FDS홍보2019. 7. 10. 22:11

FDS 룰 공유 및 연구반 운영

금융보안원은 각 권역별 금융회사 FDS 담당자님들과 FDS 룰 공유 및 연구반을 운영하고 있습니다. 새로운 Fraud에 대해 트렌드를 공유하고 FDS에서 탐지할 수 있는 방법을 논의하고 고민하는 자리입니다.

Posted by Theo Kim
카테고리 없음2019. 4. 2. 13:38

인터넷전문은행의 IT시스템 구축이 본격화됐습니다. 은행은 전통산업이지만, IT시스템의 도움 없이는 존재할 수 없는 산업입니다. IT는 은행에서 가장 중요하고, 비용도 많이 들어가는 핵심 분야라고 볼 수 있습니다.

국내 최초로 인터넷전문은행 예비인가를 받은 K뱅크와 카카오뱅크도 예외가 아닙니다. 이들은 특히나 오프라인에 기반을 두지 않은 인터넷전문은행이기 때문에 IT시스템의 중요도는 기존 은행보다 몇 배 클 것입니다. 이 때문에 두 인터넷전문은행이 어떤 IT환경을 선택할지 업계의 많은 관심을 받았습니다.

그리고 최근 본격적으로 IT시스템 구축 프로세스를 밟기 시작했습니다. 두 인터넷전문은행이 선택한 IT환경을 비교해 볼까요?

서버 : 검증 택한 K뱅크, 도전 택한 카카오뱅크

일단 가장 기본적이라고 볼 수 있는 서버 컴퓨터와 운영체제가 서로 엇갈렸네요. K뱅크는 유닉스 기반으로 시스템을 구축하기로 했고, 카카오뱅크는 리눅스 기반으로 개발할 예정입니다. 이는 K뱅크의 경우 IBM, HP 등이 공급하는 중대형 컴퓨터 위에서 시스템을 돌리고, 카카오뱅크는 X86 프로세서를 탑재한 범용 서버를 연결해서 IT환경을 만든다는 이야기입니다.
  
유닉스 시스템은 상대적으로 안정적인 반면 비싸고 개방성에 제한이 있다는 단점이 있습니다. 리눅스 시스템은 시스템 자체의 안정성 면에서 아직은 약간 의구심이 있기 때문에 여러 컴퓨터를 서로 보완하는 형태로 구축될 전망입니다.

카카오뱅크는 리눅스와 X86시스템 조합을 선택

기존 국내 은행은 대부분 유닉스 기반으로 거래가 진행됩니다. 아직 리눅스 기반으로 계정계(고객의 거래처리를 위한 핵심시스템)를 운영하는 기업은 국내에 없습니다. 카카오뱅크가 사업을 시작하게 되면 최초의 사례로 역사에 남을 것입니다.

이런 점에서 K뱅크는 검증된 안전한 길을 선택한 반면, K뱅크는 리스크를 다소 감수하더라도 더 유연성 있고 비용효율적인 길을 나섰다고 볼 수 있겠습니다.

코어뱅킹 : 국산 SW 선택한 K뱅크, 기존 혁신을 구매한 카카오뱅크

이번에는 두 인터넷전문은행의 코어뱅킹 솔루션을 살펴보죠. 코어뱅킹(core banking)은 금융기관이 고객과 거래하는 여수신 및 외환시스템 처리 ‘계정계’용 IT시스템을 말합니다. 은행이 차세대 프로젝트를 통해 새로운 IT시스템을 구축한다는 말이 곧, 코어뱅킹을 교체한다는 말을 의미한다고 볼 수 있을 정도로 핵심 중의 핵심 소프트웨어라고 볼 수 있습니다.

코어뱅킹 솔루션도 두 회사는 다른 전략을 선택했습니다.

이번에는 K뱅크가 다소 모험적인 선택을 했습니다. K뱅크는 뱅크웨어글로벌이라는 국내 중소 소프트웨어 업체의 코어뱅킹 솔루션을 탑재하게 됩니다.

logo기존 은행들은 일반적으로 글로벌 소프트웨어 기업의 코어뱅킹 솔루션을 고가에 구매하거나, 금융 프레임워크 기반으로 자체 개발하기 때문에 국내 중소 소프트웨어 기업의 코어뱅킹 솔루션을 구매한다는 것은 적지 않은 의미가 있습니다.

