세계 보안 엑스포 전자정부 솔루션 페어 스마트팩토리 개인정보보호 페어  세계 다이어트 엑스포  세계 태양에너지 엑스포  국제 사이버 시큐리티 컨퍼런스  INFO-CON
핀테크 시대, 사용성과 안전성의 두 마리 토끼를 잡아라
입력날짜 : 2017-01-04 10:19
트위터 보내기  페이스북 보내기  네이버 밴드 보내기  싸이월드 공감 보내기  카카오 스토리 보내기  구글 보내기   
핀테크 시대가 왔다고 하면서, 기존의 복잡한 인증과정을 단순화시켜 간편결제를 유도하고 있는데요. 이것이 정말 안전한 건가요? 과거보다 인증과정은 단순화됐는데, 보안이 오히려 강화될 수 있는 건가요? 보안이 약화될 위험성은 없나요?

[보안뉴스 원병철 기자] 최근 카드, 은행 등 금융권을 비롯해 오픈 마켓 등 기존의 불편했던 결제 방식을 벗어나 간단하게 결제할 수 있는 간편결제가 넘쳐나고 있습니다. 하지만 각 간편결제 보호기술 방식마다 장단점이 존재하므로 해당 상황에 맞게 사용할 필요가 있습니다.
[한국정보보호심사원협회]
 

▲ 두 마리 다 내꺼~


금융 서비스의 안정성을 단지 인증 서비스 하나만 보고 평가하기 보다는 전체 서비스 관점에서, 그리고 인증 서비스를 보완해서 어떤 보안 통제와 효과가 있는지를 종합적인 관점에서 봐야 할 것 같습니다. 인증 과정의 복잡함이 사용자의 잘못된 사용으로 더 보안이 약해질 수도 있고, 단순하고 간편해서 위험해 보여도 뒤로는 디바이스 인증, 계정탈취 탐지와 사용자 사용 패턴 분석을 통한 사기방지 시스템이 동작하고 있다면, 겉으로 보이는 보안 강도와 실제 보안 강도는 다를 수 있겠죠. 모바일 보안에 대한 서비스 관점의 보다 큰 체계가 필요합니다.
[박형근 IBM 실장]
 
로그관리 제품뿐 아니라 어떠한 제품이든 많은 사용자들이 선택하고 사용하는 제품이 우선적으로 검토가 되어야 할 겁니다. 많은 사용자들이 선택한 이유가 있을 테니까요. 로그관리 제품은 특성상 대용량의 데이터를 오랜 기간 저장을 해야 합니다. 법규나 지침에 명문화되어 있는 기간은 최소 6개월 이상 로그를 보관하게끔 되어 있기 때문입니다. 이렇게 오랜 기간 저장된 데이터를 원하는 때 빠르게 찾아줄 수 있도록 성능이 뒷받침이 되어야 하며, 이러한 성능을 보장하는 원천기술을 가지고 있고 안정화가 되어 있는 제품이어야 합니다.

로그 관리 제품은 데이터를 확인하고 모니터링 하는 제품이기 때문에, 빠른 성능을 기반으로 데이터를 얼마나 효과적으로 보여줄 수 있는 제품인지에 대한 ‘비주얼적 관점’과 사용자가 원하는 때 원하는 데이터를 찾아 주어야 하기 때문에 얼마나 쉽게 접근할 수 있는지에 대한 ‘사용성’이 제품을 선택하는 3가지 기준(성능, 비주얼, 사용성) 중 하나가 될 수 있습니다.
[이너버스(sales@innerbus.com)]
 
간편결제에서는 복잡한 인증과정을 단순화하는 등 사용자 편의성은 최대한 추구하되, 서비스 제공자 측면의 보안과 검증은 더욱 강화해 전반적인 보안수준을 향상시켜야 합니다.

예를 들어, 사용자 측면에서는 PIN 등 단순한 인증절차만을 수행하고, 결제처리 단계에서는 거래내용을 다각도로 분석해 부정거래를 차단하는 ‘이상금융거래 탐지 시스템(FDS)’을 운영해 전반적인 보안수준을 높일 필요가 있습니다.
[금융보안원]
 
최근 핀테크 서비스에 적용되고 있는 간편결제·인증 기술은 불편하고 복잡한 결제 절차와 기존 인증수단(패스워드 같은)의 보안 취약성을 개선하기 위해 최신 IT 기술을 종합적으로 활용하여 제시된 기술입니다. 따라서 이러한 기술이 단순 편의성 개선을 목표로 하기 보다는 보안성은 더 높이고 이용 편의성과 비즈니스 효율성을 함께 확보하고자 하는 목표를 가지고 있다고 볼 수 있습니다.

이러한 목표를 달성하기 위해서 최신의 보안 기술들이 적용되고 있는데, 예를 들어 국내의 대표적인 간편결제 서비스인 삼성페이의 경우 FIDO(Fast IDentity Online, 다양한 인증수단을 통합 지원하는 국제표준 인증 플랫폼 기술), 바이오인증(지문인식 기술), TEE(Trusted Execution Environment, ARM의 Trust Zone과 같은 보안 하드웨어를 이용해 데이터를 보호하고 안전한 실행을 보장하는 기술), 토큰화(Tokenization, 일회용 카드번호와 같은 디지털 토큰을 생성·전달해 거래를 승인하는 결제정보 보호 기술) 등의 기술을 활용해 서비스를 제공하고 있습니다.

즉, 결제 시 신원확인을 강화하기 위해 FIDO 기반의 바이오인증을 적용하고, 녹스(KNOX)라는 TEE 기반의 안전한 실행영역을 확보해 바이오정보 및 거래 데이터를 보호하고, 토큰화 기술을 통해 결제정보의 유출을 차단하고 있는 것입니다. 애플페이나 안드로이드페이도 삼성페이와 마찬가지로 유사한 기술들을 활용해 간편하고 안전한 결제 서비스를 제공하고 있습니다.

위와 같이 핀테크 서비스를 위한 보안 기술은 현재의 IT 환경에서 제공할 수 있는 최신의 보안 기술들을 유기적으로 통합·활용해 사용자의 이용불편을 최소화하고, 보안을 강화하려는 목표로 개발 및 적용된 것입니다. 그리고 현재는 스마트폰을 중심으로 간편결제 서비스가 제공되고 있지만, 향후에는 PC/브라우저에서도 사용자 경험을 개선하고 보안을 강화하기 위한 핀테크 보안 기술들이 지속적으로 개발되고 적용될 것으로 기대되고 있습니다.
[김수형 한국전자통신연구원(lifewsky@etri.re.kr)]
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

핀테크   간편결제   인증과정   보안 강화                     


정보보안 관련 자격증 가운데 보안 실무에 있어 가장 필요하다고 판단되는 자격증은?
정보보안기사 및 정보보안산업기사
정보시스템보안전문가(CISSP)
정보시스템감사사(CISA)
정보보안관리자(CISM)
산업보안관리사(ISE)
정보보안관제사(ISC)
사이버포렌식전문가(CCFP)
인증심사원 자격(ISMS/PIMS/ISO27001 등)
기타(댓글로)