올해 한국형 핀테크 모델이 본격 형성되고 금융보안의 패러다임이 크게 변화할 것이라는 전망이 제기됐다.
금융보안연구원은 30일 ‘2015년 금융 IT·보안 10대이슈 전망보고서’를 발표하고 “올해 한국형 핀테크 모델이 정립될 것이며, 금융사기 기법은 다수의 기술이 혼용되는 결합형으로 고도화 될 것”이라고 내다봤다.
금보연은 올해 금융보안 10대 이슈로 ▲한국형 핀테크 모델 본격 형성, 여수신업무까지 범위확대 ▲모바일 보안위협의 한계극복을 위해 하드웨어 보안기술 도입논의 본격화 ▲PC·서버에서 모바일·사물로, 사물인터넷(IoT) 보안 위협 증가 ▲신·변종 전자금융사기 ‘결합형’으로 진화 ▲FDS의 전 금융권 도입확대 및 기술적 고도화 ▲액티브X, 금융시장에서 퇴출 본격화 ▲금융권 망분리 전사영역으로 확대, 효과적 통제의 중요성 부각 ▲간편결제 서비스 ‘원클릭화’, O2O화’로 진화 ▲공인인증서, 금융편의 제공을 위해 비설치형으로 진화 ▲내부통제 기술, 효율성 제고를 위해 빅데이터 분석 기술 접목 등을 들었다.
한국형 핀테크 모델 형성
금융권의 최대 화두인 ‘핀테크’와 관련, 금보연 보고서에서는 정부가 관련 산업 활성화를 위해 규제를 완화하고 있어 시장의 주목을 받고 있으며, 현재 금융기관은 결제·송금을 중심으로 핀테크를 적용, 여수신 분야는 논의를 시작하고 있는 상황이다.
현재 금융·IT 제휴형 서비스가 시장에 다수 진출할 것이며, 카드결제와 은행간 전자송금 형태의 국내 결제환경의 한계를 극복하기 위한 논의가 활발하게 진행되고 있는 상황이다. 여수신 분야에서는 비용절감과 고객이탈 방지, 신시장 창출의 가치를 고려해 거대 IT 기업과 금융사 등이 적극적으로 핀테크 도입을 검토하고 있다.
금보연 보고서는 국내 핀테크 시장이 당분간 결제서비스 중심으로 형성될 것이며, 규제완화 기조에 따라 탈 점포형태의 여수신 업무로 확대될 것으로 예상했다. 또한 맹목적 해외사례 벤치마킹보다 국내 금융시장을 고려한 한국형 핀테크 모델 정립이 필요하다고 밝혔다.
모바일 보안위협
진화하는 모바일 보안위협으로 많은 사용자들이 막대한 금전적인 피해를 입고 있지만, 현재 소프트웨어 방식의 보안 솔루션으로는 악성코드, 앱 위변조, 역분석, 내부정보 유출 등 지능형 공격을 막을 수 없다.
결제·인증정보 등 보안정보를 안전하게 저장·처리하기 위해 하드웨어 보안기술을 적용하는 사례가 발표되고 있는데, OS가 관리하는 별도의 하드웨어 영역에 중요 정보를 저장·처리하고, 일반 서비스는 일반영역, 금융서비스는 안전영역에서 실행해 정보를 상호 격리하는 방법이다.
예를 들어 삼성·애플페이·페이팔 등은 NFC 지문인식 기반 간편결제를 위해 지문정보, 단말기 계정정보 등을 별도의 하드웨어 보안칩에 저장한다. 시만텍 VIP는 OTP 기반 추가인증 서비스를 제공하는데, OTP 생성관련 정보저장과 생성은 TEE 기반에서 처리한다.
다만 하드웨어 보안 방식은 기반기술과 보급 단말이 부족해 대중화 까지 시간이 걸릴 것으로 예상되며, 금융사·제조사·플랫폼사·통신사·개발사 등의 유기적인 협력이 필요하다.
IoT 보안위협 증가
금융서비스에도 IoT가 접목되면서 IoT를 노리는 보안위협이 증가할 것으로 본다. 금융권에서 도입을 검토하는 IoT 기술은 웨어러블 뱅킹·결제, 비콘 기반 데이터 수집을 통한 맞춤형 상품정보, 블루투스 기반 인증을 통한 결제 서비스 등을 들 수 있다.
그러나 이미 ATM, POS, 공유기 등 IoT 취약성을 이용한 공격이 발생했으며, 앞으로 핀테크로 인한 사물과 금융 서비스 접목이 활성화되면 IoT 취약성을 이용한 보안위협이 급속히 확산될 것으로 보인다.
전자금융사기, 다양한 기법 결합하면서 진화
전자금융사기는 올해 더욱 지능화·고도화 될 것이며, 다양한 기법을 결합하면서 방어전략을 무력화 할 것이다. 초기 전자금융사기는 무작위적인 피싱으로 불특정 다수를 노렸으나 이러한 기법이 알려지게 되면서 공격 효과가 떨어지자 기존에 입수한 개인정보를 바탕으로 맞춤형 공격을 진행하고 있다.