물론 뱅크웨어글로벌의 코어뱅킹 솔루션은 알리바바의 인터넷전문은행인 마이뱅크가 사용하고 알리페이에도 적용돼 이미 검증된 소프트웨어입니다.

카카오뱅크는 매우 색다른 전략을 택했습니다. 전북은행의 IT환경을 그대로 이식하기로 한 것입니다. 전북은행 차세대시스템 구축 프로젝트는 2012년 2월에 시작해 20개월 동안 진행된 사업으로, 그 당시에 매우 혁신적이라는 평을 받았습니다.

unnamed카카오뱅크는 올해 안에 프로젝트를 마무리해야 하기 때문에 20개월을 투자할 수 없습니다. 전북은행이 개발해 놓은 혁신적인 시스템을 그대로 구매해서 이식하면 시스템 구축 시간을 훨씬 단축할 수 있을 것이라는 판단으로 보입니다. 앞서 광주은행도 전북은행의 IT시스템을 이식해 단시간에 차세대 프로젝트를 마무리한 바 있습니다.

계정계 DBMS : 역시 오라클을 벗어날 수 없었다

K뱅크와 카카오뱅크 IT시스템의 공통점도 적지 않습니다. IT시스템을 구축할 때 가장 중요한 소프트웨어인 데이터베이스관리시스템(DBMS)은 두 은행 모두 오라클 DB를 선택했습니다.

한 때 인터넷전문은행은 계정계 DB로 국산 DB나 오픈소스 DB를 도입할 수도 있다는 소문이 돌기도 했지만, 역시 계정계에 국산이나 오픈소스 DB를 사용하는 것은 아직 지나치게 모험적이라는 판단을 한 듯 보입니다.

Oracle-12c-pluggable-database오라클은 매우 비싸지만 성능과 안정성 면에서 이미 검증된 소프트웨어죠. 몇몇 예외적인 경우를 제외하면 국내 거의 모든 은행은 오라클로 계정계 DB를 운영 중입니다.

오라클은 비싼 가격과 높은 유지보수요율 때문에 기업들로부터 원성을 많이 듣는 회사인데요, 제품의 품질이 월등하다 보니 어쩔 수 없이 ‘미워도 다시 한 번 오라클’이라는 결론이 나왔습니다.

다만 계정계가 아닌 다른 시스템은 오픈소스 DB 등 다른 대안 소프트웨어가 들어갈 예정입니다.

개발언어 : 인터넷전문은행 자바 전성시대

두 회사 모두 자바를 개발언어로 선택했다는 점도 눈길을 끕니다. 자바는 기업용 애플리케이션을 개발할 때 매우 많이 사용되는 언어이지만, 금융권에서의 활용도는 높지 않았습니다.

Java_logo기존 은행의 IT시스템은 주로 코볼이나 C언로 개발돼 있습니다. 메인프레임에서 주로 코볼로 애플리케이션을 개발했고, 유닉스로 옮겨오면서 그 애플리케이션을 그대로 다운사이징 했기 때문입니다.

K뱅크가 자바를 쓸 수밖에 없는 것은 뱅크웨어글로벌의 코어뱅킹 솔루션이 자바로 개발됐기 때문이고, 카카오뱅크는 전북은행 IT환경이 자바이기 때문에 자바를 선택할 수밖에 없습니다. 전북은행은 국내 최초로 코어뱅킹 시스템에 자바를 도입해 주목을 받았었습니다.

자바로 개발하는 것은 개발인력 수급에 어려움이 있을 수도 있습니다. 국내에 자바 개발자는 넘쳐 나지만, 은행 계정계 시스템 개발 경험이 있는 자바 개발자는 많지 않기 때문이죠.

전북은행 차세대 시스템 구축 사업 주 사업자였던 LG CNS는 당시 자바 개발자 부족 문제를 해결하기 위해  ‘모델 주도형 아키텍처’라는 방식을 도입했습니다. 개발자가 직접 소스코드를 쓰는 것이 아니라 로직을 만들면 자동으로 소스코드가 작성되는 방식입니다.

K뱅크와 카카오뱅크에는 시간이 별로 없습니다. 본인가를 받기 위해서는 IT시스템을 미리 구축해 놔야 하기 때문입니다. 국회 상황에 따라 달라질 수 있지만, 정부는 하반기 인터넷전문은행 본인가를 내겠다는 계획입니다. 그렇다면 IT시스템 구축이 그 전에 끝나야 합니다.

