“손바닥 크기 스마트폰 안에서 모든 금융거래가 이뤄지는 시대입니다. 그만큼 거래 보안 중요성이 커졌습니다.”
전융 금융보안원 보안전략본부장은 ‘보안 관점에서 바라본 스마트금융’을 주제로 강연했다. 그는 스마트금융 시대를 준비하는 금융사가 알아야 할 보안 문제와 기술을 집중적으로 조명했다.
컴퓨터 기술 발달로 일반인은 금융을 편리하게 이용하지만 이를 침해하는 기술 역시 빠르게 변하기 때문이다. 과거 금융사는 지점과 입출금 자동화기기 환경에서 금고를 지키는 경비시설만 갖추고 개인은 카드만 잘 보관하면 됐다. 이후 PC 금융시절엔 금융회사로선 방화벽과 침입탐지시스템(IDS), 사설망(VPN)을 갖추는 것과 동시에 개인은 공인인증서와 보안카드가 필요했다. 나아가 스마트 뱅킹 시대는 보안 필요성이 강화된다. 개인 정보 노출은 물론이고 개인 단말기와 금융사 서버, 본인 확인 등 보안 위험 노출이 더 빈번하기 때문이다.
스마트금융 시대를 맞는 금융사는 서버보안과 디도스 공격에 대비한 보안 시스템과 망분리, 개인맞춤형이상금융거래탐지시스템(FDS) 구축이 필요하다. 개인 보안을 위해선 생체 인식과 보안키 등 채널이 요구된다.
실제 스마트폰이 보편화되면서 안전한 거래를 위협하는 악성코드와 단문메시지를 가장한 스미싱 악성코드도 급증했다. 지난 2011년 8290건에 불과했던 스마트폰 악성코드는 지난해 143만건으로 늘었다. 스미싱 악성코드도 2012년 29건에서 1만777건으로 늘었다. 각각 4년과 2년 새 가히 200배와 5000배로 폭발적으로 증가한 셈이다.
전 본부장은 금융기술 방식에 따른 보안 기술 추이와 적용범위도 소개했다.
근거리주파수통신(NFC) 금융은 집적회로(IC) 칩이 담긴 스마트폰과 인증서버 간에 인증값을 전달하는 과정으로 이뤄진다. 이 과정에서 카드와 모바일 단말 내와 통신구간에서 주요정보가 노출되거나 위·변조될 위험성이 있다.
전 본부장은 “칩을 직접 단말에 대는 태깅 방식은 서비스와 본인 인증에서 보안을 강화하고 비즈니스 모델에 맞는 기술 선택이 필요하다”고 설명했다.
지문이나 홍채 등 사용자 신체 특성을 활용해 본인을 인증하는 때도 보안 위험을 낮추기 위해 이중 안전장치를 갖춰야 한다고 지적했다. 소규모 이체와 결제한도 내에서 우선 허용하되 금융사고 추이를 보면서 점진적으로 확대가 필요하다는 것이다. 금융서비스 도입 이전에 센서 성능시험평가가 이뤄져야 한다고 덧붙였다.
지문정보나 스마트키를 이용한 신뢰실행환경(TEE)은 모바일 앱 실행환경을 하드웨어로 분리하고 통제해 안전성은 높다. 다만 단말기 제조사에 의존해야 하는 것은 단점으로 꼽힌다. 주로 B2B 서비스 모델에 한정해 적용이 가능하다. 결제 시 가상 카드번호를 이용해 정보 노출을 막는 토큰 방식 역시 거래 때마다 일회용 검증 값으로 거래를 확인해 B2B 모델에 적용할 수 있다.
전 본부장은 이 외에 네트워크에서 발생하는 모든 거래정보를 블록별로 담는 블록체인이 안전성과 거래내역 투명성을 보장해 주로 비트코인이나 미국 22개 은행 공동 시스템인 블록체인 머니 등에 적용 중이라고 설명했다.
그는 “간편결제나 간편송금에서 나아가 비대면 실명확인 서비스 등으로 스마트금융 영역이 넓어지면서 고도화되고 폭넓은 보안이 필요해졌다”며 “이를 위해서 ICT 기업과 금융기업 간 협업이 더욱 중요해졌다”고 지적했다.
이경민기자 kmlee@etnews.com