세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
[한국인터넷정보학회 칼럼] 핀테크 보안의 걸림돌 4가지와 추진과제
  |  입력 : 2016-10-05 09:50
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
종합적인 핀테크 서비스 안전성 확보방안 수립 필요

[보안뉴스= 이재완 군산대학교 컴퓨터정보통신공학부 교수] 핀테크(Fin-Tech)는 금융을 뜻하는 Financial과 기술을 뜻하는 Technique의 합성어로, IT 기술을 기반으로 금융 서비스를 제공하거나 비 금융기업이 신기술을 활용하여 금융 서비스를 제공하는 것을 의미한다. 핀테크 서비스는 현재도 대부분 제공되고 있는 카드를 통한 서비스, 온라인 결제, 인터넷·모바일 뱅킹 등과 같은 서비스가 포함될 수 있다. 폭넓은 의미로는 간편지급결제, 인터넷은행, 온라인대출, 크라우드펀딩 등 IT 신기술이 적용된 새로운 유형의 IT기반 금융 서비스로 표현할 수 있다.

핀테크 서비스는 전세계적으로 관심이 급격히 증가하면서 핵심 키워드로 급부상하고 있으며, 이를 다양한 연구 및 서비스가 진행되고 있다. 이미 페이팔, 애플페이, 알리페이 등 글로벌 시장에서 지급결제 및 송금 분야에서 두각을 나타내고 있는 업체가 존재하며, 국내에서도 뱅크월렛카카오, 네이버페이 등 다수의 기업이 간편결제 서비스를 제공하고 있다.

이와 같은 핀테크가 새로운 패러다임으로 떠오르면서 이에 대한 기업 투자도 급증하고 있는 상황이다. 지난 2014년 Accenture의 보고서에 따르면 2013년 핀테크 기업에 대한 글로벌 투자가 2013년 약 40억 달러에서 2014년 약 120억 달러로 3배가 증가했다고 발표했다. 이는 지속적으로 증가할 것으로 보여 추후 핀테크 산업이 빠르게 성장할 것으로 예측되고 있다.

핀테크 보안의 필요성
핀테크가 금융시장 자체를 바꿀 수 있는 파괴적인 기술이 된 것은 스마트폰의 보급과 모바일기술의 발전 때문이라 할 수 있지만, 이를 이용하는 금융소비자는 비대면 금융거래의 안전성에 대해 상당한 우려를 가지고 있다. 한국은행 조사에 따르면 모바일 결제를 이용하지 않는 주된 이유가 개인정보 유출 우려(78.3%)와 안전장치에 대한 불신(75.6%)인 것으로 나타났다. 더욱이 핀테크를 통해 금융 서비스에 대한 새로운 접근 채널이 확대됨에 따라 개인정보 유출, 해킹 등 보안사고에 대한 우려는 더욱 커질 것으로 예상된다.

▲ 모바일 결제 미사용 이유(자료 : 한국은행, 2014년 지급수단 이용형태 조사결과)


핀테크와 정보보안
핀테크의 특징을 정보보안 관점에서 살펴보면 다음과 같이 요약할 수 있다. 첫째, 이용자 편의성 제고를 위해 결제처리단계, 입력되는 정보 그리고 인증방식 등에서 서비스 간소화를 추구한다. 과거에는 이용 과정의 불편보다는 안전성을 중시해 공인인증서, 일회용 비밀번호, 각종 보안프로그램을 사용해 사고를 막아 왔으나 핀테크 서비스는 간편성·신속성을 중시하기 때문에 보안상 위험성은 더욱 커질 것이다.

둘째, 채널·서비스·기술 간의 다양한 융복합 현상이 발생한다. 금융IT와 비금융IT, 온라인과 오프라인, 모바일기술 간의 융복합이 일어나기 때문에 접점이 증가하고 새로운 취약점을 발생시킬 뿐 아니라 대응수단을 복잡하게 한다.

셋째, 고객의 개인정보 및 금융정보에 대한 수집·이용·제공에 대한 니즈가 증가한다. 다양하고 혁신적인 핀테크 서비스를 제공하기 위해서는 고객으로부터 관련 정보의 수집이 확대되며 사업자간의 정보 공유 및 제공의 니즈도 증가할 것이므로 고객 정보유출이나 프라이버시 침해 사고 가능성도 역시 증가할 것으로 보인다.

