본문 바로가기

블로그

LG CNS 기술블로그 DX Lounge에서 최신 IT 소식을 만나보세요!

보안

핀테크 보안 위협과 대응 방안

2016.10.17

전 세계적으로 핀테크에 대한 관심이 뜨겁습니다. 금융 서비스의 특성상 보안이 허술한 서비스는 시장에서 살아남을 수 없기 때문에, 핀테크를 이야기할 때 빼놓을 수 없는 것이 바로 보안에 대한 내용인데요.

본 기고에서는 기존 금융산업이 가지고 있는 보안 위협 외에 핀테크 산업이 등장하면서 발생하는 보안 위협은 무엇이 있고, 이에 대응하기 위한 방안은 어떠한 것이 있는지 살펴보도록 하겠습니다.

핀테크에 대한 이해

현재 시장에서 정의하고 있는 핀테크에 대한 정의는 아래와 같습니다.

핀테크(FinTech)
: 금융(Finance)과 기술(Technology)을 결합한 새로운 금융산업

기존 금융산업과 차별화되는 핀테크 산업 만의 주요 특징에는 무엇이 있을까요? 먼저 핀테크 서비스 유형에 대해서 살펴보도록 하겠습니다. 몇 년 전만 하더라도 핀테크는 간편결제로 인식되기도 했었지만, 현재는 간편결제뿐만 아니라 크라우드 펀딩, 금융 데이터 서비스 등 다양한 영역으로 확장하여 인식되고 있습니다.

l 알리바바 그룹 핀테크 사업구조 (출처: IP Tech Trend Report, 재구성)

또한 새로운 서비스 제공을 위해 다양한 기업•기관과의 연계가 발생하면서, 온라인•오프라인 영역 간 융합도 활발하게 일어나고 있습니다.

일례로 아래의 알리바바 그룹의 핀테크 사업구조를 보면, 온라인•오프라인 결제, 결제 금액 부족 시 신용 대출을 통한 결제, 충전 잔액을 이용한 투자 등 기존 온라인 쇼핑을 넘어서는 다양한 금융 서비스를 제공하는 것을 볼 수 있습니다. 이에 따라 개인 금융 정보가 다양한 경로를 통해 폭넓게 유통됨을 확인할 수 있습니다.

l 알리바바 그룹 핀테크 사업구조 (출처: IP Tech Trend Report, 재구성)

기존의 금융산업은 금융기관 외에는 진입이 어려운 시장이었지만, 핀테크는 새로운 아이디어와 기술이 있는 업체라면 누구나 진입이 가능합니다. 국내 핀테크 관련 스타트업의 수가 2015년 5월 44개에서 11월에는 360여 개로 7개월 만에 8배 이상 늘어났습니다.

핀테크 사업 육성을 위한 금융보안규제 완화와 맞물려 상대적으로 보안보다는 사용자 편의성에만 초점을 맞춘 핀테크 서비스가 시장에 출시될 가능성을 배제할 수 없습니다.

l 국내 핀테크 산업 현황 (출처: 금융위원회)

각 나라별로 핀테크 산업 활성화를 위한 다양한 정책이 쏟아져 나오고 있으며, 국내에서도 금융산업에 대한 규제 완화를 통해 핀테크 산업을 육성해야 한다는 목소리가 높아지고 있습니다.

이에 따라 국내도 금융보안규제 패러다임도 사전규제 방식에서 사후 점검 및 검사를 강화하는 방향으로 전환되고 있습니다. 이러한 규제 완화는 신규 기업의 핀테크 시장 진입을 용이하게 할 수 있으나, 이에 따른 보안 위협이 커지는 것도 사실입니다.

l 금융보안규제 완화 내용 (출처: 금융보안원 ‘16년 금융IT보안 10대이슈 전망보고서, 재구성)

핀테크에서 발생 가능한 보안 위협

이제 핀테크 산업의 주요 특징에 기반을 두어 발생 가능한 보안 위협에 대해 살펴보도록 하겠습니다.

