나경아빠의 스케치북 - 고통은 희망의 씨앗이다

출처 : cio ciso 매거진 289호

http://www.ciociso.com/news/articleView.html?idxno=10274

정보보호 인식 스며들도록 ‘감성’ 발휘한다
O&T본부, 융합과 통섭으로 핵심부서 자리매김

우리투자증권의 ‘Operation&Technology본부’는 해외에서는 운영되고 있는 사례가 있지만 국내 금융업계에서는 지난 2009년 처음 시도된 조직이다. Operation&Technology본부는 우리투자증권의 각 사업본부들을 지원하는 Middle&Back Office 통합 역할을 한다. 이는 IT개발과 운영 외에도 각종 프로세스를 수립해주고 시행하는 일에 대해 스탭 바이 스탭(Step by Step)업무지원을 해주는 것을 의미한다.
Operation&Technology본부는 특히 급변하는 금융환경과 변화에 적극적으로 대응하면서도, 현업이 요구하는 다양한 비즈니스, 상품, 서비스를 적시에 효과적으로 출시하는 데 가장 큰 중점을 두고 있다. 이외에도 고객군의 행동패턴 변화에 적극적으로 대응하기 위한 본부지원의 역량, 인프라, 보안체계를 공고히 하면서 신규 법/제도로 인한 새로운 사업기회를 적시에 포착해야 한다. 금융 패러다임의 변화에 능동적으로 대응하는 체계를 지속적으로 보유함으로써 우리투자증권의 경쟁력을 제고하는 것이 Operation&Technology본부의 역할인 셈이다.
이 때문에 Business Enabler를 넘어 Business Partner, 그리고 Business Innovation을 가져오는 본부가 되야한다는 임무를 지니고 있다. 향후 민영화와 글로벌화를 앞두고 있는 우리투자증권은 Operation&Technology본부 역할의 중요성을 더욱 인정하면서, 향후 1~2년 동안은 본부 역할이 더욱 강화될 것으로 전망하고 있다.
이 외에도 최근 대고객 모바일 서비스 제공에 주력하고 있는 우리투자증권은 지난 5월, Mug Smart의 프레임워크를 기반으로 구축된 WMP(Woori Mobile Partner)를 출시해 업계에 긍정적인 호응을 이끌어내고 있다.
WMP는 과거 고객이 지점 창구를 방문해야 가능했던 계좌개설, 금융상품 판매 등을 고객이 원하는 장소 어디에서나 제공하는 서비스다. 또한 우리투자증권은 장애인차별금지법에 대응하기 위한 시스템개발과 거래소 포스트 차세대 시스템 도입에 대한 대응 및 해외사업을 위한 글로벌 트레이딩 센터 내 시스템 구축 등 자본 통합법 개정으로 인한 투자은행 활성화 프로젝트들을 진행 중이다. 한편 본부 내 정보보안 팀을 신설해 기존 내부 전문가를 비롯해 네트워크, 침입탐지, 보안 아키텍처 등 보안 영역 전문가를 외부 영입해 ISO27001 인증을 획득 하는 등 정보보호 위험을 계량화해 연속성 있는 관리체계를 수립하기 위한 작업이 한창이다. 오세임 우리투자증권 Operation&Technology본부 상무는 이러한 활동의 중심에 있는 인물로 CIO, CISO, CPO의 역할을 책임지며 바쁜 나날을 보내고 있다. 20여 년이 넘는 시간동안 IT 업계에 몸담고 있는 그를 만나 우리투자증권의 최근 정보화 이슈와 더불어 계획에 대해 들어봤다.

이지혜 팀장 jh_lee@ciociso.com

WMP로 대고객 지원 서비스 향상

우리투자증권 Operation&Technology(이하 O&T)본부 역할은 장기적인 관점에서 볼 때 기술 발전 및 시장상황, 고객행동이 가져올 변화에 능동적으로 대응하는 것이다.
이를 위해O&T전략을 수립하고, O&T의 매트릭스적인 기능을 작동시켜 기업 개인정보보호 및 보안의식이 기업 문화에 스며들도록 해 글로벌한 금융회사로 성장시켜 나가는데 있다. 오세임 상무는 “상품과 서비스 출시, 업무프로세스 개선 등 전반적인 현업 요구사항에 대응하면서도 전사 업무 프로세스의 지속적인 효율화를 위한 방안을 찾는데 주력할 것”이라며 “또한 정보보안 및 개인정보보호를 위한 절차 현행화와 관련 시스템의 개선 작업 또한 이뤄지고 있다”고 말했다.
이러한 다양한 신규제도와 법에 대해 효과적으로 대응하기 위해서는 직원역량 고도화와 결제 및 후선업무 처리의 완결성이 뒷받침 돼야 한다는 게 오 상무의 생각이다. 우리투자증권O&T부서는 국내 금융업계에서는 처음 시도된 부서다. 실제 조직 변화관리를 수행할 수 있는 내부조직으로 우리투자증권 최고경영진의 강력한 지원을 힘입고 출범됐다. 최근 우리투자증권은 Mug Smart, Mug Smart Tab이라는 Mobile Trading System(MTS)을 통해 개인 고객들에게 당사의 금융상품 서비스를 제공 중이다.
MTS는 국내 대부분 모바일 운영시스템을 지원하며 PC기반의 HTS(Home Trading System)와 클라우드로 연계된 서비스로 업계 관련 분야에서 다수 수상된 바있다. 이처럼 IT 기술이 가져오게 될 영업환경 및 고객 행동패턴에 보다 빠르고 정확하게 대응하기 위해 우리투자증권은 지난 2012년부터 모바일 환경 구축위원회를 운영하고 있으며, O&T 본부장인 오세임 상무가 위원장을 맡고 있다.
오 상무는 “이 위원회에서는 금융소비자 행동패턴이 모바일을 이용한 금융거래로 움직일 것을 염두해 Out Door Sales와 Paperless를 위한 전략을 수립한 후 관련 인프라와 시스템을 구축하게 된다”고 설명했다. 지난 5월, 우리투자증권은 Mug Smart의 프레임워크를 기반으로 구축된 WMP(Woori Mobile Partner)를 출시해, 고객이 지점창구를 방문해야 가능했던 계좌개설과 금융상품 판매를 고객이 원하는 장소 어디에서나 제공할 수 있도록 서비스 하고 있다.
오 상무는 “다만 관련 법 규정이 허용하는 범위 내에서 영업 및 상품제공이 순차적으로 이뤄질 것이며, 콘텐츠 또한 지속적으로 확장 개선해 변화하는 영업환경을 지원하게 될 것”이라고 말했다.

