금융보안원 디지털자산보안팀 신설...팀장은 화이트해커 출신
신기술 기반 금융 환경 보안 선제 대응
[보안뉴스 조재호 기자] 금융보안원은 5월말 디지털자산 전담 조직을 신설했다. 팀장은 유명 화이트해커 김현민씨가 맡았다. 금융당국의 디지털자산 관련 정책을 지원하고, 가상자산거래소의 보안 수준 향상을 위한 조치다.
김현민 금보원 디지털자산보안팀장은 다수의 취약점 분석평가 및 모의해킹 실적을 지녔고, 전문 서적도 집필한 최정예 화이트해커다. 국내 해커그룹 널루트(Null@Root) 소속으로 데프콘애 출전했고, 네이버 카페 secuholic 운영, BoB 컨설팅 트랙 멘토 등 활발한 외부 활동을 펼치고 있다.
그는 최근 금보원 여의도 사무소에서 <보안뉴스>와 인터뷰를 갖고 “보안 기술이 제대로 작동하려면 사람의 인식과 제도의 뒷받침이 따라야 한다. 사람·제도·기술이 유기적으로 연결돼야 진짜 보안이 작동한다”며 “디지털자산보안팀은 전통 금융과 디지털자산의 교차점에서 금융의 본질인 ‘신뢰’를 지키고자 한다”고 말했다.
김현민 금융보안원 디지털자산보안팀장 [자료: 보안뉴스]
가상자산거래소 보안 제고와 금융권 안착 목표
디지털자산이 제도권에 편입되기 시작하면서, 기존 금융 보안 체계와 다른 새로운 기술과 위협이 등장하고 있다. 시장이 커지는 만큼 가상자산을 노리는 공격도 다양해지면서 전담 조직의 필요성을 느끼고 팀 신설까지 이어졌다는 설명이다.
디지털자산보안팀은 블록체인 기반 가상자산과 토큰증권(STO), 스테이블코인, CBDC 등 신기술 기반 금융 환경에서 발생하는 보안 이슈에 선제 대응하고 기술을 지원한다. 업권 전반의 보안 업무를 책임지는 만큼 악성코드 분석이나 포렌식, 모의 해킹 전문가 등 다양한 분야 실무 전문가들이 모였다.
김 팀장은 “새로 회원사로 합류한 가상자산 거래소의 보안 수준을 높이고, 디지털자산 연관 위협분석 및 대응 체계 등 다양한 측면에서 디지털자산의 금융권 안착을 지원할 예정”이라고 말했다.
보안의 본질은 ‘사람’과 ‘신뢰’ 지키는 것
김 팀장은 15년 가까이 금융권 레드팀에서 활동한 화이트해커 출신이다. 다양한 해킹 대회 수상과 전문 서적 집필, 버그바운티 참여 등을 통해 기술력을 쌓아왔다. 수많은 시스템 모의해킹 경험을 통해 공격자 전술과 침해 시나리오에 대한 깊은 이해도 갖췄다. 그는 금융의 본질은 ‘신뢰’에 있으며, 디지털자산도 금융권에 성공적으로 안착하기 위해서는 신뢰도 확보가 가장 중요하다고 강조했다.
보안은 기술이나 정책만으로 완성될 수 없으며, 사람과 제도, 기술이라는 세 가지 요소가 유기적으로 맞물려야 한다는 것이 김 팀장의 견해다. 특히 이 모든 것을 움직이는 핵심은 ‘사람’이기에, 사람이 가장 중요한 보안 자산이라는 철학을 지녔다.
이러한 맥락에서 김 팀장은 “보안 분야에서 일하는 것이 멋지고, 안정적이며, 의미 있는 커리어가 될 수 있도록 정부가 보안 인재에 대한 사회적 지위를 높이고 더 많은 기회를 제공하는 일관된 정책을 펼쳐 인재들이 자연스럽게 유입될 수 있는 환경을 만들어야 한다”고 제언했다.
디지털자산, 새로운 기술적 구조 지닌 생태계로 바라봐야
김 팀장은 “디지털자산은 단순히 새로운 금융상품이 아니라, 기존 시스템과 다른 기술적 구조를 가진 하나의 생태계로 봐야 한다”며 “대표적 예로 한 번 전송된 자산은 되돌릴 수 없고, 해킹이나 실수로 자산이 유출되면 복구가 매우 어려운 ‘비가역성’을 들 수 있다”고 말했다.
이런 특성과 더불어 해킹 피해가 발생하면 피해 규모가 수천억원에서 수조원까지 발생하기에 철저한 ‘사전 예방’ 중심의 보안 설계가 무엇보다 중요하며, 기술적 대응뿐만 아니라 법적·제도적 보호장치가 함께 마련되어야 한다고 설명했다.