올해는 QR코드를 이용해 악성링크로 접속을 유도하는 큐싱과 파밍을 결합시켜 순간적으로 금융정보를 탈취하는 등 결합형 공격이 발생할 것응로 보인다. 다양한 지점에서 금융정보·쇼핑몰 계정정보를 탈취하고, FDS 등 이상금융거래 탐지 시스템을 우회할 것으로 보인다.
전자금융사기 방지를 위해서는 지속적인 기술대응과 대국민 인식제고를 위한 캠페인이 지속적으로 요구된다.
FDS 확대·기술 고도화
카드사·보험사를 중심으로 구축된 FDS가 전자금융사기와 결제인증 간소화 등으로 제1금융권까지 확대되고 있다. 이에 따라 FDS 도입 및 운영에 대한 인식개선 및 효율적 운영을 위한 제도적 방안이 마련돼야 한다는 목소리가 높다.
FDS는 단순한 시스템 구축(SI)이 아니라 자산관리의 문제로, 안정화될 때까지 상당시간 소요되며 적정 예산과 인력의 투입이 필수적으로 요구된다. 따라서 정보공유 활성화를 위해 개인정보보호법 등 관련 규제완화 조치가 필요하며 자율적 참여를 위한 인센티브 제공 방안을 마련해야 한다.
액티브X 금융시장에서 퇴출
전자상거래의 불편함을 초래한 주범으로 액티브X가 지목되면서 액티브X 퇴출을 위한 움직임이 본격화되고 있다. 금융당국이 금융기관의 보안프로그램 설치 의무규정을 폐지하면서 액티브X 방식으로 설치되는 PC 보안모듈이 제거될 수 있으며, 금융기관이 보안 프로그램을 자유롭게 선택할 수 있게 됐다.
그러나 웹표준 개발과 FDS 고도화 등을 통해 보안모듈이 없는 환경에서도 안전한 금융서비스를 제공할 수 있게 될 때 까지 안정화 기간이 필요하며, 이 기간 중 발생할 수 있는 금융사고에 대한 보안대책이 필요하다.
금융권 망분리 전사 확대
올해 제1금융권의 전사 망분리 의무화가 시작됐으며, 장비 도입 기준이 완화돼 망분리 사업이 가속화 될 것으로 보인다. 또한 효율적인 업무환경을 고려한 망연계 적용도 활발하게 진행될 것으로 예상된다.
망분리 효과를 보장하기 위해서는 기술적, 정책적 관리절차의 수립 및 이행은 물론 직원들의 높은 보안의식이 필요하다.
간편결제, 원클릭·O2O로 진화
핀테크를 언급할 때 항상 따라오는 금융서비스는 간편결제이다. 일부 카드사들이 쇼핑몰과 제휴개 원클릭 결제 서비스를 출시하고 있으며, 모바일 결제시장이 급성장하면서 모바일 앱 기간 간편결제가 유행하고 있다.
앱 기반 간편결제는 블루투스, 지문인식 등 스마트폰 기반 기술과 결합해 O2O 결제를 지우너하고, 웨어러블 환경에도 시범적으로 탑재될 것으로 보인다. 서비스의 안정화를 위해 결제 인프라와 가맹점 확보가 필수적으로 요구되며, 간소화된 사전 인증에 대한 보완책으로 강력한 사후보안 방안이 필요하다.
비설치형 공인인증서
공인인증서는 부인방지 효과가 높아 국내 금융거래시 기본 보안 수단으로 사용됐으나 공인인증서 유출사고가 잇따르면서 보안성에 대한 문제가 지적되고 있어 공인인증서 의무사용을 폐지하게 됐다.
이에 따라 공인인증서를 대체할 본인인증 수단으로 ARS, SMS 등 간편인증이 보편화되고 잇으며, 뱅킹·증권 분야에서는 비설치형 공인인증기법이 활용될 것으로 보인다. 이 방식은 쉽게 구현되고 가격경쟁력을 가져야 한다는 이슈가 있다.
빅데이터 기술 이용한 내부통제
보안사고의 대부분은 내부에서 발생하기 때문에 내부통제 정책과 기술이 필요하다. 그러나 대부분의 조직이 효율적 인력관리와 통제가 완벽하지 않은 상황이다. 이를 해결하기 위해 내부 사용자의 행위를 기반으로 내부 위협을 감지하고 차단하는 빅데이터 분석기반 내부통제 시스템이 주목받고 있다. FDS에도 빅데이터 기술이 접목돼 내부자 이상행위 탐지에 활용되고 있다.
빅데이터 이용한 내부통제는 업무 프로세스의 철저한 분석에 기반한 정책수립이 필용하며, 충분한 예산과 인력이 뒷받침돼야 하고, 무조건적 비용절감을 위한 FDS와의 물리적 통합은 바람직하지 않다.
