금융 보안 사고 동향 – 최근 사고 사례


해외 금융사 대상 DDoS 공격, 개인신용정보 및 카드 정보 유출 사고 지속 발생

-27-

전자금융 환경 변화에 따른 위협 증가 (언제 어디서나 스마트금융 거래 가능)

- 전화(PSTN), 유·무선 인터넷, 모바일(3G, LTE), NFC 등 다양한 통신수단과 융합

- 스마트폰의 운영체계 및 앱 등을 타깃으로 하는 악성코드의 급속한 증가

- 특히 스마트폰, 스마트브랜치, 모바일 카드 활성화 등에 따른 새로운 위협 증가 예상

다양한 형태의 사이버 공격 위협 증가 (금전적 이득을 목적으로 범죄 조직화)

- DDoS 공격, 홈페이지 해킹 등 사이버 공격 기법 지능화, 고도화

- 상대적으로 보안이 취약한 전자금융 이용자들이 사용하는 PC, 자동화기기(CD/ATM),

POS단말, 스마트폰 등에 사회공학적 기법을 이용한 금융정보 유출 시도

- 금융회사 내부 PC, 서버에 APT 공격 등을 통한 고객 정보 유출, 서비스 마비 등

5. 금융권 보안 위협 특징


-28-

1. 기존 보안 기술에 대한 이슈

IV. 전자금융 보안 강화 이슈IV. 전자금융 보안 강화 이슈

백신 프로그램의 기존 시그니처 기반 사전 탐지 기술의 대응 한계

모바일 악성코드 58% 급증, 기존 백신으로 탐지가 어려운 웹 기반 공격 증가(시만텍)

악성코드에 감염된 좀비 PC에 의한 개인정보 유출, DDoS 공격, 스팸 유포 등 피해 증가

키입력 보호 솔루션은 커널 드라이버 보호수준 까지 기술이 발전 되었으나,

최근 스마트폰, 오픈 운영체계, 망분리 등에 대한 적용성, 호환성 이슈 발생

안드로이드 커널 보호 고려, 특히 애플 iOS 운영체계는 접근이 더욱 어려움

홈페이지 해킹, APT 공격 등 해킹 기술은 지속적으로 진화하고 있으나 전담

보안 담당자 부족 등으로 대응 방어 기술의 개선에는 한계

국내 웹 서버 해킹으로 인한 지속적인 악성코드 유포, 내부통제 미비점 발생 등

국내 정보보호 제품에 대한 성능 및 안전성 이슈

실제 공격 대응시 제시된 규격 성능 보다 미흡, 보안제품 자체 취약점 노출 등

스마트기기, LTE, 클라우드컴퓨팅 등의 신규 ICT 기술에 대한 뒤늦은 대응. . .

-29-

2. 스마트기기 보안 이슈 – H/W 기반 보안 기술 연구 추진

SIM(USIM), 금융 MicroSD, INTEL DeepSAFE, ARM TrustZone


-30-

3. 스마트금융 보안을 위한 고려 사항

스마트금융 환경 이해를 통한 스마트한 보안 정책 및 기술 개발 필요

- PC기반의 금융 환경(MS Windows, IE브라우저)

- 통신(유선인터넷, 폐쇄통신망)

- 금융회사(웹서버, DB서버 등)

- CD/ATM, POS단말 등

- 스마트기기 기반으로 변화(오픈 운영체계, HTML5)

- 스마트통신(유선, Wi-Fi, 4G, NFC)

- 금융회사(금융서버, 스마트브랜치 등)

- 전자지갑, 금융 MicroSD, 앱카드

- 소셜 커머스, IPTV, 스마트카 등

=> 보안 거버넌스 체계 강화(조직, 인력, 예산 등)

=> 최신 ICT 활용한 서비스 계획, 구축, 운영시 취약성 검증 등 보안 사항 고려

=> 지속적인 보안 전담인력의 역량 강화(최신 보안교육, 정보공유 활성화 등)

=> 스마트 환경에 적합한 기술 개발 및 표준화를 통한 국제 경쟁력 확보

금융ICT 환경 변화

안전한 스마트 금융을 위한 고려 사항


-31-

최신 보안 위협에 대처하기 위해서는 기술적 접근만으론 비용과 시간적인 한계가 있음

다양한 보안 위협에 대응하기 위해서는 관리적, 기술적, 물리적 보안을 모두 고려

실효성 있는 보안 대책 수행을 위한 보안 거버넌스 체계 구축 필요

4. 전사 차원의 보안 거버넌스 체계 구축

기업핵심정보기업핵심정보

관리적 보안

물리적, 기술적 보안을 체계적으로수행하기 위한 사내 보안 정책,조직,교육 등의 정보보호 활동

물리적 보안

건물, 설비와 같은 물리적자원을 파괴, 도난 등으로부터

보호 하기 위한 통제방법(출입통제, CCTV..)

기술적 보안

전산환경에서 정보자산의유출, 파괴 등으로부터

보호 하기 위한 통제 방법

< 보안 관리 모델 개념도 >


-32-

Q & A

성재모ph.d. cisa 정보보안본부본부장 - kif.re.krµœ근 전자금융...

Documents