[컴퓨터월드] 최근 금융서비스(Financial)와 IT기술(Technique)을 결합한 핀테크(Fintech)가 전 세계적으로 확산되면서, 국내에서도 이를 준비하기 위해 분주한 움직임들이 나타나고 있다. 금융사만 가능했던 금융서비스를 다른 업종에서도 제공할 수 있게끔 규제가 완화되고 있으며, 이에 인터넷전문은행과 같이 기존에는 존재하지 않았던 새로운 형태의 금융서비스를 제공하기 위한 방안들도 등장하고 있다. 특히, 대부분의 서비스가 비대면 거래로 이뤄지는 만큼, 안전한 핀테크 환경을 위한 보안 대책은 필수적이며, 이를 위해 다양한 보안 기술들이 개발되고 있다. 핀테크 환경을 위해 마련된 보안 기술들은 어떤 것들이 있는지 알아본다.

‘천송이 코트’로 시작된 금융규제개혁
2013년 SBS에서 방영됐던 드라마 ‘별에서 온 그대’는 드라마 내적의 재미 요소뿐만 아니라 외적인 요소로도 국내외에 걸쳐 많은 영향을 끼쳤다. 특히, 극중 주인공인 천송이(전지현 분)가 입고 나왔던 이른바 ‘천송이 코트’는 엄청난 인기몰이를 하며, 중국인들이 갖고 싶어 하는 아이템으로 부상하기까지 했다.

그러나 국내 인터넷 쇼핑몰에서 판매하고 있던 ‘천송이 코트’를 정작 중국인들은 구입할 수 없는 문제가 발생했다. 이유는 쇼핑몰에서 제품을 구매하기까지 만나야 했던 많은 액티브엑스(ActiveX) 프로그램들과 공인인증서 사용 때문이었다.

상황이 이렇게 되자 박근혜 대통령은 지난 2014년 3월에 열린 규제개혁장관회의에서 외국인들도 국내 쇼핑몰에서 구입할 수 있도록 하라는 내용의 규제개혁을 주문했고, 정부는 여러 논의를 거쳐 지난해에 핀테크 산업 육성을 위한 ‘IT·금융 융합 지원방안’을 내놓기에 이르렀다.
 

사전 규제 최소화 및 기술 중립성 원칙 구현
비록 다양한 금융 규제들을 완화하기로 한 정부였지만, 이는 어디까지나 금융업 및 전자금융업의 ‘영업’ 관련 규제만일뿐, 보안 관련 규제는 지금과 마찬가지로 엄격하게 유지해나간다는 계획이다.

그 첫 번째로 금융당국은 금융회사의 혁신적 서비스 출현을 저해하는 주요인으로 지적된 보안성심의와 인증방법평가 제도를 폐지해 금융회사가 최첨단의 편리한 금융서비스와 더 나은 인증기법을 자기책임 하에 자유롭게 도입할 수 있도록 했다. 대신 금융회사의 내부심사, 취약점 분석평가 등 자체 점검을 내실화하고, 금융감독원의 정기검사 및 테마검사를 통해 사후 점검을 강화한다는 방침이다. 특히, 사후 점검 결과에 따라 보안 취약점 공지, 취약점 개선 및 보완조치 등을 권고·명령할 수 있는 근거를 마련해 감독기관으로서의 역할도 소홀히 하지 않을 것임을 나타냈다.

또한, 특정기술의 사용을 강제하는 금융업법상 의무규정을 일괄 폐지 또는 개선해 IT기술을 활용한 다양한 금융거래 방식이나 상품이 탄생토록 유도한다는 방침이다. 계좌이체 등 전자금융거래 시 공인인증서 사용의무와 정보보호제품의 국가기관 인증제품 사용의무 등을 폐지한다. 다만 사용의무의 폐지는 사용 금지가 아니라 금융회사에게 선택권을 부여한 것으로, 특정 제품 및 기술사용을 정해놓지 않고 새로운 인증·보안기법도 도입할 수 있도록 한 것이다. 이는 중·장기적으로 국제수준에 부합하고, 국내 금융환경에 적합한 보안인증체계를 시장 자율적으로 개발 및 활용토록 한다는 금융당국의 의지가 담겨있다.
 

‘인증’과 ‘데이터 보호’에 초점
금융보안원에 따르면 현재 핀테크에 활용되고 있는 보안 기술은 크게 ‘인증’과 ‘데이터 보호’분야로 구분된다. 인증은 서비스 이용자가 본인이 맞는지 진위 여부를 확인하는 것이며, 데이터 보호는 결제를 비롯한 금융서비스를 이용하기 위해 수집·저장된 정보가 위·변조되거나 유·노출되는 것을 막기 위한 것이다. 기술에 따라 세부적으로도 종류가 나눠진다. 인증은 IC칩을 탑재한 카드 접촉식과 사용자의 생체정보를 이용한 생체인증이 있으며, 데이터 보호도 별도의 영역을 만드는 신뢰실행환경(TEE)과 가상번호를 이용하는 토큰화(Tokenization)가 있다.

■ 인증

1) IC카드 접촉식

카드 접촉식은 IC칩에 저장된 인증정보를 카드나 모바일 기기(스마트폰 등)를 이용해 서버에 전달하는 방식으로, 마그네틱 카드의 기능과 보안성을 개선하기 위해 등장했다. 마그네틱 카드는 사용이 편리하다는 장점은 있었지만, 낮은 내구성과 더불어 복제 및 변형의 위험이 높다는 단점이 있기 때문이다. 그러나 카드 접촉식은 IC칩 표면에 부착된 금속부분과 기기의 단자부를 밀착시켜야만 작동하기 때문에, 중간에서 데이터 유출 등이 발생할 가능성이 적어 보안성이 높은 편이다.