보안, 기업 자율성 존중해야 발전

오세임 상무는 현재 우리투자증권의 CIO, CISO, CPO역할을 담당하고 있다. 그만큼 IT 업무의 운영 및 개발 뿐만 아니라 보안에 대한 사명감 역시 막중하다.

CPO, CISO 는 겸임해서 보안 측면에서 내부통제 겸하는 것이 시너지가 있어 보이지만

정보의 사용을 주 목적으로 하는 CIO 와 정보의 통제를 주 목적으로 하는 CISO/CPO 겸임은 너무 한쪽으로 치우치는건 아닌지 생각해본다.

우리투자증권의 정보보안팀과 개인정보보호팀은 O&T본부 내 O&T기획관리부 소속이며, 정보보안팀은 기존의 내부전문가와 네트워크, 침입탐지, 보안 아키텍처 등 보안 영역 전문가들을 외부 영입했다.

통상 개인정보는 컴플라이언스팀이 맡고 있다.

사규상 컴플라이언스 팀은 관리적인 측면으로 사규 제정, 정책의 시행 여부 및 관리, 결과의 조치 등에 주안점을 두고 있는데 기술적인 부분은 IT내 보안팀이나 그에 준하는 팀에 맡겨 결과만 받는 경우가 많다.

이럴 경우 Role 의 정리가 쉽지 않고 기술적인 분야를 하는 팀이 관리적인 면도 같이 고려해서 하는 경우가 많아 결국 기술적인 업무를 하는 부서가 본의 아니게 많은 비중의 업무를 하는거 같다. 그래서 관행처럼 컴플라이언스팀이 개인정보를 하기 보다는 개인정보보호팀을 통해 하는 것이 더 시너지를 낼수 있을거 같다.

정보보안팀과 개인정보보호팀도 분리하는 것도 좋은거 같다.

보통 정보라는 큰 틀 안에 개인정보가 포함되어 있다고 생각한다.

하지만 정보보안 이라는 것은 나가지 말아야 할 정보를 막는 것에 주안점을 둔 반면

개인정보는 개인정보의 수집, 동의, 저장, 유통 등 고객, 회사, 관련기관 등 3자 고리가 있어서 정보보안처럼 나가지 말아야 할 정보가 아니라 유통을 하되 관련규정에 어긋남이 없어야 하므로 서로 성격이 다르므로 정보보안팀, 개인정보보호팀으로 나누는 것이 맞다고 본다.

또한 보다 체계적이고 실효성 있는 정보보안을 위해 지난해 전면 컨설팅을 진행했으며 도출 개선결과를 이행하기 위해 ISO27001인증 획득을 위해 준비 중이다.
오 상무는 “문서보안 시스템, 망분리, 내부망 암호화 프로젝트 등이 완료됨과 동시에 내년 통합관제시스템 구축이 이뤄질 예정”이라며 “망분리의 경우, 전사 논리적 방식인 SBC(Server Based Computing)방식으로 가지만, IT 부서는 물리적 방식을 사용하는 하이브리드 체제를 유지하게 된다”고 밝혔다.

보안에 대한 여러 이슈가 발생하며 기업 최고보안책임자가 느끼는 애로사항들은 당연히 있기 마련이다. 오 상무 역시 이에 대해 여러 의견을 피력했다. 그는 “국내보안 규제는 Negative system이 아니라 Positive system이며 행위자뿐만 아니라 관리자와 기업 책임부분이 상당히 강해 보안인식과 수준 증진에 긍정적인 역할을 하기도 하지만, 목표지향점에 도달하는 방법론들이 매우 구체적으로 규정화돼 있어서 과도하거나 실효성이 의심되는 부분에 대해서도 규정준수를 위해 투자를 해야 하는 경우가 간혹 있다”며 안타까워했다.

규정준수를 위한 투자라는 것은 보안 담당자가 업무적으로, 관계적으로 어떤 점이 취약한지 보는 것이 아니라 외부 컨설팅, 매년 정기적인 취약점 점검 등의 형식적인 절차를 통해 도출된 규정 미준수 사항에 대해 체크해서 만족하는 걸로 되기 싶다.

이에 대한 대응 방안으로 보안에 대한 조치는 기업 자율에 맡기고 법은 문제 발생에 대한 책임을 확실히 묻는 체제로 가는 것이 보안업계의 기술수준 향상과 더불어, 기업 역시 규정을 지켰다는 데만 안주하지 않고 실질적으로 보안에 집중하게 될 것이라는 의견을 보였다.
또한 오 상무는 “법률 및 규정의 제·개정에 따라 신규 보안 사업 투자가 필요할 경우, 시행기간이 촉박한 상황이 있으며, 기업이 내부적으로 정책 및 기술요소를 검토하고 안정적인 보안체계를 구축하는 데 쫓기는 경우가 있다”며 “충분한 검토를 거치지 못한 보안 사업 투자는 또 다른 보안 취약점을 발생시킬 수 있고, 향후 재투자로 중복투자의 문제점이 제기될 수 있다”고 꼬집었다.
우리투자증권의 정보보호는 기존 영업 관행과 보안이 충돌할 개연성이 있을 때 현업의 이해를 제고시키고 개인정보보호 관련 절차가 영업행위 내 내재화되도록 적극성을 띌 예정이다. 각종 교육 및 매달 CPO의‘Privacy Letter’등을 통한 전 직원들과의 소통으로 세부절차 수립 및 교육이 충분히 이뤄진 만큼, 이제는 각 사업부 특히 개인영업본부에 대해 보다 면밀하고 적극적으로 관여한다는 입장이다.

오 상무는 “CPO의 역할은 개인정보보호를 잘 수행하면서도 이로 인해 비즈니스가 입을 수 있는 부정적인 영향을 최소화 하도록 내부제도 입안, 물리/관리/윤리적 보안 체계의 구축에 집중하는 것”이라며 “다양한 교육을 통해 영업환경에서 고객정보를 보호하려는 필요성을 임직원 모두가 공유하고 개인정보보호 인식이 조직문화에 스며들도록 더욱 노력 할 것”라고 전했다.

