[파이낸셜뉴스]토스뱅크가 금융보안원으로부터 국가공인 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증을 획득했다고 12일 밝혔다. 정보보호 및 개인정보보호 관리체계 인증은 과학기술정보통신부와 개인정보보호위원회가 공동 고시하는 국내 최고 권위의 통합 인증 제도다. 심사와 인증은 금융보안원이 수행한다. ISMS-P는 조직이 정보보호 및 개인정보보호 관리 절차와 보호대책을 체계적으로 수립하고 운영하는지를 정보통신망법·개인정보보호법에 따라 심사·인증하는 제도다. 이는 각종 보안위협으로부터 조직의 주요 정보자산을 보호하기 위한 조치다. 개인정보보호위원회는 101개의 인증 기준으로 나눠진 항목에서 엄격하게 검증을 받은 기업에게만 ISMS-P 인증을 부여한다. 지난해 6월 토스뱅크는 금융보안원으로부터 관리체계 기반 마련은 물론 위험관리와 물리적 보안, 사고 예방 및 대응 등에 대한 정보보호 관리체계인증 (ISMS)을 획득했다. 올해는 여기에 ‘개인정보보호 관리체계’ 인증을 더한 ISMS-P 인증을 취득하며 지속적으로 고객의 개인정보 보호의 강도를 높여나가고 있다. 토스뱅크는 정보보호 부문 투자액을 매년 높여나가며 안전한 은행 서비스 제공에 최선을 다하고 있다. 지난해 정보보호부문에 약 83억원, 정보기술부문에 약 834억원을 투자했다. 이는 전년 동기 대비 각각 24%, 33% 증가한 수치다. 토스뱅크 관계자는 "새로운 위협이 발생하는 사회에서도 개인정보 관리와 높은 수준의 정보보호를 통해 고객의 자산을 지키는 것이 은행의 최우선 과제”라며 “토스뱅크는 더 견고한 보안수준을 토대로 고객에게 편리하면서도 안전한 금융서비스를 지속적으로 제공해 나갈 것"이라고 밝혔다. 한편, 토스뱅크는 지난 2022년 5월 카드 부정 사용과 정보 유출 방지를 위한 산업 표준인 PCI-DSS 인증을 국내 은행 최초로 획득했다. 2022년 12월에는 세계적으로 권위있는 인증 기관인 BSI(영국 왕립 표준협회)로부터 정보보호 관리체계의 국제표준인 ‘ISO27001’ 및 개인정보보호 관리체계 국제표준인 ‘ISO27701’를 동시 취득하는 등 보안성과 안정성을 지속 강화하고 있다. mj@fnnews.com 박문수 기자

LG유플러스와 금융보안원이 신종 보이스피싱 악성앱 정보를 실시간으로 공유해 접속을 차단함으로써 국민들의 피해를 막는 활동에 힘을 모으기로 했다. LG유플러스는 지난 18일 서울시 강서구 마곡 LG사이언스파크에서 금융보안원과 ‘보이스피싱 예방 및 대응을 위한 업무협약(MOU)’을 체결했다고 19일 밝혔다.  업무협약에 따라 금융보안원은 365일, 24시간 운영 중인 ‘피싱사이트·보이스피싱 악성앱 탐지시스템’을 통해 얻은 정보를 실시간으로 LG유플러스에 공유할 예정이다. LG유플러스는 제공 받은 정보를 토대로 피싱사이트 및 보이스피싱 악성앱 유포지 접속을 원천적으로 차단함으로써 국민 피해 예방에 나선다. 또 스미싱, 전화번호 가로채기 등 신종 보이스피싱에 대한 다양한 정보를 공유하고 관련 분야의 기술협력을 강화해 신종 사기 피해 대해서도 선제적으로 대응해 나가기로 했다.  금융보안원은 나날이 지능화되고 복잡해지는 보이스피싱에 효과적으로 대응하기 위해 ‘범금융권 보이스피싱 사기정보 공유체계’를 운영하고 있다. 이를 통해 금융·공공·통신·보안 등 다양한 분야의 전문기관들과 보이스피싱 관련 정보를 실시간으로 공유하고 있다. 이번 업무협약을 통해 LG유플러스도 관련 체계에 참여함으로써 보이스피싱 피해 예방 효과가 더욱 증대될 것으로 기대된다. LG유플러스 홍관희 사이버보안센터장 겸 CISO(최고정보보호책임자, 전무)는 “갈수록 보이스피싱 공격의 피해가 심각해지고 있는 만큼, 이에 대응하기 위해 모든 기관이 힘을 모아야 할 시점”이라며 “앞으로 금융보안원과 긴밀한 협력을 이어가는 것은 물론이고, 전사적으로 노력을 기울여 ‘고객 피해 제로’를 달성해 나가겠다”고 말했다.  solidkjy@fnnews.com 구자윤 기자