국내 가상자산 거래소들은 ISMS 인증을 기반으로 한 보안 체계를 갖추고 있고, 대형 거래소는 자체적으로도 상당한 보안 투자를 진행하고 있다. 아직 해외와 같은 대규모 사건이 발생하진 않았지만, 방심해선 안 된다는 것이 김 팀장의 입장이다. 언제든 공급망 공격이나 제로데이, 내부자 위협 등 개별 기업이 단독으로 대응하기 어려운 영역의 위협이 다가올 수 있기 때문이다.
이에 금보원은 금융권에서 쌓아온 기술적 노하우와 위협 인텔리전스를 활용해 사각지대를 보완하고, 거래소마다 자율적으로 보안을 강화할 수 있도록 지원할 계획이다. 김 팀장은 “최근 바이비트나 코인베이스 등의 해킹 사건을 보면 기술적 취약점보다 보안 내재화가 더 큰 문제였다”며 이들 사건을 사회공학적 해킹으로 규정했다.
보안은 더이상 IT나 보안 부서만의 일이 아닌 전체의 문제, 새로운 보안 패러다임 ‘사이버 복원력’
최근 국내외 해킹 사건들은 기술적 취약점보다 신뢰하는 경로를 악용한 ‘사회공학적 해킹’의 특징을 보인다는 해석이다. 시스템과 사람의 습관, 안일함에서 비롯된 헛점을 공격하는 것이다.
따라서 이제는 ‘막아야 한다’는 생각에서 벗어나 ‘침투될 수 있다’는 것을 전제로 보안 패러다임의 전환이 필요하다는 이야기다. 침투를 전제로 한 복원력 중심의 보안 전략, 탐지-차단-회복이 통합된 대응 체계가 필요한 시점이라는 진단이다.
김 팀장은 “최근 위기들이 오히려 보안의 중요성을 인식하고 전반적 수준을 한 단계 높일 기회가 될 수 있다”며 “업계 종사자들이 자부심을 느끼고 함께 노력할 수 있는 환경과 지원에 대해 논의해볼 시점”이라고 전했다.
또 보안은 거추장스러운 것이 아닌 필수적인 요소라는 점을 재차 인식하고, 충분한 설명과 함께 사용자 중심의 보안 설계가 함께할 때, 보안은 강요가 아닌 선택이 될 수 있고, 궁극적으로 일상의 일부가 될 수 있다고 조언했다. 사회적 공감대가 마련되고 있는 만큼, 보안이 귀찮지 않고 서비스로 느껴질 수 있는 편의성을 확보하는 것이 경쟁력이 될 수 있는 조언이다.
[조재호 기자(sw@boannews.com)]
신기술 기반 금융 환경 보안 선제 대응
[보안뉴스 조재호 기자] 금융보안원은 5월말 디지털자산 전담 조직을 신설했다. 팀장은 유명 화이트해커 김현민씨가 맡았다. 금융당국의 디지털자산 관련 정책을 지원하고, 가상자산거래소의 보안 수준 향상을 위한 조치다.
김현민 금보원 디지털자산보안팀장은 다수의 취약점 분석평가 및 모의해킹 실적을 지녔고, 전문 서적도 집필한 최정예 화이트해커다. 국내 해커그룹 널루트(Null@Root) 소속으로 데프콘애 출전했고, 네이버 카페 secuholic 운영, BoB 컨설팅 트랙 멘토 등 활발한 외부 활동을 펼치고 있다.
그는 최근 금보원 여의도 사무소에서 <보안뉴스>와 인터뷰를 갖고 “보안 기술이 제대로 작동하려면 사람의 인식과 제도의 뒷받침이 따라야 한다. 사람·제도·기술이 유기적으로 연결돼야 진짜 보안이 작동한다”며 “디지털자산보안팀은 전통 금융과 디지털자산의 교차점에서 금융의 본질인 ‘신뢰’를 지키고자 한다”고 말했다.
김현민 금융보안원 디지털자산보안팀장 [자료: 보안뉴스]
가상자산거래소 보안 제고와 금융권 안착 목표
디지털자산이 제도권에 편입되기 시작하면서, 기존 금융 보안 체계와 다른 새로운 기술과 위협이 등장하고 있다. 시장이 커지는 만큼 가상자산을 노리는 공격도 다양해지면서 전담 조직의 필요성을 느끼고 팀 신설까지 이어졌다는 설명이다.
디지털자산보안팀은 블록체인 기반 가상자산과 토큰증권(STO), 스테이블코인, CBDC 등 신기술 기반 금융 환경에서 발생하는 보안 이슈에 선제 대응하고 기술을 지원한다. 업권 전반의 보안 업무를 책임지는 만큼 악성코드 분석이나 포렌식, 모의 해킹 전문가 등 다양한 분야 실무 전문가들이 모였다.
김 팀장은 “새로 회원사로 합류한 가상자산 거래소의 보안 수준을 높이고, 디지털자산 연관 위협분석 및 대응 체계 등 다양한 측면에서 디지털자산의 금융권 안착을 지원할 예정”이라고 말했다.