업무개발부, IT와 현업 간 간극 좁혀

IT가 보다 체계적으로 현업을 지원하고 조직 곳곳에 숨어있는 비합리적 요소를 찾기 위한 노력은 공통적이다.
우리투자증권 역시 현업이 요구하는 IT수요와 공급간에 효율적인 접목이 필요하다고 강조한다.
이처럼 수요와 공급의 계량화와 시스템적 개발 프로세스 및 체계적인 IT거버넌스를 위해 우리투자증권은 ITSM(IT Service Management)과CMMI(Capability Maturity Model Integration)프로세스를 도입한 바 있다.
오 상무는 “이뿐 아니라 효과적인 IT투자를 위해 IT정책 실무 협의회, IT투자 심의회, IT 정책위원회 등을 운영해 최고경영진이 기업 IT 투자 및 비용에 대한 이해를 높이고 투자비용 지출의 필요성을 인지하도록 하고 있다”고 말했다. 우리투자증권은 또 보다 효과적인 IT 업무개발을 위해 현업 요구사항을 분석하고 이를 IT적인 관점으로 해석하고 조율하는 업무개발부를 둬 현업과 IT 간극을 좁히는 체제를 유지하고 있다.
차지백(charge back) 제도 또한 시행 중이다. 개발 이후 현업과 한 달에 한 차례씩 미팅을 갖고 그들이 기대했던 요구사항과 O&T본부의 자료를 비교해 서로 간 의견을 조율해 비용을 차지(Charge)하고 있으며, 올 하반기에는 좀 더 깊이 있는 업그레이드를 계획 중이다.
오 상무는 “차지를 한 사람과 받은 사람이 서로 그 상황을 컨트롤 할 수 있는지 가능성을 체크하고 그에 대한 결과를 반영하는 방안이 추가돼 원활한 제도가 되도록 할 계획”이라고 전했다.
이외에도 우리투자증권은 자본통합법 개정으로 가능해진 투자은행 활성화 부분과 관련된 프로젝트들을 진행 및 계획하고 있다. 대체거래시스템(Alternative Trading System), CCP(Central Counterparty), KONEX(Korea New Exchange), 전담중개업무시스템(Prime Brokerage System) 등이 그것이다. 또한 장애인차별금지법에 대응하기 위한 시스템, 거래소 포스트차세대시스템 도입에 대한 대응 및 해외사업 중 특히 홍콩에 있는 글로벌 트레이딩 센터 내 시스템구축, 채권운영시스템 등이 진행된다.

기업 IT본부=축구 미드필더

오 상무는 우리투자증권의 IT 인재가 보다 ‘통섭적인 인재’가 되어야 한다고 강조한다. 이를 위해 우리투자증권 내에서는 업무관련 내용을 학습하는 IT 교육을 장려하고, 다양한 교육 기회를 부여하는 것은 물론, 독서토론회 및 스터티 활동 등이 활발히 이뤄지고 있다.
오 상무는 “우리투자증권 IT 조직은 인 하우스 개발조직으로 보다 체계적인 개발절차를 위해 CMMI Level3 인증을 획득한 바 있으며, 최근에는 Agile 방법론과 일하는 방식을 개선하기 위한 노력을 기울이고 있다”고 밝혔다. 이는 금융 산업이 IT 장치산업이라 해도 무방할 정도로 IT와 금융업이 서로 심혈관계에 있다는 데에 착안한다. 따라서 IT 인재들이 업무 중요성을 인식하고 창조적인 아이디어를 내는 것이 IT가 기업의 비즈니스 파트너로서, 더 나아가 아시아에서 독보적인 기업이 되는 것을 가능케 한다.
그는 또 O&T본부의 포지션을 축구 미드필더에 자주 비유하곤 한다. 강인한 체력, 팀에 대한 헌신, 넓은 시야, 공격과 수비에 적극적인 참여, 창조적 플랜, 동료와의 유기적인 협조 등으로 승리를 안겨주는 핵심적인 역할을 담당하는 것과 같은 맥락에서다.
오 상무는 “안주하지 않고 항상 깨어있는 조직, 회사의 다양한 문제들이 모두 우리의 일이라는 주인의식을 통해 O&T본부가 핵심본부로 인정받을 수 있도록 끊임없이 노력해 갈 것”이라고 강조했다.

<오세임 우리투자증권Operation&Technology본부 상무>

학력
서울대학교 세계경제최고 전략과정 (2010수료)
서강대학교 경영대학원(1992 졸업)
연세대학교 수학과(1984 졸업)
덕성여자 고등학교(1980 졸업)

주요경력
우리투자증권 Operation&Technology본부 상무(2009년 7월-현재)
증권거래소 청산결제위원회 위원
금융발전심의회 위원(2010년 4월-2011년 3월)
골드만삭스 은행, 업무총괄 상무(2006년 5월-2009년1월)
한국씨티은행, 프라이빗뱅크 사업부문 경영관리부장(2002년 8월-2006년 4월)
바클레이즈 은행 파이낸스부 상무(2002년 4월-2002년 8월)
드레스드너 클라인워트 와셔스틴 증권, 업무총괄 이사(1996년 12월-2002년 3월)
씨티증권, 업무 및 재무 담당 지배인(1992년 4월-1996년 12월)
씨티은행, 기획부 부장(1984년 8월-1992년 3월)
동양나이론(주), 컴퓨터신사업본부 사원(1983년 12월-1984년 8월)

< 저작권자 © CIOCISO 무단전재 및 재배포금지 > 

출처 : 시큐리티 월드 2013.05, 김경환 법률사무소 민후 대표 변호사

1. 개인주택 내부에 CCTV를 설치할 때도 법령상의 의무를 준수해야 하나요?

- 개인주택 내부는 공개된 장소가 아니므로 CCTV에 관한 법령상의 의무 규정이 적용되지 않는다.

- CCTV 각도가 개인주택 외부로 되어있어 외부 통행자의 영상을 수집하는 경우에는 그 범위에서 CCTV

  에 관한 법령상의 의무 규정이 적용된다.

