• 한국빅데이터학회지
• /
• 제4권2호
• /
• pp.47-59
• /
• 2019

최근 국내외에서 확산되고 있는 RPA(Robotic Process Automation) 솔루션은 사용자가 응용프로그램의 GUI(Graphic User Interface)에서 대상 업무를 간편하게 자동화 할 수 있어 국내 다수 금융회사에서도 동 솔루션을 적용하는 사례가 지속적으로 증가하고 있다. 하지만 금융기관이 반드시 준수해야 하는 주요 감독규제들은 기존 전통적인 SDLC(Software Development Life Cycle)를 기반으로 하고 있어 일반 사용자의 시스템 Interface 환경 단에서 자동화하는 RPA에 그대로 적용되기에는 어려움이 있었다. 이에 본 논문에서는 금융회사가 RPA를 도입함에 있어 고려되어야 하는 주요 감독규정들과 통제항목들을 정리하고 RPA를 도입한 24개 금융회사의 통제 적용현황을 조사하여 향후 관련 컴플라이언스의 개정 필요성을 제시해보고자 한다.

• 정보보호학회논문지
• /
• 제26권6호
• /
• pp.1513-1526
• /
• 2016

금융회사가 전자금융 서비스를 제공하기 시작하면서 전자금융 서비스는 다양화 되었고 전자금융 사용은 지속적으로 증가하고 있다. 이에 금융회사는 안전한 전자금융서비스를 제공하기 위하여 금융 보안정책을 적용하고 있으나 전자금융 사고는 계속해서 지능화되고 증가하고 있는 상황이다. 금융감독기관은 최근 인터넷 전문은행 등장과 핀테크 활성화와 더불어 비대면 실명확인 제도 신설 및 전자금융 거래를 통한 자금이체 시 공인인증서 또는 일회용비밀번호 의무사용 폐지 등의 규정을 개선하여 이용자의 편리함을 추구하는 동시에 금융회사에게는 이상금융거래 탐지 시스템 고도화 및 개선을 통한 불법이체 사고 방지를 권고하고 있다. 본 논문에서는 금융회사 제반 상황에 적합한 블랙리스트기반 자동화 탐지 기법을 제안하고 블랙리스트 정보를 레벨링하여 보안레벨에 따른 블랙리스트기반과 통계모델을 연동한 실시간 이상금융거래 탐지 기법을 제안하며, 기존 전자금융 사고유형 분석을 통한 특징적 패턴에 따른 실시간 이상금융거래 탐지기법의 대응 모델을 제안하고자 한다.

• 한국인터넷방송통신학회논문지
• /
• 제15권6호
• /
• pp.283-290
• /
• 2015

산업혁명 이후 지식 정보화 사회로 발전되면서 기업 내부 정보의 가치는 갈수록 증가하고 있다. 특히 금융회사는 대부분의 내부정보가 개인정보나 금융거래 정보를 포함하고 있어 내부정보의 유출은 단순히 해당 기업의 업무 정보 유출 차원을 넘어, 궁극적으로 고객의 신뢰를 존립 기반으로 하는 금융회사의 특성상 기업의 영업기반이 한순간에 무너질 수도 있는 리스크가 걸린 문제이기도 하다. 최근 내부 정보의 대량 유출 사고가 다수 기업에서 발생하면서 금융회사를 포함한 많은 기업에서 기업의 주요 전략적인 정보와 함께 고객정보의 유출 사고를 예방하기 위해 많은 노력을 기울이고 있다. 본 논문에서는 금융회사에서 발생한 내부 정보 유출 사례와 금융회사에 내부 정보 유출 통제를 위해 구축한 주요 보안 체계 및 내부정보 유출 통제에도 불구하고 잔존할 수 있는 PC보안 취약점에 대해 설명하고, 사이버 침해 위협이 증가로 인한 사용자 PC 보안위협 대응방안에 대해 제시한다.

• 융합보안논문지
• /
• 제21권1호
• /
• pp.101-106
• /
• 2021

금융회사는 금융정보를 보호하기 위해 정보보호 전략 및 계획을 수립하고 정보보호 관리체계 운영, 정보보호 시스템 구축 및 운영, 취약점 점검, 보안관제 등 다양한 정보보호 활동을 하고 있다. 본 논문에서는 금융회사에서 수행 중인 각종 정보보호 활동에 대한 가시성을 확보하고 통합 관리할 수 있는 금융회사를 위한 기업 정보보호 포털 시스템을 제시하고자 한다. 기업 정보보호 포털 시스템은 정보보호 부서의 활동을 시스템화하여 정보보호 활동이 정보보호 부서만의 활동이 아닌 최고경영자부터 임직원까지 참여할 수 있도록 통합된 환경을 제공한다. 이를 통해 최고경영진이 기업경영에 정보보호를 반영할 수 있는 정보보호 거버넌스로도 활용할 수 있다.

