전자금융거래 안전성 확보 위한 단계별 12가지 보안 원칙 제시

[보안뉴스 김태형] 금융보안연구원(원장 김영린)은 스마트폰 전자금융서비스의 안전성 확보를 위한 금융회사의 자율적 보안노력을 지원하기 위해 ‘스마트폰 전자금융서비스 보안 가이드’를 발간하고 8일 회원사 등에 배포했다.

이번 가이드는 최근 스마트폰을 이용한 전자금융서비스의 발전과 함께 금융 거래정보 탈취 및 변조 등 보안위협이 증가함에 따라 금융회사의 보안강화 방안 마련 및 대응 기술 개발 시 참고할 수 있는 보안기술 가이드다.

특히 기존 ‘금융부문 스마트폰 보안 가이드(2010.12월 발간)’를 토대로 스마트폰 기반 전자금융서비스 관련 보안원칙을 준수하기 위한 각종 가이드, 매뉴얼, 국제표준 등의 보안 기술 정보 등이 추가로 반영되었다.

가이드 주요 내용은 스마트폰 전자금융서비스의 안전성 확보를 위한 보안사항에 대해 금융 앱 설계 및 개발 단계, 서비스 제공 단계, 시스템 및 관리 단계 등에서 12가지 보안 원칙을 제시했다.

우선 앱 설계·개발 단계에서는 스마트폰 애플리케이션 생명주기를 기반으로 ①안전한 앱 구현, ②보안 기능 적용, ③앱 보안성 확인, ④안전한 앱 배포, ⑤앱 업데이트 관리 등에 대해 5가지 보안원칙을 제시했다.

그리고 설치·이용 단계에서는 전자금융서비스 앱 설치·이용의 흐름에 따라 ⑥설치·실행 환경 관리, ⑦앱 무결성 검증, ⑧이용자 확인 강화, ⑨안전한 통신, ⑩이용자 교육 등에 대해 5가지 보안원칙을 제시했다.

그리고 시스템·관리 단계에서는 스마트폰 전자금융서비스 관련 ⑪시스템 보안, ⑫보안 관리에 대해 2가지 보안 원칙을 제시했다.

이번 가이드 부록으로 ‘스마트폰 전자금융서비스 프로그램 개발 시 보안 고려사항’, ‘스마트폰 전자금융서비스 이용자 단계별 유의사항’(별첨) 등을 추가 수록했다.

금융보안연구원은 이번 가이드를 통해 금융회사가 스마트폰 전자금융서비스의 운영에 있어 보안위협을 최소화하도록 지원함으로써 전자금융서비스 안전성 강화에 기여할 것으로 기대하고 있다.

또한 가이드의 활용도를 증대하기 위해 회원사에 책자로 배포하는 한편, 금융보안연구원 홈페이지(www.fsa.or.kr)에도 파일을 게시하며 이후 가이드가 널리 활용될 수 있도록 금융회사 담당자를 대상으로 지속적인 교육 및 홍보를 진행할 예정이다. 이 가이드는 본지 컨텐츠 코너에서도 다운로드 가능하다.  

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>