- 택시가 아닌 개인자가용 차량 내부의 CCTV도 공개되지 않은 폐쇄된 장소에 설치된 CCTV 이기 때문에

  개인주택 내부의 CCTV와 마찬가지로 법령상의 의무가 적용되지 않는다.

2. 회사 내부의 근로자 모니터링을 위해 CCTV를 설치할 수 있나요?

- 사업장 내 근로자 감시 설비의 설치에 대해 노사협의회에서 협의할 수 있다고 돼 있기 때문에 위법은 

   아니다 

- CCTV가 설치된 회사 내부가 일반인에게 공개된 장소가 아니라면 개인주택의 경우처럼, CCTV에 관한

   법령상의 의무규정이 적용되지 않는다.

3. CCTV로 녹음도 가능한가요?

- CCTV는 어떠한 경우에도 녹음을 해서는 안된다.

- 택시 등의 내부에 꼭 녹음을 하고 싶다면, CCTV 영상장치와는 별도의 녹음기 등의 장치를 설치/이용

   해야 한다.

4. 범죄현장이 찍힌 아파트 CCTV 영상자료를 피해주민 또는 수사기관에게 제공해도 되나요?

- CCTV 영상자료에 찍힌 정보주체의 동의가 있는 경우에는 가능하다.

- 정보주체나 제3자의 급박한 생명, 신체, 재산상 이익을 위해 필요한 경우에는 영장이 없이 제공할 수

   있다.

- 범죄현장에 관한 것이라면 형사소송법 또는 경찰관직무집행법상 수사기관의 협조요청만으로도 정보주체

   의 동의없이 CCTV 영상자료를 제공할 수 있다.

5. 버스 안의 지갑 소매치기를 잡기 위해 피해자에게 CCTV 영상자료의 열람을 허락해도 되나요?

- 정보주체가 의사표시를 할 수 없는 상태이거나 주소불명 등으로 사전 동의를 밥을 수 없고, 나아가

   급박한 재산의 이익을 위해 필요한 경우이므로 정보주체의 동의없이도 피해자에게 CCTV 영상자료의

   열람을 허락해도 된다.

6. CCTV 영상자료는 며칠이나 보유하고 있어야 하나요?

- CCTV를 통해 얻은 개인영상정보는 수집 이후 30일 이내에 파기하거나 삭제해야 한다.

장소 : 금융결제원 대회의실(역삼동)

주제 : 금융 앱 스토어 설명회(대상 : 증권사, 카드사, 보험사)

1. 도입배경

1) 보안 취약성

- 구글 플레이를 통한 앱 다운로드 시 악성코드 감염 피해가 증가하는 추세

- 금융기관이 아닌 제3자가 제공한 위, 변조 앱 출현 및 다운로드 우려

2) 앱 스토어 운영주체의 자의적인 운영정책

- 스토어 별 검수절차 상이, 검수기간 등이 일관되지 않음

- 자의적인 검수 반려사유

- 판매주인 앱이 검색되지 않는 등 앱 스토어의 불안정성 증가

이 부분은 다소 궁색한 변명으로 느껴지지만 구글에 끌려갈 수 밖에 없는 점은 공감이 된다

3) 참가기관의 애플리케이션 사후관리 어려움

- 동일 애플리케이션에 대해 앱 스토어 별로 개별 관리해야 하는 부담 생존

- 고객에 대하 앱 스토어별 적기 민원응대 어려움

- 신규 단말, 신규 OS 버전에 관한 일괄 검수 등 적기 대응 어려움

- 앱 스토어에 따라 앱 판매시점 및 업데이트 시점이 상이하여 고객의 혼동을 유발

4) 금융기관 공동의 금융 앱 스토어 구축

가. 금융기관 중심의 생태계 구축

- 금융앱에 적합하 최적의 검수절차 구현

- 금융앱 유통창구 역할

- 신규단말 및 OS 출시 시 앱 구동 일괄검증

다른 이유는 그다지 마음에 와 닿지 않지만 신규 단말 및 OS 출시에 따라 금융결제원이 주요 화면, 주요 앱에 대해서 자체 검증을 한다고 하니 금융회사의 일손이 덜어질거 같다.

나. 신뢰성 높은 금융서비스 환경제공

- 앱 취약점 분석평가

- 실시간 보안 모니터링

- 분실폰의 인증서 원격삭제 기능

취약점 분석은 현재 금융기관에서 한 뒤 앱 등록이지만 향후 금융결제원 인력/비용을 확대하면 가능하다고...

실시간 보안 모니터링은 구굴 마켓, 티 스토어 등에서 금융기관 앱이 올라와 있는지 검사하는 것. 즉 그 전제는 모든 금융기관 앱이 금융 앱 스토어에 있다는 것.

이것이 안정화되고 인식이 확산되면 구글마켓, 티 스토어 등에 올라와 있는 금융 앱은 피싱이다 또는 인증받지 않은 앱이다 라고 인정되는 셈. 향후 기대효과는 있을 듯 하다

인증서의 원격삭제 기능도 좋은 점은 있다.

최근 분실폰에 있는 인증서 정보로 악의적으로 사용하는 사례가 있다. 

단지, 금융 앱 스토어 사이트에 개인의 단말기를 등록할 때 악의적인 사람이 등록할 때 체크 수단이 궁금하다.

다. 참가기관 및 고객 편의성 제고

- 금융기관 앱 관리 효율성 제고

- 고객의 금융앱 일괄검색 가능

- 금융앱의 신뢰성 제고로 이용불만 해소

2. 금융 앱 스토어 소개

1) 서비스 흐름도

가. 금융기관이 금융 앱 스토어에 앱 등록/검수신청

나. 금융결제원 검수진행

다. 금융결제원 검수완료

라. 검수완료내용 금융회사 전달

마. 금융기관은 금융 앱 스토어에 등록해서 대고객 유통

바. 고객은 금융 앱 스토어에서 앱 검색

사. 고객은 금융 앱 스토어에서 다운로드

2) 대상 OS 및 이용채널

가. 대상 OS : 안드로이드, 블랙베리, 윈도우즈 모바일

나. 고객 이용 채널 : 스마트폰(앱), PC(웹사이트)

3) 제공 서비스

가. 고객용

- 금융앱 일괄검색 및 다운로드

- 나의 앱현황 관리서비스

   (다운로드 이력보기, 업데이트 알림)

- 공인인증서 원격삭제 서비스

나. 참가기관용

- 금융앱 검수 및 판매개시

- 보안 모니터링

- 신규 출시 폰/OS 검증

- 각종 통계자료 제공 등

4) 보안모니터링

- 피싱앱 출현에 대비한 모니터링 강화

가. 구글 플레이 등 기존 마켓 대상

- 구글 플레이 등 기존 마켓에 금융기관 금융앱 대상의 피싱앱 출현 여부 24시간 상시감시

- 피싱앱 출현시 대응 프로세스

금융결제원 금융ISAC실 -> KISA -> 마켓 운영자(피싱앱 유통차단 요청)

- 통보 프로세스

금융결제원 금융ISAC실 -> 금융 앱 스토어 담당자 -> 금융기관 담당자

이 부분은 금융기관에게 좋은 점이 될 수 있다고 생각한다.