[파이낸셜뉴스]금융감독원과 금융보안원은 15∼21일 국내 19개 은행을 대상으로 '블라인드 사이버 모의해킹(공격·방어) 훈련'을 한다고 14일 밝혔다. 금감원은 다양한 사이버 위협에 대해 해커 수준에서 보안 취약점을 확인, 은행권의 실질적인 대응 수준을 키우기 위해 이번 훈련을 마련했다고 설명했다.  이번 훈련에서는 침해사고 대응 기관인 금보원이 가상의 공격자가 돼 화이트해커의 서버 해킹, 디도스(분산서비스거부·DDoS) 공격을 시도하고, 은행은 공격을 탐지·방어하는 역할을 맡는다. 디도스 공격의 경우 은행이 비상대응센터로 트래픽을 전환해 업무 연속성을 유지하는 훈련을 한다. 금감원은 이번 훈련으로 외부 침입에 대한 은행의 사이버 위협 탐지·방어 역량을 점검하고 필요 시 대응 절차를 개선할 방침이다. 아울러 금보원과 함께 올해 하반기 여타 금융권역으로 모의훈련을 확대 실시하고, 이를 지속해서 확대해 나갈 예정이다. 이복현 금감원장은 "실전형 모의훈련은 사이버 위협에 대한 예방주사"라며 "이번 훈련으로 금융사 사이버 위협 대응·예방을 위한 체력을 한 단계 강화하는 계기가 되길 바란다"고 말했다.   sjmary@fnnews.com 서혜진 기자

삼성화재가 손해보험업계 최초로 금융보안원으로부터 정보보호 및 개인정보보호관리체계(ISMS-P) 인증을 획득했다고 8일 밝혔다. 'ISMS-P 인증'은 회사의 고객 개인정보보호 관리체계가 적합하게 운영되는지 심사 받는 공인된 인증 제도로, 관리체계 수립 및 운영(16개 항목), 보호대책 요구사항(64개), 개인정보 처리 단계 별 요구사항(21개) 등 총 101개 심사 기준을 충족해야만 취득할 수 있다. 삼성화재는 2014년부터 10년간 ISMS(정보보호관리체계) 인증을 유지하고 있었으며, 이번 '개인정보보호' 영역의 심사 기준이 통합된 ISMS-P 인증으로의 전환을 통해 국내 손해보험사 중 가장 높은 개인정보보호에 대한 신뢰성을 입증했다. 또한 삼성화재는 해외 공신력 확보 및 ESG 경영을 위하여 글로벌 인증기관인 DNV로부터 국제 정보보안 공인 인증인 '정보보호경영시스템'(ISO 27001)을 동시에 획득하여 국내·외 공인 인증을 모두 획득한 최초의 손해보험사가 됐다. ISO 27001은 정보보호 정책, 접근통제, 정보보호 사고 대응 등 14개 관리 영역, 144개 세부 항목에 대해 회사가 적절한 관리체계를 구현·점검·개선했는지 여부를 평가하고 이에 대해 인증을 수여하는 제도이다. 삼성화재 CISO(정보보호최고책임자) 조성옥 상무는 "ISMS-P 및 ISO 27001 국내·국제 정보보안 인증의 동시 획득을 통해 고객 신뢰도 및 경영 안정성 향상에 기여할 것으로 기대된다"며 "앞으로도 고객의 개인정보를 안전하게 보호하고 회사의 정보보호 관리체계 강화를 위해 더욱 최선을 다할 것"이라고 밝혔다. padet80@fnnews.com 박신영 기자