보안의 본질은 ‘사람’과 ‘신뢰’ 지키는 것
김 팀장은 15년 가까이 금융권 레드팀에서 활동한 화이트해커 출신이다. 다양한 해킹 대회 수상과 전문 서적 집필, 버그바운티 참여 등을 통해 기술력을 쌓아왔다. 수많은 시스템 모의해킹 경험을 통해 공격자 전술과 침해 시나리오에 대한 깊은 이해도 갖췄다. 그는 금융의 본질은 ‘신뢰’에 있으며, 디지털자산도 금융권에 성공적으로 안착하기 위해서는 신뢰도 확보가 가장 중요하다고 강조했다.
보안은 기술이나 정책만으로 완성될 수 없으며, 사람과 제도, 기술이라는 세 가지 요소가 유기적으로 맞물려야 한다는 것이 김 팀장의 견해다. 특히 이 모든 것을 움직이는 핵심은 ‘사람’이기에, 사람이 가장 중요한 보안 자산이라는 철학을 지녔다.
이러한 맥락에서 김 팀장은 “보안 분야에서 일하는 것이 멋지고, 안정적이며, 의미 있는 커리어가 될 수 있도록 정부가 보안 인재에 대한 사회적 지위를 높이고 더 많은 기회를 제공하는 일관된 정책을 펼쳐 인재들이 자연스럽게 유입될 수 있는 환경을 만들어야 한다”고 제언했다.
디지털자산, 새로운 기술적 구조 지닌 생태계로 바라봐야
김 팀장은 “디지털자산은 단순히 새로운 금융상품이 아니라, 기존 시스템과 다른 기술적 구조를 가진 하나의 생태계로 봐야 한다”며 “대표적 예로 한 번 전송된 자산은 되돌릴 수 없고, 해킹이나 실수로 자산이 유출되면 복구가 매우 어려운 ‘비가역성’을 들 수 있다”고 말했다.
이런 특성과 더불어 해킹 피해가 발생하면 피해 규모가 수천억원에서 수조원까지 발생하기에 철저한 ‘사전 예방’ 중심의 보안 설계가 무엇보다 중요하며, 기술적 대응뿐만 아니라 법적·제도적 보호장치가 함께 마련되어야 한다고 설명했다.
국내 가상자산 거래소들은 ISMS 인증을 기반으로 한 보안 체계를 갖추고 있고, 대형 거래소는 자체적으로도 상당한 보안 투자를 진행하고 있다. 아직 해외와 같은 대규모 사건이 발생하진 않았지만, 방심해선 안 된다는 것이 김 팀장의 입장이다. 언제든 공급망 공격이나 제로데이, 내부자 위협 등 개별 기업이 단독으로 대응하기 어려운 영역의 위협이 다가올 수 있기 때문이다.
이에 금보원은 금융권에서 쌓아온 기술적 노하우와 위협 인텔리전스를 활용해 사각지대를 보완하고, 거래소마다 자율적으로 보안을 강화할 수 있도록 지원할 계획이다. 김 팀장은 “최근 바이비트나 코인베이스 등의 해킹 사건을 보면 기술적 취약점보다 보안 내재화가 더 큰 문제였다”며 이들 사건을 사회공학적 해킹으로 규정했다.
보안은 더이상 IT나 보안 부서만의 일이 아닌 전체의 문제, 새로운 보안 패러다임 ‘사이버 복원력’
최근 국내외 해킹 사건들은 기술적 취약점보다 신뢰하는 경로를 악용한 ‘사회공학적 해킹’의 특징을 보인다는 해석이다. 시스템과 사람의 습관, 안일함에서 비롯된 헛점을 공격하는 것이다.
따라서 이제는 ‘막아야 한다’는 생각에서 벗어나 ‘침투될 수 있다’는 것을 전제로 보안 패러다임의 전환이 필요하다는 이야기다. 침투를 전제로 한 복원력 중심의 보안 전략, 탐지-차단-회복이 통합된 대응 체계가 필요한 시점이라는 진단이다.
김 팀장은 “최근 위기들이 오히려 보안의 중요성을 인식하고 전반적 수준을 한 단계 높일 기회가 될 수 있다”며 “업계 종사자들이 자부심을 느끼고 함께 노력할 수 있는 환경과 지원에 대해 논의해볼 시점”이라고 전했다.
또 보안은 거추장스러운 것이 아닌 필수적인 요소라는 점을 재차 인식하고, 충분한 설명과 함께 사용자 중심의 보안 설계가 함께할 때, 보안은 강요가 아닌 선택이 될 수 있고, 궁극적으로 일상의 일부가 될 수 있다고 조언했다. 사회적 공감대가 마련되고 있는 만큼, 보안이 귀찮지 않고 서비스로 느껴질 수 있는 편의성을 확보하는 것이 경쟁력이 될 수 있는 조언이다.
[조재호 기자(sw@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
 TH.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
