[김영기 금융보안원장] 핀테크 시대의 주춧돌, 금융 보안

지문과 홍채 등 바이오 인증 각광
금융사와 고객의 인식과 실천 중요

▲사진: 김영기 금융보안원장

[김영기

김영기기사 모아보기 금융보안원장] 금융(Finance)과 기술(Technology)이 결합된 핀테크는 우리에게 매우 친숙한 용어가 되었다. 기술이 금융에 활용된 것은 이미 오래 전부터의 일이다.

1980년대부터 컴퓨터가 은행에서 활용되었고, 인터넷을 이용한 금융거래는 2000년대에 도입되었다.

기존의 금융서비스를 효율화하기 위해 기술을 활용한 것을 ‘전자금융‘이라 불러왔다면, 정보통신(IT)기술을 활용한 새로운 서비스를 만들어내는 것이 ’핀테크‘라고 할 수 있다.

최근의 금융 거래는 90% 이상이 모바일, 전화, 인터넷 등을 통해 비대면 방식으로 이루어지고 있기 때문에 정보통신기술은 그 자체가 금융시스템을 구성하는 필수적 요소로서 핀테크는 어쩌면 당연한 시대적 흐름을 반영하는 산물이기도 하다.

현재 우리나라에서 핀테크로 가장 활성화된 서비스는 간편송금과 간편결제이다. 두 가지 서비스의 핵심은 어느 정도 보안수준을 유지하면서도 이용자가 아주 편리하게 송금과 결제를 진행하도록 하는 것이다. 보안성과 편리성의 균형을 이루어야 하는 핀테크의 시대, 대표적인 두 가지 사례를 살펴보자.

최초의 핀테크 기업이라 불리는 페이팔은 간편결제 서비스를 제공하고 있다. 온라인쇼핑 도입 초창기에 아이디와 비밀번호만으로 결제가 가능하도록 하여 온라인 결제시장을 장악하였다.

그러나 아이디와 비밀번호만으로는 보안수준이 충분하지 않기 때문에 페이팔은 이상금융거래탐지시스템(Fraud Detection System)을 활용하여 이를 보완하였다.

그러나 모든 이상금융거래를 탐지할 수 있는 것은 아닐 뿐만 아니라 탐지 기준을 지나치게 엄격하게 운영할 경우 이용자의 불편이 초래될 수 있기 때문에 적절한 수준에서 보안 기능을 수행할 수밖에 없는 한계가 있다.

그러다보니 상대적으로 많은 사고가 발생하고 있고, 이를 보상하기 위해 계약 업체에게 높은 수수료를 부과하였다.

한편으로는 편리성을 조금 양보하더라도 높은 보안 수준을 원하는 이용자를 위해 일회용 비밀번호(One Time Password) 기능을 옵션으로 제공하고 있기도 하다.

인터넷전문은행인 카카오뱅크는 단기간에 영업규모가 크게 성장하였다. 메신저와 연계한 간편 로그인으로 송금이 가능하고, 필요한 기능을 중심으로 쉬운 인터페이스를 제공하여 젊은 이용자를 확보하고 있다.

젊은 층을 공략하고자 하는 선택과 집중 전략의 일환으로 모바일 뱅킹만을 거래수단으로 제공하고 있다.

뱅킹 앱은 이용자가 지정한 1대의 스마트폰에서만 사용할 수 있다. 앱 설치 시에 다양한 스마트폰 정보를 수집하여 다른 스마트폰에서는 이용자의 로그인 정보를 알더라도 사용할 수 없도록 함으로써 보안 수준을 높였다.

이러한 보안 기능은 PC에서는 운용하기가 곤란하나 모바일에서는 유용하다.

카카오뱅크가 모바일 뱅킹만을 제공하는 또 다른 이유이기도 하다. 그러나 이것만으로는 보안이 충분치 않다. 카카오뱅크도 높은 보안 수준을 원하는 이용자를 위해 일회용 비밀번호, 지연이체, 입금계좌 지정서비스 등 다양한 옵션을 제공하고 있다.

최근에는 이러한 카카오뱅크의 편리성과 보안성을 갖춘 서비스를 일반은행도 유사하게 제공하고 있다.

핀테크 시대에 보안성과 편리성 두 마리 토끼를 잡는 가장 각광받는 보안기술은 바이오 인증이다. 지문, 홍채와 같이 사람마다 다른 바이오 정보는 이용자 입장에서는 이를 기억할 필요도 없고, 잃어버리지도 않는 가장 편리한 인증 수단이다.

스마트폰의 성능이 좋아지고, 바이오 정보를 인식하는 센서가 스마트폰에 탑재될 만큼 소형화됨에 따라 거의 모든 스마트폰은 바이오 정보를 활용한 인증 기능을 제공하고 있다. 금융회사와 핀테크 기업들은 스마트폰에서 제공되는 다양한 앱을 바이오 인증과 연계하여 제공하고 있다.

그러나 비밀번호, 일회용 인증번호, 카드키 등 다른 인증 정보는 유출 시 변경할 수 있으나, 바이오 정보는 바꿀 수가 없기 때문에 절대 유출되어서는 안 된다.

한편 핀테크와 보안기술이 발전하는 만큼 해커들의 공격방식도 지속적으로 진화하고 지능화되고 있다. 특정 대상을 표적으로 지능형 지속공격(Advanced Persistent Threat)을 수행하기도 하고, 컴퓨터 시스템이나 데이터를 암호화한 뒤 이를 인질로 금전을 요구하기도 한다.

또한 최근 발생한 은행 인터넷 뱅킹에 대한 대규모 부정 로그인 사례도 우리에게 경각심을 주고 있다. 취약한 다른 사이트나 기업에서 유출된 아이디와 비밀번호 정보가 금융회사 공격에 이용된 것으로 볼 때 SNS에 올린 정보, 재미 삼아 가입한 사이트가 또 다른 사이버 공격의 출발점이 될 수도 있다.

핀테크 서비스는 금융이용자에게 편리성과 보안성을 동시에 제공하고 있다. 그러나 다양한 보안기술들도 한계를 가지고 있고, 현재 안전한 보안기술도 기술 발전에 따라 언젠가는 안전하지 않을 수 있다.

또한 취약한 사이트에서 유출된 정보가 금융 재산이나 정보를 탈취하는데 사용될 수도 있다. 금융이용자는 금융거래용 아이디와 비밀번호를 다른 인터넷서비스와는 다르게 설정하는 등 최소한의 보안수칙을 준수하면서 본인이 원하는 보안 수준을 선택함으로써 핀테크 서비스를 보다 안전하게 이용할 수 있다.

금융보안은 금융회사의 역할이 중요하나, 무엇보다 금융소비자 스스로의 인식과 실천이 동반되어야 할 것이다.