① 이용자 편의성 중심의 서비스 출시, 금융•IT 기술 융합, 새로운 기술 도입에 따른 신규 보안 취약점을 통한 보안 사고 발생 가능

기존에는 사용자 인증, 거래 인증을 위해 공인인증서, 단말 플랫폼 보안, 추가 인증 수단을 사용하였으나, 결제 단계, 정보 입력 및 인증 방식 등의 절차를 간소화하는 과정에서 보안 취약점이 발생할 수 있습니다. 개방형 모바일 플랫폼과 신규 인증 기법의 취약점을 이용한 ID 도용, 추가 인증 우회, 피싱 및 파밍 공격 등으로 인한 보안 사고가 발생할 가능성이 있습니다.

또한 온라인, 오프라인 채널, 서비스 및 기술의 융복합, 블루투스, NFC 등 새로운 기술 도입 시 사전에 식별되지 않은 보안 취약점을 통해 보안 사고가 발생할 가능성이 있습니다.

보안 전문 기업들과 BlackHat 콘퍼런스 등에서는 블루투스, NFC와 같은 무선통신을 이용한 결제방식의 취약점을 이용해 결제 내역을 엿보거나, 부정 결제에 성공하는 등 다양한 보안 위협 사례를 발표하고 있습니다.

2014년 12월 디지털 화폐 거래소 중의 한 곳인 비트 스탬프는 서버가 공격당해 개인키 파일이 유출되고 이로 인해 18,866비트코인(약 55억 원)이 인출 당한 사례가 있습니다. 기존 금융산업으로 보자면, 은행 금고에 보관 중인 현금을 도난당한 것과 동일한 사고가 발생한 것입니다.

마지막으로 새로운 거래 방식의 증가에 따라 기존에 구축된 FDS(Fraud Detection System)을 우회하는 보안 사고가 발생할 수 있습니다. FDS란 전자금융거래에 사용되는 단말기 정보, 접속 정보, 거래 내용 등을 종합적을 분석하여 의심거래를 탐지하고 이상금융거래를 차단하는 시스템을 말합니다.

② 개인 금융 정보 공유 채널, 매체 증가에 따른 정보 유출 가능

알리바바 핀테크 사업 구조를 통해 본 것처럼 핀테크 서비스는 IT 회사, 금융기관, PG사 등 다양한 기업 간의 제휴 및 연계를 기반으로 하기 때문에, 개인 금융 정보가 금융기관에 집중되어 관리되던 때보다 유출될 가능성이 높다고 볼 수 있습니다.

관리 대상의 증가에 따라 기업 간의 책임 영역이 모호해지거나 보안 관리체계의 수준이 상이한 경우 보안체계의 사각지대가 발생할 수 있습니다. 또한, 한 곳에서 보안 사고가 발생하게 되면, 제휴 및 연계되어 있는 금융 시스템 전체로 보안 사고가 확산될 가능성이 높습니다.

핀테크 서비스 특성상 모바일 기기를 중심으로 개인 금융 정보가 생성되고 거래가 발생하게 되는데요. 따라서 서버, DB 등 금융기관이 관리하는 시스템을 중심으로 저장 및 관리되던 개인 금융 정보가 상대적으로 보안이 취약한 모바일 기기를 통해 유출될 가능성이 높습니다.

③ 규제 완화로 인한 보안 사고 발생 가능성

사후 탐지 및 징벌적 배상을 적용하는 해외에 비해 국내는 사전 규제 방식을 적용하여 그동안 금융 사고가 높지 않았으나, 국내도 금융보안 규제가 사전규제 방식에서 기업의 자율적인 보안 관리 체계로 전환되고 있습니다. 이에 따라 보안 취약점이 사전에 식별되지 않거나 상대적으로 보안 관리체계가 미흡한 기업의 서비스를 통해 보안 사고가 발생할 수 있습니다.

핀테크 보안 위협의 대응 방안

앞서 살펴본 대로 핀테크 산업이 가지는 여러 가지 특징으로 인해 각종 보안 위협이 발생할 수 있는데요. 이러한 보안 위협에 대응하기 위한 방안으로 무엇이 있는지 알아보도록 하겠습니다.

① 보안성이 확보된 사용자 인증 기술 적용

핀테크 서비스에서 사용자 인증은 보안성이 확보되어야 하는 핵심 기능 중의 하나입니다. 온라인 중심으로 제공되는 핀테크 서비스 특성상, 다양한 비대면 실명인증 방식이 시장에 출시되고 있습니다. 비대면 실명인증 기술 중 보안성 및 서비스 편의성을 고려하여, 제공하고자 하는 핀테크 서비스에 적합한 인증기술을 적용할 필요가 있습니다.