실제로 하나의 금융기관에도 여러 앱들이 있는데 마켓에서 일일히 피싱 앱을 찾기는 쉽지는 않고 그런 조직도 없을 것이다.

나. 금융 앱 스토어 대상

- 금융 앱 스토어에 등록된 앱의 무결성 및 악성코드 감염여부 상시 감시

- 금융 앱의 무결성/악서코드 감염 여부 점검 프로세스

a. 무결성 여부 : 앱 등록시 고유값(해쉬값) 추출 후, 동 고유값 상태 수시 체크

b. 악성코드 감염 여부 : 앱 등록 시 악성코드 감염 상태 확인

5) 신규 출시 폰/OS 검증

- 신규 출시 폰/OS에 대하여 서비스 중인 금융기관의 금융 앱이 정상적으로 구동하는지 검증한 후 

   금융기관 앞 통지

- 효율적인 업무 수행을 위하여 전담 수행인력 운영

- 검증 항목

. 앱이 정상적으로 다운로드 및 설치되는가

. 설치 후 구동에 문제가 없는가

. 해상도에 맞는 화면이 출력되는가

. 백신 등 보안모듈이 정상적으로 설치되는가

. 보안키보드가 정상작동 하는가 등

- 삼성은 향후 새로운 폰이 나올경우 시장 출시 전 금융결제원에 폰 제공키로 합의 함.

새로운 운영체제나 폰이 나오면 해상도 등이 가장 큰 문제가 있다.

그리고 이러한 것을 금융회사가 아닌 금융결제원에서 주요 앱, 주요 화면에 대해서 해준다고 하니 좋지 않을까?

3. 향후 계획

1) 프리로딩 추진

- 스마트폰 출시시 스마트폰에 금융 앱 스토어 앱을 임베디드(프리로딩) 추진

- 관계부처(방통위, 금융위 등) 및 제조사, 이통사 등과 협력하여 조기 추진할 계획

프리로딩이 되면 현재 이슈화되고 있는 "출처가 알수 없는 앱" 체크에서 좀 더 자유로울 수 있겠다.

그런데 제조사들이 마케팅에 악용의 우려가 있다. 저 외국사는 프리로딩 하지 않는다. 등등.

그런데 그 외국 제조사는 폐쇄적인 환경이라 이번 대상에서 제외이고 실제 사고도 많지 않다.

4. 서비스 대상기관 확대

1) 금융기관 참여시 비용

- 참가금(최초) 및 회비분담금(년)으로 구성

- 금융결제원은 은행 출자 사단법인이므로 사원은행 총회에서 결정

- 현재 금결원 의도는 참가금은 무상, 약 80개 금융기관이 참여시 연간 300만원 분담금 발생 예상하고 

   있음. 이 금액은 인건비, 유지보수비 등에 쓰임

- 참가금은 각 금융회사가 보유한 고객수 기준

- 분담금은 각 금융회사의 전분기/전년도 앱의 다운로드 횟수 등 실적으로 산정 

2) 향후 추진일정

- 금융 앱 스토어 서비스 특별 참가 기본계획 수립(2013.5)

- 관련 규약 및 시행세칙, 회비분담기준 개정 등(2013.6)

- 서비스 참가(2013.7 이후)

5. Q & A

1) 금융 앱 스토어 사용이 법적 의무인가?

- 금융위는 권고로 할거 같다.

- 금융위 권고는 금융회사에서는 의무이지 않겠냐?

- 이거 안해서 사고가 나면 지적/징계 있지 않겠냐?

- 금융위가 하라는대로 해서 손해는 없지 않겠냐?

2) 홍보를 금결원이 해주나?

- 금결원이 관리하는 사이트가 있지만 금융회사가 더 많은 채널을 갖고 있지 않느냐

- 금결원은 각 마켓에 경품 등으로 홍보 예정

3) 보안사고 나면 금결원이 책임지느냐?

- 앱에 취약점 존재해서 생긴 사고 -> 금융회사가 책임

- 금융 앱 스토어가 장애/해킹 당해 생긴 사고 -> 금융결제원 책임 -> 세칙으로 넣을 것임

4) 금융결제원이 개런티 못해주면 앱 스토어 취지가 퇴색하는거 아니냐?

- 금결원이 취약점 점검을 다 하면 책임이 가능하다

- 하지만 현재는 비용/인력 문제로 취약점 점검을 할 수 없다. 앱 등록할 때 금융기관이 금보원, 코스콤 

   등에 취약점 점검 받은 걸 등록해야 한다.

5) 고객불편, 보안사고 등 금융회사가 care 가능하면 금융 앱 스토어 안 써도 되냐?

- 된다.

6) 구글, 티 스토어 등 빌드 방식이 다양한데 앱 스토어는?

- 지금처럼 동일하게 앱 등록하면 된다. (안드로이드와 같다)

- 향후 임베디드되면 인증 방식 달라질것임

7) 앱 스토어 올릴 때 금융거래 등 특정 컨텐츠만 등록해야 하나?

- 뱅킹, 가계부 등 금융기관 앱 모두 가능. 컨텐츠 구분 없다

- 단, 무료이면서 취약점 점검 끝난만 가능하다.

8) 고객들은 기존 안드로이드 앱에 대해 자동 업데이트를 해놓고 있는데 금융 앱 스토어도 자동 업데이트 

    되나?

- 안 된다.

