레오나르도 디카프리오는 자신이 열연한 ‘캐치 미 이프 유 캔(Catch Me If You Can, 2002)’에서 천재적인 사기꾼으로 등장한다. 미성년자인 디카프리오는 팬암 항공기 비행사로 사칭하면서 얻어지는 특권에 중독된다. 본격적인 사기 행위를 하던 그는 팬암 급여 수표가 현금과 같은 신용도로 전세계 고급 위락시설에서 유통되는 것을 알게 됐다. 팬암 급여 수표의 거래의 빈도와 거래처가 상대적으로 적고 발각될 위험이 커지자, 그는 팬암 급여 수표와 비슷한 시스템의 사기를 고안하게 된다.
바로, 신용도가 높은 대형 은행의 개인 수표였던 것이다. 그가 사용한 수표의 위조는 각각 다른 지점으로 수표의 발급지를 멀리 선택해서 수표가 정상임을 확인하는 시간차를 노려 수표를 할인 시장에 넘기면서 현금화한 것이었다. 종이 지폐가 대중적으로 발행될 때부터 종이 지폐는 위조의 대상이 된 것처럼 금액이 큰 수표 역시 발행 지점의 차이라는 물리적 거리의 취약점을 노렸던 것이다.
기존의 한국 금융의 특징은 금융 당국이 기본적인 보안 가이드라인을 비롯해 악명이 자자했던 ActiveX 공인인증서까지를 강제했다. 하지만 최근 정책 당국의 핀테크 육성 방침에 따라 보안 가이드라인 완화가 시행되면서 ActiveX 공인 인증서에 대한 강제 조항이 사라지게 됐다. 아울러 각종 기본적인 보안가이드에 대해서 예외적인 적용이 가능하도록 바뀌게 됐다.
핀테크의 대표 주자인 페이팔의 초기에는 결제 사기와 함께 원인을 알 수 없는 해킹들이 많았다고 한다. 총 거래 금액의 1~3%가 넘는 금액이 사기 결제와 해킹으로 추정되기도 했다. 자본과 벤처 정신이 있던 페이팔의 전략은 손실을 감내하면서 보안에 대담한 투자를 한 것이었다. 보안에 취약했던 초기 버전의 리눅스 서버에서 상대적으로 보안이 우수했던 윈도우 서버로 교체하고 금융 이상 거래 탐지 시스템(FDS)과 각종 사기 방지 알고리즘을 도입할 때까지 거래액의 1%가 넘는 손실을 견디면서 성장했다고 한다.
핀테크 분야에 대해서 포지티브 정책을 가지고 있는 중국의 경우 QR코드를 통해 송금을 하는 핀테크 거래까지 허용했다가 얼마 전에 거래를 중단 시켰다. 중국 금융 당국이 QR코드 송금이 위변조와 사기에 취약하다는 점이 발견되자 중지 시켰던 것이다. 피해가 커지기 전에 전체 핀테크 금융 시스템이 붕괴되기 전에 차단한 것이다.
지금 한국의 핀테크는 규제를 풀기 위한 투쟁에 포커스를 맞췄지만 거래의 신뢰를 보장하기 위한 보안에 대한 고민이 제대로 이루어지지 않고 있다. 자칫 잘못하면 핀테크가 만개하기 전에 보안 문제로 인해 꽃샘추위로 시드는 봄꽃이 되지 않을지 걱정된다. 핀테크에서 보안이란 자동차의 안전벨트처럼 아무리 강조해도 교환될 수 없는 기본 옵션이다.
필자 소개: 김호광-프로그래머 / 나이키 Run the city의 보안을 담당했으며, 현재 여러 모바일게임과 게임 포털에서 보안과 레거시 시스템에 대한 클라우드 전환에 대한 기술을 지원하고 있다. 최근 관심사는 사회적 해킹과 머신 러닝, 클라우드 등이다.