● 더 알아보기
비대면 실명인증이란 무엇인가?: http://blog.lgcns.com/1202

FIDO(Fast Identity Online)와 같은 국제표준의 사용자 인증 기술을 적용한다면, 서비스 호환성 및 보안성을 확보할 수 있습니다. FIDO란 FIDO Alliance에서 제정한 규격으로 온라인 상에서 아이디, 비밀번호 없이 지문, 홍채, 정맥 등 생체 인식만으로 보안 간편하게 인증을 처리하는 표준 규격을 말합니다.

② 단말 보안 방안 수립

상대적으로 보안이 취약한 모바일 기기 중심으로 핀테크 서비스가 제공되므로, 단말에 대한 보안성 확보는 반드시 필요합니다.

단말 제조사에서 제공하는 TEE(Trust Execution Environment) 기술을 적용하여, 보안 영역에서 핀테크 서비스가 실행되고, 데이터가 관리되도록 구현하면, 좀 더 안전한 환경에서 서비스를 제공할 수 있습니다. 보안 영역에서 핀테크 서비스가 활성화되는 경우 모든 일반영역의 활동이 홀딩되어 악성코드 등으로부터 해당 서비스를 보호할 수 있기 때문입니다.

이외에도 모바일 기기에서 동작하는 서비스 개발 시 고려해야 하는 보안 사항도 동일하게 적용해야 합니다.

● 더 알아보기
스마트폰의 보안 위협과 대응 방안: http://blog.lgcns.com/1106

③ 신규 기술에 대한 보안 취약점 진단 체계 수립

앞서 무선통신 기술을 이용하는 간편결제 방식의 보안 취약점에 기반을 둔 보안 위협 발표 사례를 말씀드렸습니다. 새로운 서비스를 제공하기 위해 신기술을 적용하는 경우, 해당 기술이 보유하고 있는 보안 취약점을 진단하고 대응하는 체계를 갖추어야 합니다.

내부적으로 보안 취약점 진단 체계를 수립하기 어렵다면, 외부 전문기관을 활용하여 서비스 출시 전 취약점 진단 및 대응 과정을 거치도록 해야 합니다.

또한 IoT 디바이스를 활용한 서비스를 제공하는 경우에는 IoT 디바이스 자체에 보안 취약점은 없는지, IoT 디바이스와 통신 과정에 발생 가능한 보안 위협은 없는지 확인이 필요합니다.

● 더 알아보기
IoT 보안 취약점 진단 A to Z: http://blog.lgcns.com/1112

④ 서비스 제공 기관과 보안 관리체계 수립 및 시나리오 방식의 보안 위협 분석 및 대응체계 수립

핀테크 서비스는 다양한 기관과 연계하여 제공하게 되므로 기관간 정보를 공유하고, 공동 대응할 수 있는 보안 관리체계를 갖추어야 보안 위협을 사전에 파악하고 효과적으로 대응할 수 있습니다.

또한 개인 금융 정보의 전반적인 흐름을 분석하여, 발생 가능한 침해요인의 사전 식별, 취약한 구간에 대한 보안조치 강화 및 위법 사항이 발생할 소지는 없는지 사전에 검토하고 대응 방안을 강구해야 합니다.

⑤ 연계 구간에 대한 데이터 보안 방안 수립

데이터 전송 시 송수신 구간별 인증•권한 검증 로직을 적용하여, 데이터 전송 장비•기관에 대한 유효성을 검증하고, 권한이 부여된 서비스에만 접근이 가능하도록 하여 데이터를 보호할 필요가 있습니다.

또한 데이터 암호화, 토큰화 등의 기술을 적용하여 데이터 유출에 대응할 필요가 있습니다. 토큰화 기술의 경우 카드번호와 같은 실제 데이터를 전송하는 것이 아니라, 사전에 약속된 가상 데이터를 전송하여 연계 시 데이터가 유출되더라도 실질적인 피해가 발생하지 않도록 하는 기술입니다.

