FDS의 중요 기술 중 하나가 단말정보 분석이다. 단말기의 MAC 주소만을 확인하는 것은 아니며, 단말의 종류와 OS를 확인하고, 단말 내에 불법적인 앱이나 악성코드가 있는지 탐색하며, 접속하는 IP주소와 네트워크 환경 등을 확인해 위험수준을 판단한다.
예를 들어 접속하는 IP 주소가 사용자가 평소에 접속하지 않던 국가이거나 공격이 자주 일어나는 국가, VPN을 이용한 원격접속 등의 경우라면 의심을 할 수 있다. 단말의 하드웨어가 변경됐다거나 사이트에 접속 순서나 페이지가 넘어가는 빈도 등을 분석했을 때 사람이 아니라 봇을 이용한 접속인 경우 등을 탐지해 적절한 대응을 할 수 있다.
KTB솔루션은 단말 정보를 분석하는 ‘리얼IP’ 솔루션을 제공해 FDS 단말분석 요건을 만족시킨다. KTB솔루션은 이 제품을 다른 FDS 솔루션과 함께 제공해 사기거래를 정확하게 탐지하도록 한다. 에이전트형과 에이전트리스형으로 제공될 수 있으며, 단말과 IP 주소에 위협요인이 있는지 찾아낸다.
김태봉 KTB솔루션 대표는 “리얼IP는 FDS 룰을 만드는데 중요한 정보를 제공할 수 있다. 리얼IP 제품군을 많은 FDS 솔루션에 적용되도록 해 장악력을 가져나갈 것”이라고 말했다.
인터리젠은 단말분석기능과 IP 추적기능을 FDS에 접목해 안전한 거래를 검증할 수 있도록 한다. MAC·IP 주소만으로 단순비교하는 것이 아니라 단말의 종류, OS, 애플리케이션, 주로 사용하는 패턴, IP 주소 및 VPN 등 원격·우회접속 여부, 위험국가 혹은 낯선 지역에서 접속하는지 여부, 거래하는 계좌정보가 상시 사용하던 것인지, 처음 거래하는 것인지 여부 등 많은 항목들을 개인별로 프로파일링 한다. 그리고 거래가 발생할 때 FDS 시스템을 통해 프로파일링 항목과 비교하면서 거래의 이상여부를 판단한다.
비대면 거래서 본인확인·부인방지 ‘중요’
FDS 기술요소 중 중요한 또 한가지가 사용자 인증이다. 면대면 거래가 아닌 온라인 거래에서는 거래를 요청하는 사람이 본인이 맞는지 확인하는 신분증과 본인의 자율적인 의지로 진행되는 거래가 맞다는 사실을 확인할 수 있는 전자서명이 필요하다. 국내에서는 PKI 기반 암호화를 적용한 공인인증서가 의무적으로 사용돼왔지만, 지난해 공인인증서 의무사용규제가 폐지되면서 다양한 본인확인 기술이 부상하고 있다.
인증수단을 인증펙터(Authentication factor)로 구분하면 ▲지식기반(What you know) 인증: ID/PW와 같이 사용자가 알고 있는 인증 수단 ▲소지기반(What you have) 인증: OTP와 같이 사용자가 갖고 있는 인증 수단 ▲특징기반(What you are) 인증: 생체인증과 같이 사용자를 직접 확인시킬 수 있는 수단 등으로 분류된다.
정철우 인터리젠 대표는 “안전한 인증을 위해 복합적인 인증수단이 필요하지만, 인증이 복잡해지면 간편성이 떨어져 핀테크가 추구하는 방향과 맞지 않다”며 “1차 인증 통과 과정에서 사용자에 대한 거래 정보의 다양하고 방대한 정보를 이용해 FDS는 보이지 않는 실시간 분석으로 2차 인증을 제공하고 분석과 인증 후 의심되는 거래에 대해서만 3차인증을 제공할 수 있는 기능 등을 통해 복합적이고 안전하고 간편한 핀테크 보안을 제공할 수 있는 기반을 FDS가 제공한다”고 말했다.
인증, ID/PW서 시작해 생체인증까지
안전하고 확실한 본인인증을 위한 노력은 오래전부터 지속적으로 이어져왔다. 우리나라에서는 처음에 ID/PW만으로 거래를 진행했지만 보안 취약점이 발견되면서 개별 금융기관이 각각 사설 인증서 서비스를 이용하도록 했다. 모든 금융기관에 각각 다른 인증서를 발급받아 거래하는 것이 불편하다는 지적이 나오자 국가가 PKI 기반 공인인증서 제도를 만들어 모든 금융거래와 온라인 본인확인이 필요한 곳에서 사용하도록 했다.
공인인증서 제도를 오랫동안 유지하다보니 공인인증서의 불법적인 유출을 통한 피해가 발생했고, 지난해 전면적으로 의무화 폐지가 결정됐다. 이와 동시에 간편결제 열풍이 불어오면서 인증절차를 최소화한 결제 서비스가 우후죽순처럼 나오고 있는데, 많은 경우 본인인증을 비롯한 보안이 소홀하다는 우려의 목소리가 높은 상황이다.
김인석 고려대 교수는 “새로운 금융 서비스를 개발하면서 보안보다 ‘간편성’ 지나치게 치우치는 것은 위험한 일이다. 보호받지 못한 결제 때문에 보안사고가 발생한다면 다시 ‘공인인증서와 액티브X 기반 보안모듈’ 방식으로 돌아가게 될 것”이라며 “기존의 결제 프로세스에서 장점으로 사용되던 것을 유지하면서 문제가 되는 것을 조금씩 해결해가면서 안정화해야 하는데, 일방적으로 갑자기 모든 불편한 과정을 없애도록 하는 것은 위험하다”고 경고했다.