• 정보보호학회논문지
• /
• 제25권1호
• /
• pp.211-224
• /
• 2015

금융회사의 재해복구시스템은 관련 법과 규정에 따라 적정 수준 유지를 위해 많은 투자가 이루어져 왔고 매년 1회 이상의 훈련을 통해 그 적정성을 검증하고 있다. 그러나 2013년 3.20 사이버 공격 시 동시다발적인 대규모 PC(Personal Computer) 불능사태가 발생하였고 복구에 많은 시간이 소요되어 목표한 수준의 업무연속성을 유지할 수 없었다. 그 이유는 재해복구 영역 중 PC 복구의 중요성이 상대적으로 간과되었기 때문이다. 본 논문에서는 3.20 사이버 공격을 가정하여 금융회사의 대규모 단말PC를 비용 대비 효과적으로 복구할 수 있는 방안을 제시한다. 또한, 제시한 방안에 따라 대규모 단말PC의 동시 복구 시간을 측정하여 금융감독기관의 금융회사 재해 복구 권고시간인 3시간 내 업무연속성을 유지할 수 있는 단말PC의 동시 복구가 가능함을 검증한다. 유사한 규모와 형태로 단말PC를 운영 중인 금융회사들은 본 논문이 제시하는 방안을 참조하여 3.20 사이버 공격과 같은 재난 발생 시 효율적으로 대처할 수 있는 방안을 수립하고 적용할 수 있을 것으로 기대한다.

• 한국전자거래학회지
• /
• 제24권4호
• /
• pp.31-48
• /
• 2019

4차 산업혁명시대 흐름 속에서 살아남기 위해 기업들은 빅데이터, 인공지능, 사물인터넷 등 최신 기술을 활용한 개인화 서비스에 많은 관심과 노력을 기울이는 한편, 업무 효율성 및 전문성, 비용 절감 등의 이유로 개인정보 처리를 제3자에게 위탁하고 있다. 이러한 환경에서 위탁자는 수탁자에 대한 개인정보 안전성 확보를 위해 보다 효과적이고 합리적인 기준으로 수탁자를 점검할 필요가 있다. 본 연구는 금융회사와 수탁자를 대상으로 AHP 기법을 이용하여 『개인정보 안전성 확보조치 기준』 항목별 중요도와 우선순위를 도출하고, 금융회사와 수탁자 간의 중요도에 대한 인식 차이를 객관적으로 비교 분석하였다. 이를 바탕으로 금융회사 자체 점검과 수탁자 점검의 차이를 인식하고 목적에 맞는 가중치를 반영한 차별화된 점검기준을 적용할 수 있는 정책적 근거와 시사점을 제시한다.

• 재무관리논총
• /
• 제14권1호
• /
• pp.119-158
• /
• 2008

본 연구에서는 복합금융그룹의 부실위험을 그룹전체기반 측도로 측정하는 방법론을 비교하고 국내 복합금융그룹의 자료를 이용하여 실증분석한다. Joint Forum(2001a) 방법은 연결기준을 사용하여 그룹내 자본의 중복요소들을 상계한 후 필요자본 대비 자기자본비율을 구한다. 신BIS 규제자본 방법은 Vasicek(1987)의 점근적 단일위험 모형을 가정하여 자산의 전체기반 위험을 측정하고 연결기준을 사용하여 자본의 중복계상을 배제하여 측정한다. 개별 경제적 자본 방법은 개별 경제적 위험을 수준별로 합산하여 전체기반 경제적 자본을 빌딩블록 방식으로 합산한다. 경제적 자본 방법은 위험 측정시 겪게 되는 극단적 손실 문제와 결합분포의 비대칭성을 반영할 수 있는 방법을 측정시 포함시킬 수 있다. 국내 복합금융그룹의 자료를 이용하여 실증분석을 한 결과, 첫째, 개별 재무지표에서 복합금융그룹 소속회사들의 ROA, ROA 변동성 그리고 총자산 대비 자기자본비율이 우량한 것으로 나타났다. 특히 가장 비중이 큰 은행산업에서 위 개별 재무지표는 복합금융그룹 소속회사에서 우량하게 나타난다. 둘째, 그룹전체기반 위험자본 측도로서 필요자본 대비 자기자본 비율과 연결기준 BIS비율을 살펴본 결과 은행계열 금융그룹의 부실위험이 낮은 것으로 판단된다. 전체적으로 국내 복합금융그룹의 부실위험은 높지 않은 것으로 판단된다. 이상의 결과를 바탕으로 복합금융그룹에 대한 리스크상시감시방안에의 시사점을 살펴보면, 첫째, 복합금융그룹 소속 금융회사에 대한 리스크 평가시 그룹전체기반 부실위험평가를 반영하여 이를 측정할 필요가 있다. 둘째, 권역별로 통일된 리스크감시를 위해 권역별 자기자본규제의 형평성을 제고할 필요가 있다.