따라서 뱅킹 분야에서 빅데이터 분석 방법을 사용할 때에는 언제, 어디서, 누구의 개인정보가 수집, 처리, 저장, 이용되는지가 투명해야 하고, 해당 개인정보의 노출, 이용 그리고 폐기 여부를 고객이 스스로 결정할 수 있도록 기회를 제공하는 것이 중요하다.

넷째, 정보보안 관련 규제가 완화된다. 핀테크 산업 성장 부진의 원인으로 법과 규정에 의한 사전규제가 지목되는 현 상황에서 산업의 활성화를 추진하는 정부 당국과 금번을 금융업에 진출하는 기회로 인식하는 IT 기업들의 요구에 따라 보안성 심의제도 등 정보보안 규제가 완화 또는 폐지되고 있으나 이는 금융거래의 안전성을 저하시킬 우려가 있다.

▲ 핀테크 서비스 특징 및 보안 위협


위에서 살펴본 바와 같이 서비스 간편성을 중시하는 핀테크의 기본철학, 채널·서비스·기술 간의 융복합 현상, 개인정보의 수집·이용에 대한 니즈 증대, 핀테크 성장의 걸림돌로 간주되어온 정보보안 관련 규제의 지속적 완화 등의 핀테크 특징은 정보보안과 서로 상충되는 측면이 있다. 정보통신기술과 금융의 접목이라는 측면에서 핀테크가 불가피한 변화라면 금융거래의 신뢰성 유지를 위해 서비스의 편의성과 보안성 간의 균형과 조화가 필요하다.

핀테크 보안의 향후 추진방향
핀테크 서비스는 금융회사, PG사, IT 회사, 통신사, 창업기업 등이 제휴 또는 협력을 필요로 하므로 메쉬(Mesh) 구조의 매우 복잡한 네트워크를 형성하게 되며 인터넷 기반의 네트워크 연결이 증가됨으로 서비스 거부공격(DOS), 세션 하이재킹(Session Hijacking) 등의 보안위협에 노출될 가능성이 높다.

비 금융회사들은 민감한 정보를 처리하고 보호함에 있어 금융회사와 같은 경험을 가지고 있지 못할 수 있다. 이 문제는 금융정보 뿐만 아니라 목표화 된 대규모 공격을 받을 수 있는 많은 양의 개인정보와 상용 데이터를 가지고 있는 모바일 기기를 이용한 거래의 증가와 금융과 기술 간의 융합 현상으로 인해 증폭될 수 있다.

따라서 핀테크 보안은 금융거래의 신뢰성을 유지하면서 금융과 IT 융합에 의한 편의성과 다양성을 지원할 수 있어야 하며, 사전보안(사용자)에서 사후보안(서버)으로 보안 프레임워크의 이동, 다양한 인증기술의 수용, 기술의 중립성 구현, 사용자의 보안의식 강화 등의 구체적 방향성을 가지고 추진되어야 한다.

핀테크 서비스를 제공하는 기업은 보안대책을 수립함에 있어 정부의 핀테크 관련 보안정책에 대한 명확한 이해를 바탕으로 종합적인 핀테크 서비스 안전성 확보방안을 수립해야 할 것이다.
[글_ 이재완 군산대학교 컴퓨터정보통신공학부 교수]

필자 소개_ 이재완 교수는 1996년부터 1998년까지 한국학술진흥재단 전문위원 을 역임하고, 2005년부터 2006년까지 교육인적자원부 정보화 정책자문위원을 지냈다. 현재는 한국인터넷정보학회 재정부회장으로 활동하고 있으며, 군산대학교 컴퓨터정보통신공학부 교수로 재직하고 있다.

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



GDPR(유럽 개인정보보호법) 시행이 1년 앞으로 다가왔습니다. 여러분의 회사는 얼마나 준비를 하고 계신가요?
GDPR에 대한 모든 준비를 끝마쳤다
부족하지만 어느 정도 준비를 마쳤다
이대로는 어렵다. 전문가의 손길이 필요하다
전혀 준비가 안됐다. 차라리 유럽관련 사업을 접겠다
전혀 준비가 안됐다. GDPR 컨설팅 업체는 없는 건가?
GDPR이 뭐지? 잘 모른다
기타(댓글로)