9) 긴급 반영 시 24시간 아무때나 반영 가능한가?

- 기존 은행 업무 지향적인 것이여서 현재는 안된다.

- 증권은 야간 거래도 있어서 필요하다.

- 향후 증권, 카드 업무 형태에 맞게끔 구축 예정

당분간은 기존 마켓과 금융 앱 스토어에 모두 올려 긴급 장애나 반영 시 기존 마켓을 이용해야 할듯

10) 금융 앱 스토어에 금융 회사 앱을 다이렉트로 접근할 수 있는 주소가 있는가?

- 있다

11) 앱의 업데이트는 금융 앱 스토어의 업데이트 페이지에서 고객이 수동으로 해야 하다.

12) 금융결제원은 지금 은행 지급 결제망을 관리하고 있어 트래픽 관리 경험이 많다. 향후 모든 금융기관의

     앱이 등록되어도 트래픽 문제는 없고 있다면 시스템 증설을 즉각 할 것이다.

13) 증권회사는 서티파티 제휴 앱이 있는데 이것도 등록해야 하나?

- 향후 업계 현황 파악 후 기준 만들 계획

14) 구글 푸시 서비스를 무상으로 쓰고 있는데 금융 앱 스토어를 쓰면 상용 푸시 서비스를 써야 하나?

- 금융 앱 스토어도 구글 무상 푸시를 이용중이다. 

15) 개발자 등록할 때 인증서 사용하는데 휴가 등 부재 시 등록 못하면 어떻게 하나?

- 복수명 등록하게끔 되어 있다. 하지만 20명, 30명 이렇게 할 수는 없다.

개발자가 퇴사 시 이러한 것에 대해서 관리가 필요할 듯

그런데 금융회사가 통보하지 않으면 퇴사자가 계속 이용할 수 있고 설령 통보해도 즉각 조치가 되지 않으면 얼마 시간동안은 보안 홀이 생긱지 않을까 한다

금융회사 HR 과 연동을 해야 하나?

16) "출처를 알 수 없는 앱" 체크에 대해서

- 이것을 해결하기 위해서는 구글에서 금융결제원의 금융 앱 스토어를 인정해줘야 하는데 그렇게

   안해준다.

- 금융회사는 금융 앱을 등록하고 고객에게 배포해야 한다.

- 그런데 피생 앱은 계속 등록되고 고객 피해는 생긴다. 구글 마켓은 믿을 수가 없다.

- 결국 할 수 있는 "출처를 알 수 없는 앱" 설치 체크를 해서라도 해야 한다.

- 실제 KB 은행 앱은 전용 스토어가 있다.

여기서 금융결제원의 고충이 느껴졌다.

그리고 나도 처음에 그랬지만 언론, 학계에서 대안은 나오지 않은 상태이다.

그런데 향후 개정 될 "전자금융 감독규정" 은 해킹/피싱에 대한 피해를 모두 금융회사가 배상해야 한다.

결국 금융회사도 책임 경감을 위해서도, 당국도 손 놓고 볼 수 없는 입장이라 이런 방법을 택한거 같다.

17) 금융 앱 스토어에 통계, 별 점수, 댓글 기능 있나?

- 통계는 가능

- 댓글도 가능

- 별 점수는 안 된다.

18) 신규 폰의 경우 해상도 문제가 가장 큼

     따라서 각 금융기관들이 우선 순위 앱과 주요 기능 화면 리스트를 주면 신규 폰, OS 업그레이드 시

     우선순위 앱과 그 앱의 주요기능(뱅킹, 주문, 청약 등) 기능을 검수 대행한다.

이건 참 좋다...

출처 : 네트워크 타임즈 2013.04

- 안랩과 하우리는 피해고객 업데이트 서버에서 계정탈취 흔적을 발견해 서버 관리자 계정이 유출돼 해커가 

   업데이트 서버를 통해 악성코드가 전파되도록 한 것으로 분석

- 미국, 유럽, 아시아 지역 4개국을 통해 악성코드가 배포됐는데, 이 지역 내의 서버가 해킹을 당해 악성코드를

   숨겨놓은 경유지로 악용된 것으로 추정

- 피해기관의 관리자 계정을 해킹한 후 업데이트 서버를 통해 악성코드를 유포시켜 시스템에 장애를 일으키

   고 HDD 를 파괴하는 피해를 일으킨 것으로 보임

- 공격자가 어떤 경로로 업데이트 서버의 관리자권한을 탈취했는지 아직 밝혀지지 않았음

농협의 경우, 농협이 사용하는 안랩 자산관리 서버의 특정 버전에서 관리자계정 우회 취약점이 있었다고 함. 또한 특정 개발자 계정을 사용할 경우에도 우회할 수 있는 취약점이 있었다고 함

국정원 직원한테서 들음

- 사고를 일으킨 악성코드는 시스템파괴형 트로이 목마 자크라(Trojan Horse/Trojan.Jokra), 

   킬러MBR KillMBR-FBIA and Dropper-FDH), Win-Trojan/Agent.24576.JPF 등

- 이 악성코드는 백신 프로그램을 회피해 다운로드 된 후 DOS 에서 실행되고 자가삭제된다.

- 악성코드 감염도(출처 : 네트워크 타임즈)

(2013.03.08) 금융감독원. 방송통신위원회의 정보통신망법과 주민번호 수집/이용에 대한 설명회

방송통신위원회에서는 금융회사가 정보통신망법 적용 대상이고 주민번호 수집/이용에 대한 것은 금융업종 특성상 주민번호가 필요해서 허용 법령이 있어서 예외라는 입장

방통위는 금융회사도 망분리, ISMS 등을 받아야 한다는 것으로 해석됨.

금융위원회는 금융회사는 정보통신 서비스 제공자가 아니니 정보통신망법 적용 대상이 아니라는 입장

HTS 에서 수수료를 받고 고객에게 서비스를 제공하므로 이것은 영리를 위해 정보통신을 이용하는 것이니 어떻게 해석될까 궁금...

정보통신망법에서 "정보통신 서비스 제공자" 의 의미가 확장되었다고.

즉, "수탁자" 도 정보통신 서비스 제공자에 포함됨.

고객으로부터 권한, 투자금, 정보제공 동의를 받아 정보통신을 이용해서 고객 자산 증식을 하는 금융회사나 정보통신회사에서 "수탁자" 란 용어가 쓰이는데 이것도 적용이 되는 뉘앙스 같음.

