스마트폰의 보안 취약성을 악용한 전자금융사기가 활개를 치면서 모바일 전자금융거래 안전성 확보가 무엇보다 중요한 원칙이 되고 있다. 이에 따라 전자금융서비스를 제공할 때에는 애플리케이션 설계 단계에서부터 보안을 고려해야 하며, 전체 서비스 라이프사이클에 맞춘 보안 기술과 전략이 필요하다.
금융보안연구원(원장 김영린)은 이와 같은 내용이 담긴 ‘스마트폰 전자금융서비스 보안 가이드’를 발간하고 8일 회원사와 관계기관에 배포했다.
이 가이드는 스마트폰 전자금융서비스의 안전성 확보를 위한 금융회사의 자율적 보안노력을 지원하기 위한 것이다. 스마트폰을 이용한 전자금융서비스의 발전과 함께 금융 거래정보 탈취 및 변조 등 보안위협이 증가함에 따라 금융회사의 보안강화 방안 마련 및 대응 기술 개발시 참고할 수 있도록 했다.
2010년 12월 발간한 ‘금융부문 스마트폰 보안 가이드’를 토대로 스마트폰 기반 전자금융서비스 관련 보안원칙을 준수하기 위한 각종 가이드, 매뉴얼, 국제표준 등의 보안 기술 정보 등이 추가됐다.
가이드에서는 스마트폰 전자금융서비스의 안전성 확보를 위한 보안사항에 대해 금융 앱 설계 및 개발 단계, 서비스 제공 단계, 시스템 및 관리 단계 등에서 12가지 보안 원칙을 제시했다.
우선 애플리케이션 설계·개발 단계에서는 스마트폰 애플리케이션 생명주기를 기반으로 ▲안전한 앱 구현 ▲보안 기능 적용 ▲앱 보안성 확인 ▲안전한 앱 배포 ▲앱 업데이트 관리 등에 대해 5가지 보안원칙을 지켜야 한다.
설치·이용 단계에서는 전자금융서비스 앱 설치·이용의 흐름에 따라 ▲설치·실행 환경 관리 ▲앱 무결성 검증 ▲이용자 확인 강화 ▲안전한 통신 ▲이용자 교육 등에 대해 5가지 보안원칙을 준수해야 한다.
시스템·관리 단계에서는 스마트폰 전자금융서비스 관련 ▲시스템 보안 ▲보안 관리에 대해 2가지 보안 원칙이 제시된다.
한편 금보원은 가이드 부록으로 ‘스마트폰 전자금융서비스 프로그램 개발 시 보안 고려사항’, ‘스마트폰 전자금융서비스 이용자 단계별 유의사항’을 추가수록했다.
이 가이드는 금융보안연구원 홈페이지(www.fsa.or.kr)에서도 확인할 수 있다.
