핀테크는 ‘새로운’ 금융서비스를 말하며, 비트코인은 핀테크의 대표적인 모델로 꼽히며, 국내에서 유행하고 있는 크라우드펀딩. 우버, 카카오택시 등도 핀테크의 일종으로 볼 수 있다. 핀테크가 성공하기 위해서는 보안이 최우선 선결과제라는 점은 그 누구도 부인할 수 없다.
신제윤 금융위원장은 여러차례에 걸쳐 “FDS 없이는 핀테크가 성공하지 못한다”고 경고한 바 있다. ID/PW 입력만으로 거래가 가능한 간편결제가 유행하면서 사기거래는 더욱 많이 발생하게 될 것이며, 서비스를 제공하는 기업에서 사기거래를 확실하게 탐지하지 못하면 소비자에게 피해가 돌아갈 것이고, 결국 소비자들이 새로운 금융서비스를 이용하지 않게 될 것이라는 지적이다.
박종필 세이프넷코리아 이사는 “국내에서 핀테크의 성공모델을 찾기가 쉽지 않을 것”이라며 “우리나라는 금융관련 수수료가 다른나라에 비해 저렴한 편이며, 실시간 온라인 거래가 활성화 돼 있어 ‘새로운’ 서비스에 대한 아이디어를 도출하기 쉽지 않다. 결국 포인트 적립·캐시백 서비스 등 사용자에게 금전적인 혜택을 줄 수 있는 서비스 모델을 생각해야 하는데, 아무리 많은 헤택이 있다 해도 안전한 결제 환경을 보장하지 않는다면 외면을 받게 될 것”이라고 말했다.
FDS는 금융서비스 외에 다양한 산업군에서 사용될 수 있을 것으로 기대된다. 행정자치부가 공공아이핀 발급 시스템에 FDS를 포함시키겠다고 발표한 바 있으며, 다른 공공 시스템에도 필요한 경우 구축한다는 방침을 밝혔다. 금융거래가 일어나는 온라인 마켓, 게임사, PG사 등은 적극적으로 FDS 구축을 검토하고 있다. 포털 등 인터넷 서비스를 제공하는 기업들도 해커의 공격을 탐지하고 고객을 보호하는데 FDS가 요긴하게 사용될 것으로 예상한다.
“FDS 만능주의 경계해야”
내부정보 유출방지, 내부자에 의한 보안위협 차단 등을 위해서도 FDS 개념이 적용된다. 기존의 DLP, SIEM, ESM, 로그분석 기술도 FDS와 이론적으로 비슷한 방식을 채택하고 있기 때문에 FDS 기술과 결합돼 더욱 강력한 내부보안이 가능하다.
물리적인 통제 시스템에도 FDS가 사용될 수 있다. 예를 들어 사무실 출입구의 출입통제 시스템에 출근기록이 없는 직원이 사무실 내의 PC에서 로그인한다면 이상행위로 탐지할 수 있다. 또한 평소 근무하는 시간이 아닌데, 사무실 출입기록이 있고, 중요한 정보에 접근해 외부로 전송한다면 이또한 이상행위로 의심할 수 있다.
김태민 ADT캡스 전략사업본부 솔루션지원팀 전임은 “물리보안과 논리보안을 결합시키면 더욱 광범위한 범위에서 정확하게 이상행위를 탐지할 수 있다. 특히 IoT 환경에서 관리자의 개입 없이 사물간 통신이나 사람-사물 통신이 활발하게 진행되는 상황에서 융복합 기술을 활용한 이상행위 탐지는 더욱 중요한 요소가 될 것”이라고 말했다.
FDS는 확실히 주목할만한 새로운 시장으로 지능화되는 보안위협에 대응할 수 있는 중요한 기술로 떠오르고 있다. 그러나 FDS가 만능은 아니다. FDS를 우회하는 기술이 얼마든지 나올 수 있다.
김휘강 고려대 교수는 FDS를 구축했다는 사실이 ‘시큐리티 시어터(Security Theater)’로 작용해 보안을 소홀히 하는 상황을 경계해야 한다고 지적했다. 시큐리티 시어터는 보안이 잘 돼 있는 것처럼 인식되도록 한 상황을 말하며, 사고가 났을 때 서비스를 제공하는 조직이 보안에 대한 책임을 다했다고 주장할 수 있는 근거를 마련해 준다.
온라인 거래의 비대면 인증을 위해 지정단말서비스, SMS·ARS 인증, USIM 칩에 공인인증서를 USIM 스마트 인증, 대포통장이나 사기거래가 이뤄진 IP 주소에 대한 정보공유 등 사기거래를 탐지하고 방지하기 위한 다양한 기술과 기법이 적용되고 있지만, 모두 다 무력화 할 수 있는 방법이 있다.
김 교수는 “현재 보안 기술 중에서는 의미 없는 시큐리티 시어터가 너무 많다. 사용자는 불편하지만 공격에는 전혀 영향을 미치지 못하는 복잡한 기술에 천착하기보다, 산업 생태계적인 관점에서 사기거래를 막을 수 있는 방법을 생각해야 한다”고 주장했다.
