| 핀테크 기업의 보안수준, 어떻게 진단하나? | 2015.08.19 | |
금융보안원, 주요 정보보호·구간별 영역보호 방식 진단 및 검토
[보안뉴스 김경애] 스타트업에게는 새로운 기회가 될 핀테크 산업. 하지만 규모가 작은 스타트업이 핀테크 산업에 무작정 뛰어들기엔 현실이 그리 녹록치 않다. 보안성과 편리성이라는 두 마리 토끼를 잡아야 하고, 투자를 받을 수 있는 경제적 여건도 아직 여의치 않기 때문이다. 금융보안원, 보안 컨설팅 지원 이에 금융보안원은 금융·IT융합 활성화를 지원하고 민간중심의 자율보안체계 요구에 부합하기 위해 핀테크지원센터와 협력해 핀테크 신기술에 대한 보안상담 및 컨설팅을 지난 7월부터 실시하고 있다. 보안상담 및 컨설팅은 핀테크지원센터 연계서비스로 지원센터를 통해 신청이 가능하며, 핀테크 기업은 아이디어 실용화, 시장성 평가 등 기존 상담분야 이외에 보안기술 상담을 받을 수 있다. 만약 상담과정 중 심도 있는 기술적 검토가 필요하다고 판단될 경우에는 금융보안원이 직접 보안 컨설팅을 진행한다. 보안수준 진단, 단계별로 진행 특히, 시장에서 주목받는 주요 핀테크 신기술에 대해서는 객관적으로 보안수준을 진단하는 서비스를 추가로 실시할 예정이다. 핀테크 기술에 대한 보안취약성을 사전에 도출하고 보완대책을 제시함으로써 핀테크 기업 스스로 보안위협을 인지하고 제거할 수 있도록 지원할 방침이다. 보안수준 진단을 받기 위한 구체적인 절차는 오는 9월에 안내할 예정이다. 그렇다면 보안수준 진단은 어떤 방식으로 이루어지며, 구체적으로 무엇을 진단하게 될까? 이에 본지는 핀테크 기업 대상의 보안수준 진단사업에 대해 알아봤다. 보안수준 진단은 우선 솔루션 구현이 가능한 스타트업을 대상으로 하며, 해당 솔루션을 두고 단계별 과정을 거친다. 이와 관련 금융보안원 핀테크보안팀 이수미 팀장은 “스타트업들을 보면 솔루션을 완벽하게 만든 곳보다는 아이디어나 사업계획서를 갖고 문의하는 경우가 많다”며 “상담 및 컨설팅은 아이디어를 구체화하기 전에 보안과 관련해서 고려해야 할 점에 대해 컨설팅 지원을 하고 있다”고 말했다. 이어 그는 “시장에 내놨을 때 보안수준은 낮더라도 범용성이나 시장성은 있는지, 보안위협이 있을 때 보안대책은 갖추고 있는지, 대체수단으로 충족시킬 수 있는 방법은 있는지 등 보안을 단계별로 확인하고 있다”며 “특히, 보안 솔루션 개발업체들은 솔루션 자체에 보안기능이 탑재됐을 때 솔루션에 문제점은 없는지 보안을 강화하거나 확장할 수 있는 가능성을 보고 테스트를 진행한다”고 말했다. 주요 정보 어떻게 보호하는지 검토 주요 보안수준 진단은 우선 주요정보를 어떻게 보호하는지와 구간별 영역보호 방법에 대해 검토하는 방식으로 이루어진다. 이를테면 현재의 경우 기업에서 제출한 IC카드를 접촉해서 인증하는 기술이나 지문인식 등과 같은 기술을 두고, 어떤 보안위협이 있을지 보안 요구사항을 도출해 가이드하는 형태로 진행하고 있다. 보안성 수준 진단과 관련해 이수미 팀장은 “기본적으로 금융정보, 지문정보와 같은 주요 보호대상을 중심으로 해당 정보가 유·노출되지는 않는지, 사용자의 주요정보를 추출하거나 입력을 하게 될 경우 솔루션들이 정상적으로 동작하는지, 위·변조 되지는 않는지 등 주요 정보를 어떻게 보호하는지를 첫 번째로 본다”고 강조했다. 구간별 영역 보호 진단 지문과 같은 바이오정보의 경우는 지문이 유출되지 않도록 하기 위해 어떤 기술을 적용했는지, 단말기에서 서브 단으로 내려갈 때 어느 수준의 암호화를 적용했는지 등에 대해 서면 검토가 진행된다는 게 금보원 측의 설명이다. 또한, IC카드의 경우 모바일로 가거나 모바일에서 서버로 넘어가는 각 구간별 영역에서 어떻게 보호되는지 중심으로 진단할 방침이다. 향후 핀테크 업체의 보안수준을 진단하면서 노하우가 축적되면 일반화 할 수 있는 요건 등을 마련할 수 있고, 기준 역시 세분화되어 지속적으로 업데이트 될 수 있다는 것. [김경애 기자(boan3@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
||
 |