현재 카드 접촉식은 신용카드와 모바일 기기의 유심(USIM)에 가장 많이 활용되고 있다. 신용카드의 경우 기존 시스템과의 호환성을 고려해 마그네틱 방식에 IC칩을 부착한 하이브리드형이 많이 보급된 상태며, 모바일 기기의 경우 대부분 유심(USIM)에 IC칩이 부착돼 있어 소지 및 이용이 편리하다. 주요 적용 분야로는 결제인증과 본인인증 및 1회성 비밀번호(One Time Password: OTP) 생성기기 등이 있다.

2) 생체인증(Biometrics)

생체인증은 이용자의 고유한 신체구조 및 행위에 기반한 인증 방식이다. 지문이나 음성, 홍채 등 개인의 생체정보라는 변하지 않는 정보를 이용하기 때문에 보안성이 높으며, 비밀번호처럼 일부러 외우거나 별도 장치를 휴대하지 않아도 된다는 장점이 있다. 삼성페이, 애플페이 등 바이오인증을 활용한 간편결제 서비스가 급성장하면서 각광받고 있는 인증 방식이기도 하다.

생체인증은 그 구성 방식에 따라 크게 사용자 생체인증 정보를 서버에 저장하는 서버인증 방식과, 사용자 기기 내에서 인증을 진행하고 그 결과 값만을 서버로 보내 인증을 진행하는 단말인증 방식으로 나뉜다. 대부분의 생체인증 정보는 암호화 및 토큰화 시켜서 저장하기 때문에 유출되더라도 안전하다는 평가지만, 유출됐다고 해서 해당 정보를 쉽게 변화시킬 수도 없기 때문의 주의가 필요하다.

생체인증은 FIDO(Fast Identity Online) 얼라이언스가 국제적인 규격화를 추진하고 있다. 국내에서도 지난해 ‘한국FIDO산업포럼’이 출범해 FIDO 바이오인증 신기술 개발과 정보 공유, 산업표준 제정, 상호 협력 비즈니스 모델 수립 등 국내 바이오인증 산업 활성화를 촉진하기 위한 다양한 활동을 펼쳐 나갈 예정이다.

■ 데이터 보호

1) 신뢰실행환경(Trust Execution Environment: TEE)

신뢰실행환경(TEE)은 모바일 기기의 실행환경을 일반영역과 보안영역으로 구분하고, 두 영역간의 정보교환을 통제함으로써 보안성을 유지하는 방식이다. 보안영역에 있는 운영체제(OS)나 애플리케이션(App)의 무결성을 유지할 수 있다는 장점이 있어 스마트폰 OTP나 생체정보 저장 등에 이용되고 있다. 또한 대부분의 모바일 금융보안서비스 역시 이를 지원하고 있는 추세다.

TEE는 기본적으로 데이터 보호에 초점을 맞추고 있는 기술인만큼, 시작지점부터 서버 끝단까지 암호화 처리를 하는 종단간 암호화(E2E)를 적용해 불필요한 정보노출을 최소화하기 위한 방향으로 개발됐다. 따라서 아직까지 이를 지원하는 단말 기기가 제한적이며, 지원 단말기도 제조사 방침에 의존된다는 단점이 있다.

2) 토큰화(Tokenization)

토큰화는 결제 시 보안 수준을 강화하고, 위·변조를 막기 위해 카드번호를 고유 토큰으로 대체함으로써 정보 유출 및 노출에 대응하기 위한 기술을 말한다. 16자리의 카드번호를 난수화한 결과 값을 저장해 사용하는 방식으로 가맹점에 카드정보가 저장되는 것을 방지할 수 있으며, 카드사 역시 많은 데이터를 저장하지 않아도 된다는 장점이 있다.

특히 토큰화는 자체 보안 설정으로 특정 가맹점과 채널에서만 사용할 수 있도록 제한이 가능하기 때문에 가맹점 간 정보를 공유할 수 없고, 외부로 유출돼도 원래 값을 알 수가 없어 안전하다는 평가를 받고 있다. 검증 값 생성 위치에 따라 단말 방식과 서버 방식으로 구분된다.
 

핀테크 기술도 보안 수준 진단받아
핀테크 신기술들이 안전한 비대면 거래환경을 위해 개발된 것이지만, 그 기술들 자체에 대한 안정성 역시 검증될 필요가 있다. 이에 금융보안원은 지난해부터 핀테크 신기술의 보안수준을 진단하는 ‘핀테크 신기술 보안수준 진단업무’를 시행해오고 있다.

진단업무는 금융·IT융합 활성화를 지원하고 민간중심의 자율보안체계의 요구에 부합하기 위해 마련된 것으로, 핀테크 기업이 금융보안원에 보안수준진단을 의뢰하면 금융보안원은 해당 기업의 핀테크 기술을 진단해 그 결과를 해당기업에 제공하게 된다.

금융보안원은 시장수요를 우선적으로 고려해 ▲IC카드 접촉 ▲생체인증 ▲TEE ▲토큰화 등 4개의 신기술 분야를 중심으로 진단을 개시한다. 4개의 분야 이외의 신기술에 대해서는 핀테크지원센터와 연계해 보안컨설팅을 제공하고 있으며, 이를 통해 시장 수요를 파악한 후 진단 대상 범위를 확대할 예정이다.

또한, 핀테크 기업의 설계, 구축, 테스트 등 개발주기에 따라 필요한 진단을 선택 할 수 있도록 진단유형을 구분했으며, 사전상담을 통해 기업에 적합한 진단업무를 안내 받을 수 있도록 하고 있다.