금융업계와 정보기술(IT)업계가 앞다퉈 핀테크 서비스를 내놓고 있는 가운데 향후 발생할 수 있는 해킹 사고에 대비하기 위해 관련 솔루션 취약점 분석 및 보완이 시급하다는 지적이다.
8일 서울 삼성동 코엑스에서 열린 코드게이트 2015 글로벌 보안콘퍼런스에서 김용대 KAIST 교수는 핀테크 서비스 보급 확대와 더불어 고강도 해킹 대비책이 강구돼야 한다고 강조했다. 이날 김 교수는 ‘규제 없는 핀테크 보안-건전하고 안전한 핀테크 성장을 위하여’를 주제로 강연했다.
김 교수는 “핀테크가 주목받으면서 수십개 기업이 관련 솔루션을 우후죽순으로 내놨다”며 “핀테크 앱은 물론이고 전체 에코시스템 보안을 고려해 개발해야 할 시점”이라고 말했다.
핀테크 시장은 전자금융거래 보안 심의가 전면 폐지되며 새 전기를 맞았다. 금융회사 자체 취약점 분석 내실화를 유도하고 있지만 초기 핀테크 솔루션에서 갖가지 취약점이 드러나기 시작했다.
KAIST연구팀은 A사가 개발한 유명 핀테크 솔루션에서 취약점을 발견했고 3월 패치를 완료했다고 밝혔다. 관련 앱은 스마트폰 루팅을 막는 것을 비롯해 키보드보안, 난독화, 악성앱 탐지 기능 등 다양한 보안기능이 있지만 취약점에 노출됐다. 연구팀은 핀테크앱을 리패키징한 후 분석했다. 결제와 관련된 솔루션이었지만 안전하게 설계되지 않았다.
김 교수는 “시중에 나온 핀테크 앱 상당수가 단말기 루팅탐지(Rooting detection)나 무결성(Integrity verification) 등 보안기능을 우회할 수 있는 취약점이 발견됐다”며 “취약점을 악용하면 정상 앱을 악성행위를 하는 앱으로 변조할 수 있다”고 설명했다.
그는 “규제가 완화가 핀테크 솔루션 보안을 허술하게 하라는 의미는 아니다”며 “앱뿐만 아니라 에코시스템 전반에 보안을 고려해야 한다”고 말했다. 돈 흐름과 직접 연계되는 핀테크 솔루션은 설계 단계부터 보안성 강화에 역점을 두고 있지만 나날이 발전하는 해킹기술을 앞설 수 없는 만큼 취약점 찾고 보완하는 작업을 상시유지해야 한다는 의미다.
김 교수는 이밖에도 “핀테크 활성화를 위해 각종 규제가 완화되거나 폐지되는 상황에서 서비스 제공 주체인 카드·금융회사는 지속적인 취약점 발견 및 보완이 가능하도록 앱 개발사와 공동으로 버그바운티를 활성화해야 한다”고 제안했다. 버그바운티는 서비스나 솔루션 보안 취약점을 발견한 사람에게 포상금을 지급하는 프로그램이다.
김인순기자 insoon@etnews.com