⑥ FDS 고도화를 통한 모니터링 체계 강화

기존 금융거래를 모니터링하기 위해 구축된 FDS(Fraud Detection System)를 이용해서 핀테크 서비스에서 발생하는 금융 사기 등과 같은 이상 징후를 탐지하기는 어렵습니다. 이를 위해서는 핀테크 서비스 거래 특징을 반영한 FDS 고도화가 진행되어야 합니다.

금융감독원에서는 발표한 FDS 고도화 로드맵의 내용을 참조해 보시길 바랍니다.

l 금융권의 FDS 로드맵 (출처: 금융감독원, 재구성)

⑦ 핀테크 산업 육성을 위해 제공하는 다양한 정부 지원 체계 활용

보안 투자에 대한 여력이 많이 없거나, 보안 관리 경험이 많지 않은 스타트업, 중소기업의 경우 정부에서 제공하는 핀테크 보안과 관련된 지원 체계를 활용해 볼 수 있습니다.

금융위원회의 핀테크 산업 분류 업종에 속하는 중소기업은 ‘은행권 공동 오픈 플랫폼’을 이용할 수 있습니다. ‘은행권 공동 오픈 플랫폼’은 핀테크 기업이 금융 서비스를 편리하게 개발할 수 있도록 은행의 금융 서비스를 표준화된 형태로 제공하는 인프라를 말하며, 오픈 API와 테스트베드로 구성되어 있습니다.

오픈 API는 인증•관리 API와 5개 서비스 API로 구성되어 있는데요. 테스트베드에서는 테스트 룸과 테스트 장비(테스트 단말기, 테스트랩 서버)를 이용할 수 있습니다.

l 오픈 API 개념도 (출처: 은행권 공동 오픈플랫폼 사이트)

또한 금융보안원에서는 핀테크 보안 관련해서 기술, 규제 등에 대한 상담 서비스를 제공하고 있으며, 핀테크 보안컨설팅 및 보안수준진단 서비스를 제공하고 있습니다.

l 보안컨설팅 및 보안수준진단 업무 설명 (출처: 금융보안원 핀테크 보안수준 검토 업무 안내, 재구성)

지금까지 핀테크 산업의 주요 특징에서 발생 가능한 보안 위협이 무엇인지 살펴보고, 보안 위협을 제거할 수 있는 방안에는 무엇이 있는지 살펴보았습니다. 핀테크 보안에 대해 더 궁금한 점이 있으시면 아래 배너를 누르시고 메일을 보내주십시오.

글 | LG CNS 보안컨설팅팀

[‘보안, 이렇게 하면 된다’ 연재 현황]

  • [1편] ISMS 의무인증 대상 확대! 어떻게 대응해야 할까?
  • [2편] ISMS 인증을 위한 보안솔루션 구성 방안
  • [3편] ISMS 인증 주요 결함사항 및 대응방안
  • [4편] 정보보호 관련 인증 및 평가 제도
  • [5편] 스마트폰의 보안 위협과 대응 방안
  • [6편] IoT 보안 취약점 사례 소재 및 취약점 진단
  • [7편] 스마트폰 앱 서비스 보안의 현재와 미래
  • [8편] 중국 개인정보 보호법 제도 동향 및 대응방향
  • [9편] 출입 보안을 위한 보안 설계
  • [10편] 소프트웨어 개발 보안 – 시큐어 코딩
  • [11편] 당신의 출입카드는 안녕하십니까?
  • [12편] 통합 보안 관리 동향 및 활용 방안
  • [13편] 비대면 실명인증이란 무엇인가?
  • [14편] 프로젝트에서 소스 코드 보안 점검하기
  • [15편] 차세대 행위 기반 위협 탐지 방식에 관하여
  • [16편] 핀테크 보안 위협과 대응 방안
  • [17편] 인공지능과 보안
  • [18편] ‘보안은 제품이 아니라 절차다!’라는 말의 의미
  • [19-1편] 인증의 완성판 생체인증에서 다중 생체인증까지 ①
  • [19-2편] 인증의 완성판 생체인증에서 다중 생체인증까지 ②
  • [20-1편] 중국 네트워크 안전법 분석 및 대응 방안 ①
  • [20-2편] 중국 네트워크 안전법 분석 및 대응 방안 ②
  • [21편] 유전자 정보 보안 안전한가?

챗봇과 대화를 할 수 있어요