정보통신망법에서의 실명인증은 주민번호 수집 업무에 포함된다고 해석.

생각치 못한 법적인 해석.

인용 및 출처 : 개인정보 보호법. 저자 이창범

개인정보보호법, 정보통신망법, 신용정보법에는 정보주체에 대한 "개인"의 정의가 각각 다르다.

개인정보보호법

살아있는 사람인 한 국적이나 신분에 관계없이 누구나 정보주체가 된다.

외국인은 물론이고 고객, 회사의 임직원 등이 모두 대상이 될 수 있다.

정보통신망법

보호대상인 권리주체를 정보통신서비스제공자(개인정보처리자)가 제공하는 서비스를 이용하는 "이용자" 로 한정한다.

따라서 은행을 이용하는 고객, 증권사 서비스를 이용하는 고객 등이 대상이 되는 것이고 회사의 임직원은 서비스를 이용하지 않는다면 대상이 아니다.

신용정보법

금융거래 등 상거래에 있어서 거래 상대방의 신용 판단할 때 필요한 정보의 처리에 관한 법률이므로 원칙적으로 상거래 관계에 있는 개인을 대상으로 한다.

"정보통신망법"과 "신용정보법"은 이용, 거래 관계에서 처리되는 개인정보에 대해서만 적용되므로 노사관계, 공사관계 등에서는 적용되지 않는다.

"개인정보 보호법"은 개인정보처리자와 정보주체 사이에 특별한 계약관계를 요구하고 있지 않다.

정보통신 서비스를 이용하는 개인이 신용정보에 관한 동의를 할 수 있고 안 할 수 있다.

반대로 신용정보에 관한 동의를 한 개인이 정보통신 서비스를 이용할 수 있고 안 할 수 있다.

따라서 각 법의 개인에 대한 범위는

개인정보보호법 > 정보통신망법 >= 신용정보법 또는

개인정보호허법 > 신용정보법 >= 정보통신망법 이라고 생각할 수 있겠다.

인용 및 출처 : 개인정보 보호법. 저자 이창범

개인정보 관련 관련 법에서의 정의

개인정보 보호법

"개인정보"란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼

수 있는 정보 (해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼

수 있는 것을 포함한다) 를 말한다.

정보통신망법

생존하는 개인에 관한 정보로서 성명, 주민등록번호 등에 의하여 특정한 개인을 알아볼 수 있는 부호,

문자, 음성, 음향 및 영상 등의 정보 (해당 정보만으로는 특정 개인을 알아볼 수 없어도 다른 정보와

쉽게 결합하여 알아볼 수 있는 경우에는 그 정보를 포함한다) 를 말한다.

따라서 개인정보에 대한 정보통신망법의 정의와 개인정보 보호법의 정의는 표현만 다를 뿐 내용상으로는 다르지 않다.

신용정보법 에서는 개인정보라는 용어 대신에 "개인신용정보"와 "개인식별정보"라는 용어를 사용한다.

"개인정보 보호법"은 공개된 정보도 개인정보의 범위에 포함시켜 함부로 수집, 이용하지 못하도록 하고 있으나, "신용정보법"은 적법하게 공시 또는 공개된 정보는 '개인신용정보'의 범위에서 제외시켜 규율 대상이 아니라고 한다.

"개인정보 보호법"상의 정의로는 개인신용정보와 개인식별정보는 물론, 적법하게 공시 또는 공개된 정보도 개인정보의 범위에 포함되므로 "개인정보 보호법"에 의한 보호를 받는다.

신용기관이나 은행에서는 연체자, 신용불량자, 테러리스트를 관리하고 이것을 공유하고 있어 업무에 활용하고 있다. 따라서 적법하게 신용불량자, 테러리스트에 대해서 산출이 되고 공시 또는 공개가 되면 신용정보법 상으로는 문제가 되지않는걸로 이해가 된다.

인용 및 출처 : 개인정보 보호법. 저자 이창범

개인정보 보호법에서는 "개인정보" 를 아래와 같이 정의하고 있다.

제2조(정의)

1. "개인정보" 란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 

    수 있는 정보 (해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수

    있는 것을 포함한다) 를 말한다.

개인정보를 '성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보' 라고만 규정하고 있고

정보의 성격, 내용, 형식 등에 대해서는 특별한 제한을 두고 있지 않다.

따라서, 개인을 알아볼 수 있는 정보가 되는 모든 종류, 모든 형태의 정보가 개인정보가 될 수 있다.

"객관적 사실", "주관적 사실", "부정확한 정보", "허위의 정보" 라도 개인의 관한 정보이면 개인정보가 된다.

어느 회사, 모 부서의 키 174cm, 몸무게 67kg 남자라는 객관적 정보도 개인정보가 되고 그 부서에 키 크고 뚱뚱하고 쇼핑몰 자주 이용하는 그 사람도 개인정보가 될 수 있다.

모 조합의 조합장이 함바집으로부터 1억 수수했다 라는 거짓 정보도 개인정보가 될 수 있다.

임직원이 업무 목적으로 주고 받은 메일의 내용이나 첨부 파일에 있는 개인에 관한 정보는 "개인정보 보호법" 상의 개인정보가 되지만 개인 또는 가사 목적으로 주고받은 이메일 속의 개인에 관한 정보는 개인정보로 보지 않는다.

개인정보 통제 때문에 회사 컴퓨터내 저장되는 엑셀 파일 등에 개인정보가 있으면 검출하거나 암호화 하는 솔루션이 있지만 업무 목적인지 개인 목적인지에 따라서 통제 대상이 될 수 있고 안 될 수 있다.

이것을 판단하기는 어려운 일이니 기본적으로 회사 컴퓨터에 저장되는 개인정보가 포함되는 걸로 추정되는 파일들은 검출되거나 암호화 대상으로 봐야한다. 회사 컴퓨터는 개인의 목적이 아닌 회사 업무용으로 지급한 것이므로

"개인정보 보호법" 2조 1항에서는 "살아있는 개인" 에 관한 정보만을 개인정보로 보기 때문에 "죽은 사람", "법인, 단체" 에 관한 정보는 개인정보로 보지 않는다.