[파이낸셜뉴스]   삼성화재가 손해보험업계 최초로 금융보안원으로부터 정보보호 및 개인정보보호관리체계(ISMS-P) 인증을 획득했다고 8일 밝혔다. 'ISMS-P 인증'은 회사의 고객 개인정보보호 관리체계가 적합하게 운영되는지 심사 받는 공인된 인증 제도로, 관리체계 수립 및 운영(16개 항목), 보호대책 요구사항(64개), 개인정보 처리 단계 별 요구사항(21개) 등 총 101개 심사 기준을 충족해야만 취득할 수 있다. 삼성화재는 2014년부터 10년간 ISMS(정보보호관리체계) 인증을 유지하고 있었으며, 이번 '개인정보보호' 영역의 심사 기준이 통합된 ISMS-P 인증으로의 전환을 통해 국내 손해보험사 중 가장 높은 개인정보보호에 대한 신뢰성을 입증했다. 또한 삼성화재는 해외 공신력 확보 및 ESG 경영을 위하여 글로벌 인증기관인 DNV로부터 국제 정보보안 공인 인증인 '정보보호경영시스템'(ISO 27001)을 동시에 획득하여 국내·외 공인 인증을 모두 획득한 최초의 손해보험사가 됐다. ISO 27001은 정보보호 정책, 접근통제, 정보보호 사고 대응 등 14개 관리 영역, 144개 세부 항목에 대해 회사가 적절한 관리체계를 구현·점검·개선했는지 여부를 평가하고 이에 대해 인증을 수여하는 제도이다. 삼성화재 CISO(정보보호최고책임자) 조성옥 상무는 "ISMS-P 및 ISO 27001 국내·국제 정보보안 인증의 동시 획득을 통해 고객 신뢰도 및 경영 안정성 향상에 기여할 것으로 기대된다"며 "앞으로도 고객의 개인정보를 안전하게 보호하고 회사의 정보보호 관리체계 강화를 위해 더욱 최선을 다할 것"이라고 밝혔다.  padet80@fnnews.com 박신영 기자

[파이낸셜뉴스] 카카오엔터프라이즈가 금융보안원에서 진행한 ‘클라우드서비스제공업체(CSP) 안전성 평가’를 완료했다. 금융보안원은 전자금융감독규정에 따라 금융 관련 업체들이 상용 클라우드컴퓨팅(클라우드) 서비스 이용 시 요구되는 CSP 안전성 평가 수행을 위임받아 진행하고 있다. 29일 업계에 따르면 금융보안원은 카카오클라우드에 대한 자가 점검과 현장 평가 등을 진행했다. 이에 따라 금융기관이 카카오클라우드를 도입하고자 할 때, 절차를 단축시킬 수 있다. 일례로 금융 관련 기업은 업무용 클라우드를 도입하기 위해 여러 CSP에게 개별적으로 자료를 요청하거나 매번 보안 요건을 비교할 필요 없이, 금융보안원이 제공하는 ‘CSP 안전성 평가 통합지원 시스템’을 통해 평가 자료를 받고 보안성 검토를 진행할 수 있다. 이재한 카카오엔터프라이즈 사업부문장은 “카카오클라우드가 금융보안원 CSP 안전성 평가를 우수한 성적으로 완료해 금융클라우드 시장을 공략하기 위한 발판을 마련했다”며 “클라우드 서비스 전 영역에 대한 CSP 안전성 평가가 완료된 만큼 카카오클라우드 고객에게 금융기관 수준의 높은 보안 서비스를 제공할 것”이라고 전했다. elikim@fnnews.com 김미희 기자

