[ 핀테크기업사례 분석 ] 3-1. 핀테크 정보보호

 

 

1. 금융트랜드, 디지털의 활용

-‘정보화’라는 말을 ‘지능정보화’로 바꾸었다. AI가 심어져 자체적으로 생각하는 디바이스가 많아졌다.

-‘스마트’가 들어간 대상들은 스스로 정보를 처리할 수 있고, CPU가 들어가 있고, 외부 인터넷과 연결되어 있으며, 정보를 저장하는 메모리가 있다. 스마트 제품들은 즉, 금융거래가 가능하다는 뜻이다.  

-그래서, 전자담배도 메모리가 있어서 악성코드에 감염될 수 있다.

-사물인터넷은 외부에 의존하여 정보를 저장하는 경우가 많다.

-자율주행 자동차는 OS가 필요하다.  

-PC보다는 모바일 거래가 많고, 내부 메모리보다는 클라우드를 이용한다.

-음성데이터, 영상데이터 등이 남는다. SNS 작성시 내가 글을 쓴 위치, IP가 남거나, 쿠키 값이 남는다. 또한, O2O서비스가 성장하면서 컨텐츠가 폭증했다.

-Pay는 빅테그 입장에서 허들이 낮은 기술, 수많은 페이업체가 있다.

-스타벅스는 ‘부동산회사’라는 인식도 있지만, IT시스템을 구축하여 ‘선불충전금’ 규모를 늘리고 있다.

-핀테크에 대한 규제 허들을 낮춰주는 대신에, 과징금을 높이는 등 책임을 높이는 방안

-금융기관의 망분리와 달리 단일 인터넷망을 사용하는 핀테크 업체와의 차이

-빅테크 기업들이 금융으로 이동하기 쉬운 시대: 고객과의 접점, 고객에게 제공할 수 있는 혜택, 활용할 수 있는 데이터를 통해 유통기반 인터넷 전문은행의 강점을 활용하는 전략 등

-DBS은행의 조직구조 변화: 디지털중심의 조직 개편하여 기능적 부분에 대한 관리가 명확해짐. 필요한 기능 중심으로 개발, 오픈 API제공 및 연계, 금융서비스 포트폴리오 확보. 내부에 있는 코드 재사용을 통해 개발의 생산성을 높임.

-디스켓, CD -> 전용선, VPN -> 클라우드, API 형태로 발전해간다. 기존방식의 데이터 접근통제와 달리 API는 주문한 것만 제공됨.

-디자인이 중요하기 때문에 MSA 아키텍처가 중요해지고 있다.  

 

2. 개인정보보호와 보안

-코로나 Tracing : 디바이스 간 식별키를 블루투스 기술을 통해 수집하여 확진자와 접촉하면 경고를 보냄.

-사진으로 되어 있는 신분증정보를 비대면에서 요구하지만, 그렇게 처리하더라도 범행은 계속되고 있음.

-신원인증이 분명하지 않으면 다양한 문제가 발생. 익명성을 가지고 있어서 신원확인 절차가 필요없는 부분도 많음.

-메타버스 아바타는 디바이스 도용, 생체인증 도용 등 이슈가 생기면, 실제 본인과 구분할 수 없다.

-가상인간과 챗봇 시스템으로 사람처럼 대응하는 디지털AI 로봇 등

-데이터 3법 주요내용: 개인정보의 보호와 활용에 모두 초점을 맞줌. 가명정보와 익명정보에 대한 법적인 조치 마련.

-공인인증서가 폐지되면서, 금융인증, DID, 생체인증, 카드인증 등 다양한 인증이 쏟아져 나왔다.

1) 개인정보보호법 2차 개정

-개인정보 전송요구권 도입, 인공지능 등 자동화된 결정에 대한 이의제기 가능, 이동형 영상기기 개인영상정보 보고 근거 마련 등

-로봇청소기에 달린 카메라를 통해 영상정보를 확인해서 집에 들어온 도둑의 얼굴 식별 가능.  