직간접적인 정보와 개인 사이에 관련성이 있을 때 개인정보로 판단한다.

그 판단 기준은 

(1) 해당 정보의 내용

(2) 해당 정보의 처리목적

(3) 해당 정보의 처리결과

이고 이 세 가지 요소를 분석하여 최소한 한 가지 이상의 관련 요소가 있다고 판단되면 그 정보와 개인사이에 관련성이 존재한다고 볼 수 있다.

B의사가 작성한 A환자의 정신과 진료차트는 A환자의 건강상태를 타나냄(해당 정보의 내용)

의료분쟁 발생 시 B의사의 진료방식을 평가하는 목적으로 사용 가능(해당 정보의 처리목적)

진료결과는 남편C씨의 향후 가정 내에서의 역할 변화에 영향(해당 정보의 처리결과)

따라서 A의 진료차트는 A, B, C 모두와 관련성을 가진다.

"개인정보 보호법" 상 식별의 의미는 다른 사람과의 "구분" 또는 "구별" 의 개념과 같다.

따라서 구별할 수 있는 일반 정보들 - 키, 나이, 얼굴, 헤어스타일, 출생지, 직업, 거주지, 성격 등 - 을 조합하여 간적접으로 식별할 수도 있다.

다른 정보가 결합, 조합해서 특정인을 식별해 낼 수 있는데 법에서는 "쉽게 결합하여" 라는 단어를 사용하고 있지만 이것은 "합리적으로" 라는 의미로 해석해야 한다. 즉, "쉽게" 라는 단어는 과학적 가능성보다는 수단, 방법의 합리성에 무게를 둔다.

식별을 위해 불합리할 정도의 시간, 노력, 비용이 투입되어야 한다면 그런 '단편적인 정보들'은 식별성이 있다고 볼 수 없다.

개인의 유전자 정보 등은 당장 개인을 식별할 수 없으므로 개인정보로 볼 수 없다는 의미다.

y 염색체에 변형이 일어났고 23쌍이 아닌 남자다 라는 것은 쉽게 누군지를 판단할 수 없다.

유동 IP 는 컴퓨터가 부팅시마다 IP 가 달라지는 것인데 대개는 이전에 배정받았던 IP주소를 그대로 재배정 받는 경우가 더 많다. 인터넷 서비스 제공자나 통신망 관리자는 인터넷 접속 날짜, 접속 시간, 배정된 유동 IP주소 등을 파일에 체계적으로 관리하기 때문에 유동 IP주소를 배정받은 가입자를 식별해 내는 것은 어렵지 않다. 따라서 유동 IP 정보는 개인정보로 취급해야 한다.

인터넷 검색 서비스에서 개인화 서비스라 하여 인터넷 이용 행태를 수집, 분석하여 실명에 의해 저장하지 않고 이름, 이메일 정보도 저장하지 않는다. 수집된 행위에 대한 정보는 코드값으로 저장되지만 그 자체가 특정 개인에 관한 정보이고 언제든지 정보 주체를 특정할 수 있는 상태이므로 개인정보로 봐야 한다.

다만, 서비스 제공자가 이용자의 행태를 분석하지 아니하고 통계적인 방법으로 이용자의 이용 행태를 수집, 분석해 놓은 정보는 정보주체를 특정할 수 없어 개인정보라 할 수 없다.

서점 등의 홈페이지에서는 이 책을 산 사람들이 추가 구매한 책 등으로 정보를 보여주고 있다. 결국 이런 것들이 위에 해당하는 것이 된다.

최근 증권가에서는 쇼셜 트레이딩이라고 해서 고수들의 매매 패턴을 볼 수 있거나 추적 매매 기능을 도입하고 있다. 이런 개인의 매매 정보를 다른 투자자들한테 오픈할 수 있도록 사전에 협약하지 않고 한다면 그것은 개인정보 위반이 될 것이고 A 종목을 매수한 사람들이 평균적으로 많이 매수한 또 다른 종목은 B 다라고 하면 개인정보 위반이 아니다.

지난 9월말 같이 KISA 에서 SW보안약점 진단원 교육을 같이 받아 시험을 통과해서 SW보안약점 진단원 자격을 취득한 분을 만났다. 

같이 교육받았지만 해킹 대책 보고 때문에 교육 후 다시 회사로 복귀해 3일동안 야근하느라 실제 공부는 목요일 하루만 해서 당연히 불합격 ㅜㅜ

그 사이 CISA도 취득하고 작년에 PIMS, ISMS 심사원 등을 모두 갖추신 분.

개인 사업자로 새롭게 출발하시다가 을지로 근처에 지나시다가 찾아 오셨다.

SW보안약점진단원이 처음 생긴 걸 작년에 코스콤 기술 자료 보다가 알게 되었고 법적으로도 그 지위가 보장되는걸 알고 개발 경력 12년이 나로서도 보안 분야에서 나름의 포지셔닝을 위해서 지원하게 되었다.

5일 교육과정과 마지막 날에 시험을 통해서 진단원 합격 여부를 알 수 있는데

오히려 행정안전부에 이력서를 제출해서 경력 기간과 했던 일에 대한 심사가 더 까다로운걸로 기억한다.

그분 통해서 들은 이야기이다.

2012년에 처음 시행하 SW보안약점 진단원은 작년에 약 82여명 정도가 합격했으며

1년에 8시간 정도 의무 교육을 받아야 자격이 유지된다고 한다.

KISA 에 개인정보활용동의서를 작성해주니 KISA 가 감리업체로 합격자 명단을 배포한듯하며

곧 감리업체에서 비상근으로 같이 일하자는 제의가 온다고 한다.

아마도 하루 수당은 ISMS 심사원보급인 15~20만원이 아닐까 추정한다.

감리업체랑 제휴하게되면 감리업체가 시큐어 코딩 툴은 제공해준다고 한다. 

(하긴 유명한 툴은 1억 정도 한다고하니...)

비록 패배자로서 이런 걸 적는건 창피하기도 하지만 이런 정보도 공유되면 좋을듯 싶다.

나처럼 개발경력이 있는 분들이 보안업무를 하게될 경우 향후 자기만의 포지셔닝 구축을 할 수 있고

다른 심사원, 감리사 자격증을 갖춘다면 더욱 확고할듯 싶다.