[파이낸셜뉴스] 우리금융캐피탈이 금융보안원으로부터 ‘대고객 전자금융서비스(웹·모바일)’ 부문에서 ‘정보보호 및 개인정보보호 관리체계(이하 ISMS-P) 인증’을 취득했다고 28일 밝혔다. ISMS-P 인증은 과학기술정보통신부와 개인정보보호위원회가 고시하는 국내 최고 수준의 정보보호 및 개인정보보호 관리체계에 대한 통합인증제도다. 해당 인증은 금융보안원의 기준에 맞춰 △관리체계 수립 및 운영(16개) △보호 대책 요구사항(64개) △개인정보 처리단계별 요구사항(22개) 등 총102개 인증기준에 대한 심사를 통과해야만 취득할 수 있다. 우리금융캐피탈은 앞서 지난 2020년 12월 우리금융그룹에 편입 후 금융지주 준법지원부 컨설팅을 통해 정보보호 및 개인정보보호의 중요성을 인식하고 ISMS-P 인증 준비에 돌입 한 것으로 알려졌다. 이번 우리금융캐피탈의 ISMS-P 인증 취득은 우리은행, 우리카드에 이어 3번째다. 우리금융캐피탈 준법감시부 관계자는 “ISMS-P 인증 취득으로 회사의 정보보호 및 개인정보보호 관리체계에 대한 안정성을 대내외적으로 인정받게 되었으며, 내부적으로는 관리수준을 한 단계 도약하는 발판을 마련했다”고 말했다. yesji@fnnews.com 김예지 기자

[파이낸셜뉴스]우리은행은 금융보안원과 공동 진행한 ‘제3회 모의해킹 경진대회’ 시상식을 개최했다고 15일 밝혔다. 이번 시상식에는 조병규 우리은행 은행장과 김철웅 금융보안원 원장을 비롯하여 우리콘 심사위원장을 맡은 박춘식 아주대 교수, 김휘강 고려대 교수 등이 참석했다. 우리콘 대회는 지난 8월 7일부터 11일까지 5일간 진행됐다. 각 지도교수 추천을 받은 22개팀 총 77명의 대학생·대학원생들이 화이트해커로 나서 열띤 경쟁을 펼친 이번 대회는 블랙 해커의 공격에 쉽게 노출될 수 있는 디지털뱅킹의 위험 요소를 찾아냄으로써 사이버위협에 선제적으로 대응하기 위한 취지로 마련되었다. 금융보안원 보안전문가, 화이트해커, 정보보호학과 교수진으로 구성된 심사위원들은 해킹 피해의 위험도와 영향도를 우선 고려해 각 팀의 결과물을 평가, 대상·최우수상·우수상·장려상 2개 팀 등 총 5개 팀을 우수팀으로 시상했다. 우수팀에 소속된 대학생 및 대학원생은 우리은행 디지털/IT 부문 및 금융보안원 입사 지원 시 서류심사에서 우대를 받게 된다. 조병규 우리은행장은 “사이버 위협이 점차 지능화·고도화되고 있어 이에 대비한 보안이 매우 중요한 과제로 떠올랐다”며 “앞으로도 사이버 위협에 선제적으로 대응하고 정보보호 우수인력 양성에도 지속적으로 힘쓸 것”이라고 밝혔다. eastcold@fnnews.com 김동찬 기자

