편리한 만큼 보안에 취약...관련 제도·기술·인력 마련돼야

[보안뉴스= 김인석 고려대학교 정보보호대학원 교수] 불과 2~3년 전까지만 해도 생소했던 핀테크(Fintech)가 이제는 확실한 ‘대세’로 자리 잡았다. 간단한 인증 한 번만으로 온라인 결제를 처리하며, 오프라인에서도 지갑 없이 휴대폰만으로 쇼핑하는 소비자들을 쉽게 찾아볼 수 있다.

간편결제를 도입하지 않는 쇼핑몰들은 점점 외면 받고 있는 상황이며, 따라서 전통적인 금융회사들 보다는 전자상거래나 IT 기업 등의 비 금융회사가 주도하는 전자금융 서비스가 늘어나고 있다.

특히, 금융IT감독정책이 사전규제에서 사후관리로 전환되고 전자금융업자 등록절차 및 요건 또한 간소화되면서 전자금융업의 등록은 2015년 전년대비 23.8%나 증가했다. 핀테크 활성화로 인해 금융서비스의 중심은 인터넷에서 모바일로 재편되고 있으며, 치열한 경쟁 속에서 다양한 금융상품을 출시해 소비자들에게 양적·질적으로 업그레이드된 서비스를 제공하게 될 것으로 보인다.

핀테크는 사용자들의 생활에 큰 변화를 가져다주고 있지만, 이에 맞는 보안수준이 제대로 적용되고 있는 지에 대해 사용자들의 신뢰도는 여전히 낮다. 핀테크 서비스가 기존과 다른 새로운 형태의 금융거래를 제공하게 되면서 그 동안 금융보안 분야에서 경험하지 못했던 새로운 취약점에 노출될 수 있다. ‘쉽고 편리한 금융 서비스’라는 의미는 그만큼 ‘취약한’ 서비스가 될 수 있다는 의미이기도 하다. 이미 그 동안 전 세계적으로 많은 금융 보안사고가 발생해 왔으며, 이러한 위협들은 앞으로 핀테크 산업의 성장을 가로막는 저해요소가 될 것이다.

2015년 7월 특정 체인점의 POS 시스템이 해킹되어 유출된 카드정보로 복제 카드를 만들어 거액을 결제하는 사태가 발생했다. 2015년 ‘K-BoB시큐리티 포럼’의 분석 결과에서도 간편결제 앱이 난독화 처리가 제대로 되지 않아 휴대폰 번호 입력만으로 해킹이 가능한 사례가 발견되기도 했다. 간편결제의 세계적인 대표기업인 페이팔(Paypal), 알리페이 등의 경우도 예외는 아니다.

이 기업들의 결제 사고율은 0.3%에서 최대 1%에 달하는 것으로 조사됐다. 실제로 페이팔과 알리페이의 국내 사용자들이 해킹을 당한 수 많은 피해 사례는 인터넷에서 쉽게 찾아 볼 수 있다.

이렇듯 최근에도 해킹과 사이버 공격은 그 동안 세계 많은 국가에서 시도되고 있으며 이로 인해 금전적 손실, 고객정보 유출, 시스템 파괴 등이 일어난다. 특히, 우리나라는 전체 금융거래의 85%가 비대면 채널인 전자금융거래를 통해 이루어지고 있으며, 인터넷과 모바일을 통한 쇼핑몰들이 잘 발달되어 있기 때문에 그 만큼 더 많은 위험에 노출되어 있다고 볼 수 있다.

그렇다면 이러한 핀테크 보안을 위한 대응방안에는 어떠한 것들이 있을까? 최근 가장 주목 받는 인증방식으로는 생체인식이 있다. 지문이나 정맥구조, 홍채 등 개인의 고유한 생물학적 특징을 이용해 금융서비스의 본인인증을 수행하는 것으로, 인증을 위해 다른 도구를 구비하거나 분실할 위험이 없으며, 타인이 도용하거나 복제하기 힘든 것이 생체인증의 최대 장점이다.

간편한 인증이 가능하기 때문에 이미 국내에서는 간편결제 분야에서 생체인식 기술을 적용한 서비스들이 빠르게 출시되고 있으며, 생체인증 기술 표준인 FIDO(Fast IDentity Online) 인증을 획득해 인증 플랫폼 경쟁에 뛰어 들고 있다. 현재 국내에서는 간편결제 분야에서의 지문인식을 이용한 인증을 도입하고 있으나, 해외에서는 이미 다양한 생체정보를 여러 금융서비스에 적극 확대하고 있다.

US뱅크, ING, 밴가드(VanGuard), 호주 국세청 등은 음성인식을 기반으로 한 사용자 인증 서비스를 제공하고 있으며, 영국의 바클레이(Barclays) 은행은 손가락 정맥인증 기술을 활용해 본인인증을 수행한다. 중국 최대 전자상거래 업체인 알리바바는 얼굴인식을 활용한 결제 시스템 ‘스마일 투 페이’를 도입했으며, 애플은 셀프카메라를 이용해 잠금을 해제하는 기술에 대한 특허를 보유하고 있다. 또한, 비트코인(Bitcoin)에서 시작된 블록체인(Blockchain) 기술도 새로운 핀테크 보안기술로 주목받고 있다. 올해 초 금융보안원이 발표한 2016년 IT·금융보안 10대 이슈에서도 ‘블록체인을 활용한 금융서비스’가 포함되어 있다.

위와 같은 신기술 적용과 더불어 전통적인 금융 시스템 공격에 대비한 내부시스템의 보호대책도 필요하다. 내부 시스템을 위협하는 시스템 마비, 정보유출, 예금인출 등의 해킹 사고를 막기 위해서는 내부망과 외부망의 연계를 없애는 망분리, 정보유출을 대비한 데이터 암호화, 무 권한자의 접근통제 등이 필요하며, 사고 발생 시 업무의 연속성을 확보하기 위한 장애대책(BCP, Business Contingency Planning)도 갖추어야 한다.

이 밖에도 공동으로 사용하는 인증수단을 최소화해 사고 발생시 피해를 최소화할 필요가 있으며, 사고 발생 시에 전문적으로 대응할 수 있는 조직과 인력의 양성도 필수적이다. 또한 정부차원에서는 이러한 금융사고가 발생했을 때 수사기관과 감독당국이 신속히 대응할 수 있는 상시적인 조직을 운용할 필요가 있다.

훌륭한 금융·IT인프라를 갖춘 우리나라는 핀테크 산업의 선도국가가 될 수 있는 무한한 잠재력을 가지고 있다. 하지만 편리한 서비스에 치우친 나머지 보안이라는 기본적인 것을 놓치면 핀테크 산업 자체의 위기를 초래할 수 있으므로 핀테크를 통한 금융혁신과 더불어 핀테크 보안산업이 함께 성장하는 것이 국내 핀테크 산업의 성공의 열쇠가 될 것이다.
[글_ 김인석 고려대학교 정보보호대학원 교수(iskim11@korea.ac.kr)]

필자소개_ 고려대학교 김인석 교수는 지난 1980년 한국은행 전산실을 시작으로, 1998년 금융감독원이 설립되면서 금융감독원 IT전산 업무를 담당했다. 지난 2011년 2월까지 금융감독원 부국장을 역임했으며, 2011년 3월부터 현재까지 고려대 정보보호대학원 교수 및 금융IT연구소장을 맡아 후학 양성을 주력하고 있다. 또한, 2014년 11월 창립된 FDS산업포럼의 회장을 맡고 있다.

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>