두 회사가 패키지 코어뱅킹 솔루션을 도입하거나 전북은행 IT환경을 이식하려는 이유도 여기에 있습니다. 프로젝트 기간을 최대한 줄여야 하기 때문입니다. 보통 은행 차세대 프로젝트는 1년 6개월 이상 소요됩니다. 과연 두 은행이 정부의 일정에 맞춰 시스템을 구축할 수 있을지 궁금해집니다.

 

출처 : https://byline.network/2016/04/1-116/

Posted by Theo Kim
카테고리 없음2019. 4. 2. 09:13

[보안뉴스=법무법인 선우 손태진 변호사] 29일부터 개인정보보호가 한층 강화된 정통망법 개정안이 시행되면서 기업의 부담이 가중되고 있다. 정부에서 강제하는 규정을 따르기 위해서는 새로운 솔루션을 도입해야 하고, 규제강화로 개인정보 취급에 있어서도 상당한 주의가 요구되고 있다.

기업에서 새로운 부가가치를 창출하기 위해서는 개인정보의 수집 가공을 통한 개인정보의 활발한 활용이 필요하지만, 개인정보가 한번 유출되고 나면 변경이 거의 불가능해 피해회복을 할 방법이 없다. 이를 취급한 기업도 상당한 처벌이 따른다. 여기서 살펴보고자 하는 부분은 어디까지 개인정보로 볼 것인지 여부다. 과거의 판례를 기준으로 이를 살펴보고, 어떻게 관리할지에 대한 방안을 마련하는 것이 필요하다.

일신전속적인 개인정보는 그 변경이 거의 불가능해 침해발생시 피해회복이 힘들다는 점에서 본질적으로 활용이 제한될 수밖에 없다. 이에 개인정보에 관한 법률들은 그 활용방안을 규정하면서도 활용자에게 개인정보의 보호의무를 부과하고 유출에 책임이 있는 경우, 민사적 책임(손해배상 책임), 형사적 책임, 행정적 책임(시정명령, 과징금, 과태료 등)을 부과하고 있다.

이런 상황에서 정보활용이 필요한 자들로서는 과연 어떤 정보가 ‘개인정보’인지 여부를 명확히 인식해야만 개인정보 활용시 발생할 수 있는 여러 법적 규제를 사전에 준수하고 그로 인한 법적 책임을 피해갈 수 있을 것이다.

‘개인정보’에 관한 법률 규정 및 판례에 의하면, 개인정보의 개념요소는 크게 생존하는(살아 있는) 개인에 관한 정보로서 성명, 주민등록번호 등을 통해 (특정한)개인을 알아볼 수 있는 부호·문자·음성·음향 및 영상 등의 정보로 나뉜다. 또한, 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합해 특정 개인을 알아볼 수 있는 정보도 포함한다. 법원에서는 이 같은 정보의 유출사고를 어떻게 판단했을지 몇 가지 사안에 대해서 살펴본다.

어디까지 개인정보인가

ID/PW 만으로 개인정보로 볼 수 있을까?
온라인 게임서비스 제공업체인 엔씨소프트가 게임 서버의 업데이트 과정에서 실수로 일부 이용자의 아이디와 비밀번호 등이 로그파일로 기록되는 사고가 난 사안에서 법원에서는 이용자의 아이디와 비밀번호는 당연히 개인정보에 해당한다는 전제에서 별도의 판단을 하지는 않았다(서울고등법원 2006나12182).

이메일 주소만 유출...개인정보 유출인가?
은행담당자가 특정 유형의 금융상품 가입고객에게 이메일을 발송하면서 실수로 해당 금융상품에 가입한 고객의 성명, 주민등록번호, 이메일 주소 등의 정보를 첨부파일로 발송해 이메일을 수령한 고객들이 다른 고객들의 정보를 알 수 있게 한 사건에서 법원은 이메일 주소만으로는 특정 개인을 알아볼 수 없지만 다른 정보와 결합할 경우 특정인에 대한 추정이 가능해 개인정보로 판단했다(서울중앙지법 2007.2.8. 선고 2006가합33062,53332 판결).