[파이낸셜뉴스] 하나은행은 은행권 최초로 마이데이터 서비스 부문에서 금융보안원의 '국가공인 정보보호 및 개인정보보호 관리 체계 인증'을 획득했다고 30일 밝혔다. ISMS-P는 과학기술정보통신부와 개인정보보호위원회가 공동 고시하는 국내 최고 권위의 정보보호 및 개인정보보호 관리 체계 통합 인증 제도로 정보보호 관리 체계 영역의 80개 인증 기준과 개인정보보호 영역의 22개 인증 기준에 대해 금융보안원의 정밀한 심사를 통과해야 한다. 하나은행의 마이데이터 서비스 ‘하나 합’은 은행, 증권, 카드, 보험사 등에 분산된 손님의 금융거래 정보를 하나로 통합해 맞춤형 디지털 자산관리를 제공하는 서비스로 이번 ISMS-P 인증 취득을 통해 정보보호 및 개인정보보호 관리 체계 분야의 안정성까지 입증받아 손님에게 언제 어디서든 안심하고 이용할 수 있는 금융 서비스로써 객관적으로 검증 받게 됐다. 하나은행 정보보호부 관계자는 “이종업종간 마이데이터 사업의 선의의 경쟁과 협업이 필요한 시점에 은행권 최초의 ISMS-P인증을 획득함으로써 정보보호 및 개인정보보호 관리 체계의 안정성을 대내외적으로 입증하였다”며 “손님의 신뢰를 기반으로 초개인화된 금융 서비스를 지속 제공할 수 있도록 노력하겠다”고 말했다. 한편 하나은행은 이번 마이데이터 서비스 ISMS-P 인증 획득에 앞서 디지털 뱅킹 서비스 ISMS-P 인증과 글로벌 지역 센터에 대한 국내 최초의 국제 표준 인증 (ISO27001), 국제 표준 개인정보보호(ISO27701) 인증 등 금융권 최초로 디지털·글로벌· 개인정보보호 영역에서의 정보보호 관리체계의 우수성을 국내외적으로 인정받은 바 있다. seung@fnnews.com 이승연 기자

스노우플레이크가 금융보안원이 진행하는 클라우드 서비스 제공 업체(CSP)의 안전성 평가를 성공적으로 완료했다고 8일 밝혔다. 이로써 국내 금융기관, 핀테크 업체, 전자금융업자들은 자사 데이터 클라우드 플랫폼을 활용해 안전하게 데이터 인사이트를 활용할 수 있게 된다. 전자금융감독규정에 따라 국내 금융 관련 업체들은 상용 클라우드 컴퓨팅 서비스 이용 시 CSP 안전성 평가를 수행해야 한다. 금융보안원이 금융업체를 대표해 안전성 평가를 진행하는 것으로, 지난 3개월간 스노우플레이크 플랫폼에 대해 자가 점검 및 현장 평가 등을 수행했다. 스노우플레이크 코리아는 지난달 30일 클라우드 서비스 안전성 관련 응용사업자 40개 항목에 대해 최종 평가를 마치고 평가 보고서를 금융보안원에 제출했다. 이를 통해 금융보안원 회원사들은 스노우플레이크 데이터 클라우드 플랫폼의 안전성을 금융보안원 CSP 통합 지원 시스템에서 직접 확인할 수 있게 된다. 이를 계기로 스노우플레이크 코리아는 금융 산업에 집중할 계획이다. 자사의 대용량 데이터와 다수의 동시 사용자를 처리할 수 있는 확장성을 제공해 금융 업체들이 빠르고 효율적으로 데이터를 활용하고 생산성을 높일 수 있도록 한다. 또한 기업 내부의 트랜잭션 데이터 뿐만 아니라 외부 데이터까지 활용할 수 있어 데이터 경쟁력을 높일 수 있는 방안을 제시한다는 것이 회사 측 설명이다. 현재 미국 최대 은행인 JP모건체이스, 골드만삭스, 모건스탠리 등 글로벌 10대 투자 은행 중 70%는 스노우플레이크 플랫폼을 활용하고 있다. 또한 이들은 스탠다드앤푸어스(S&P) 글로벌, 팩트세트와 같은 시장조사기관의 금융 데이터도 활용하는 등 데이터의 복사나 이동 없이도 내·외부 데이터를 연결해 분석할 수 있는 기반을 제공하고 있다. 스노우플레이크 관계자는 "국내 금융 기업들도 안심하고 스노우플레이크 데이터 생태계를 활용해 기업 경쟁력을 높일 수 있도록 최적화된 서비스를 지속적으로 제공할 예정"이라고 말했다. solidkjy@fnnews.com 구자윤 기자