• 정보보호학회지
• /
• 제26권3호
• /
• pp.58-63
• /
• 2016

최근 금융IT를 대상으로 한 사이버 공격이 지속적으로 증가되고 있어 금융 정보와 관련된 개인정보유출 및 금융전산망의 마비에 대한 우려의 목소리가 커지고 있다. 이에 따라 금융위원회에서는 "금융전산 보안강화 종합대책"을 발표하며 금융IT에 대한 보안대책의 일환으로 금융전산망에 대한 분리를 의무화시켰다. 하지만, 망분리 정책 실시 이후 금융회사들은 업무 환경과 맞지 않은 일부 규정들로 주요 업무 처리에 대한 어려움을 호소하였다. 이에 금융위원회에서는 금융회사의 업무의 연속성과 투명성을 보장하기 위해 망분리 예외기준을 마련하였다. 본 논문에서는 금융권 망분리의 동향을 살펴보고 망분리 예외기준과 관련하여 신설 개정된 전자금융감독규정 및 전자금융감독규정 시행세칙에 대해 소개하고자 한다.

• 한국인터넷방송통신학회논문지
• /
• 제17권4호
• /
• pp.193-201
• /
• 2017

금융회사에서는 내부자에 의한 개인정보유출 방지 및 내부통제 강화를 위하여 출력물 보안, 인터넷 망 분리시스템, 고객정보분리보관, 개인정보 암호화, 개인정보검색, DLP(Data Loss Prevention), 출력물보안, 개인정보모니터링 시스템 등의 보안 솔루션을 도입 운영하고 있다. 아울러 금융회사는 금융 소비채널의 변화 및 금융상품의 패러다임 변화를 겪으며 무한경쟁시대로 진입하고 있다. 금융회사가 보유한 고객정보의 보안에 대한 필요성이 높아지고 있다. '2014년 1월 발생한 카드 3사 대량고객정보 유출 사고는 외주 직원 한 명이 주요 카드사의 고객 개인정보를 탈취하여 대출광고업자와 대출모집인에게 팔아 넘겨졌던 사례이다. 대형 보안사고가 발생한지 3년여의 시간이 흐른 지금도 IT 외주인력의 보안 위협은 여전하다. 정부 및 감독기관은 '금융분야 개인정보 유출 재발방지 종합대책' 이행 점검 및 개인정보유출에 대한 금융회사 제재수준 강화를 진행하고 있다. 본 논문은 금융회사 대형 IT프로젝트 추진 시에 외주직원에 대한 보안정책 적용 사례 분석을 통해 IT프로젝트 성공 및 효율적인 보안 준수를 위한 정책 설정을 연구함으로서 대형 IT프로젝트의 성공과 외주인력의 보안사고 위험도를 최소화할 수 있는 방안을 사례를 통해 제시해 보고자 한다.

• 정보보호학회논문지
• /
• 제28권6호
• /
• pp.1475-1487
• /
• 2018

금융 회사 전자금융 거래 시 송금인이 수취인에게 자금을 이체할 경우 송금인은 출금 계좌 번호와 출금 금액 그리고 금융 회사에 사전 등록한 비밀번호 또는 금융 회사가 사전에 배부한 인증 매체에서 제공하는 정보 등 이용자 인증 정보를 입력하여 계좌 이체를 수행한다. 그러나, 현재 이러한 금융 회사와 송금인간 발생하는 이용자 인증 중심의 단방향 거래는 착오 송금 또는 보이스피싱 사기 거래 등 사고 위험에 노출되어 있다. 따라서, 본 연구에서는 송금인과 금융회사 이외 수취인과도 자금 이체 거래 시 거래 내용을 공유하여 수취인이 확인 후 응답하면 이체가 성립될 수 있도록 상호합의가 가능한 온라인 전자금융 2-WAY 거래인증 모델을 제안한다 기존 단방향 전자금융 거래 이체 방법을 양방향 거래 방법으로 개선하여 착오 송금, 보이스피싱 사기 예방 이외 대여금 거래, 계약 거래 등 다양한 용도로 활용하여 금융 회사 계좌이체 거래 이용자의 불편 감소 및 편리성 강화와 금융 회사의 P2P거래 활성화 등의 기대효과를 창출하고자 한다.