특정한 상황에서만 확인 가능한 IMEI 및 USIM 일련번호는?
스마트폰 어플리케이션 개발업체가 사용자의 동의 없이 단말기의 고유한 식별자인 IMEI 및 USIM 일련번호의 조합정보를 전송해 서버에 저장토록 하는 ‘증권통’이라는 증권정보제공 어플리케이션이 문제된 사안에서 법원은 기계적인 정보라도 특정 개인에게 부여됐음이 객관적으로 명백하고, 이러한 정보를 통해 개인이 식별될 가능성이 크다면 이를 개인정보로 봐야 한다고 판단했다.

이들 정보가 개인의 소유로 귀속되기 전까지는 기기나 특정 카드에 부여된 고유번호이지만 어느 개인이 소유하는 순간부터 이들 번호는 ‘기기나 특정카드에 부여된 고유번호’라는 의미 이외에 특정 개인이 소유하는 휴대폰의 기기번호 및 USIM카드의 일련번호’라는 의미를 함께 지니게 된다는 것이다(서울중앙지방법원 2011. 2. 23. 선고 2010고단5343 판결).

휴대전화 뒷번호만 공개했다면 개인정보 침해일까?
경찰로부터 도박현장을 단속 당한 피고인이 경찰에 신고자를 알려달라는 부탁에 휴대전화 뒷자리 4자리를 알려줬는데 이를 통해 신고자가 누구인지 알 수 있었다. 이에 대해 법원은 휴대전화 사용이 보편화되면서 휴대번호 뒷자리 4개 숫자에 생일이나 기념일 등의 일정한 의미나 패턴을 담는 경우가 많고 집 전화번호의 뒷자리와 일치시키는 경우, 한 가족이 동일한 휴대전화번호 뒷자리 4자를 사용하는 경우도 적지 않다는 점, 그리고 휴대번호 뒷자리에 그 전화번호 사용자의 정체성이 담기는 현상이 점점 심화되고 있다는 점을 들어 개인정보로 판단했다.

특히 전화번호 사용자와 일정한 인적관계를 맺어온 사람이라면 특정한 개인을 파악할 수 있는 가능성이 높으며, 휴대번호 뒷자리 4자만으로는 그 전화번호 사용자를 식별하지 못한다 하더라도 뒷자리 번호 4자와 관련성이 있는 생일, 기념일, 집 전화번호, 가족 전화번호, 기존 통화내역 등을 통해 사용자가 누구인지 알아볼 수 있다는 것이 그 이유다(대전지방법원 논산지원 2013고단17판결).

정보 활용자가 바라보는 ‘개인정보’의 개념
앞서 본 바와 같이 ‘개인정보’ 정의에 관한 법률 문구들은 개별 판례를 통해 해석되고 있으나, 문언 자체가 매우 구체적이지 않고 보는 관점에 따라 여러 의미로 해석될 수도 있다는 문제도 있다.

개인정보 정의에 관한 법률의 규정 중 ‘특정한 개인을 알아볼 수 있다’고 할 때 특정한 개인을 ‘알아보는 것’이 이미 특정한 개인을 알고 있었던 사람을 기준으로 판단해야 하는지, 아니면 특정한 개인을 전혀 모르는 제3자를 기준으로 판단해야 하는지에 따라 해석이 충분히 달라질 수 있다. 또한, 다른 정보와 쉽게 결합한다는 점에서 ‘다른 정보’는 누구나 알 수 있는 정보인지, 아니면 행위자가 현재 취득한 정보만을 의미하는지, 적법하게 취득가능한 모든 정보만을 의미하는지에 대한 해석도 다를 수 있다.

이런 애매함은 학자들이나 수많은 법원 판결을 통해 언젠가는 해결되겠지만 정보 활용자는 그때까지 마냥 기다릴 수는 없는 상황이다. 불확실한 상황에서 정보 활용자가 자신의 법적 위험을 피하기 위해서 어떻게 해야 할까? 최소한 개인에 관련된 정보라면 그것이 ‘개인정보’로서 법적 규제의 대상일 수 있다는 ‘보수적’인 관점이 필요하다.

이를 위해 정보 활용자는 개인과 관련된 정보는 개인정보일 수 있다는 의심을 품고, 현재 자신이 활용하고 있는 정보가 과연 ‘개인정보’로 판단된 사례가 있는지, 어떻게 해석되고 있는지 적극 살펴봐야 한다.

Posted by Theo Kim