-NFT를 활용한 졸업장 등으로 페이퍼리스에 활용, 디파이를 통한 대출 등

2) 클라우드 규제 개선
-불명확한 업무 중요도 평가기준 및 CSP 평가 항목이 중복되고 유사한 것이 많다. 뱅킹이나 계정계 등의 핵심 업무가 아닌 비중요업무는 클라우드 이용 절차를 차등화 함.

-클라우드 이용시 금융보안원 등 대표평가제를 도입. 조달원 같이 대표평가하는 방향.

-SaaS에 적합한 별도 평가기준을 마련하고, 업무 위수탁 계약에 대한 운영기준 보안사항 등의 제출을 간소화 하여 편의를 높임. 속도를 높이겠다.

-획일적이고 일률적인 물리적 망분리 규제 개선: 경영지원망만 우선 풀어주고, 향후 규제 완화

3) 사고, 해킹

-사람에 의해서 발생하는 통신망 마비사고는 결국 인적 재해로 인한 것. Ex) KT

-Log4j 취약점 사태

-다크웹에서 아이디, 비밀번호를 구매할 수 있으므로, 인증방식의 변화 필요. 2FA 등

 

3. 주요 보안 이슈전망

3-1. 비즈니스 트랜드 2021(우리금융경영연구소)

-Touchless-tact 기술: 위생에 대한 민감도가 높아서 접촉하지 않는 기술이 증가

-Autonomous Work Culture: 대면, 비대면 방식이 혼합된 유연한 조직문화의 확산

-Expenditure of CREW: 짧고 속도감 있는 것을 선호하고, 시공간 제약없이 컨텐츠를 접근하는 등 소비에서 재미를 찾는 라이브 커머스 등. CDN기술이 적용

-Small-big Ants: 투자에 게이미피케이션 접목, P2P, 가상자산, CBDC 등 디지털자산 관심

-Rescue IT system: 클라우드, IoT 디바이스 등 초연결 사회에서 사이버공격에 대한 위험 증가로 새로운 시스템에 필요한 보안 솔루션 도입.

-Technology with Humanism: 인공지능과 인간과의 관계의 재편.

 

3-2. 금융권 보안 이슈 2022(금융보안원)

-사이버공격의 대유행, 디지털 팬데믹: 사용하는 일반적인 디바이스, 프린터, 스마트태깅 시스템, 각종 인터넷에 연결된 스마트 기기들에서 해킹 발생.

-디지털전환, 새로운 금융보안 규제: 금융보안 원칙이 담긴 전자금융거래법 개정. 상시평가제를 도입하여 규제개선, 합리화를 이루고, 보안 수준을 강화

-디지털전환의 필수재료 오픈소스, 리스크: 설치되고 구동되는 프래그램들과, 의존하고 있는 라이선스 등의 정류와 특성 파악이 필요. 가상화폐 거래소 해킹은 오픈소스 취약점에서 발생, 그외에도 NASA에서는 오픈소스에 대한 이해를 권장하는 논문도 발행.  

-제로트러스트 전략에 따른 차세대 보안환경: 오랜기간 쌓인 정상적인 데이터 수집이 적은 인터넷 전문은행은 데이터 확보가 중요. 제로트러스트 전략 NIST에서 제공

-금융안정을 위협하는 제3자 리스크: 회사 시스템이 마비되었을때, 최근 서버실에 홍수가난 H투자증권 사례 등. 따라서, 운영복원력이 중요.

-디지털자산 확산: 익명성 및 금융인프라 변화, 사기거래 및 취약점 등에 대한 보안 위협

-금융 메타버스: 온오프라인 연계, 디지털 지점운영, AI은행원 배치 등 본격적으로 업무영역 확장

-업무자동화(RPA): 예상하지 못한 오류, 시스템 복잡도 상승에 의한 취약점, 지속적 관리의 실패, 대안의 부재 등 리스크 증가. 특히, 금융기관은 IT외주가 많아 스스로 취약점 점검이나 관리에 대한 부분에서 인하우스 대응이 쉽지 않을 수 있다.

-데이터 무한경쟁시대, 데이터 양극화: 개인정보, 연상, 위치, 생체, 금융, 앱사용기록 등 다양한 정보에 대한 양극화 진행.

-멀티플랫폼으로 진화하는 금융서비스, 보안위협: 기존 언어뿐만 아니라 Go언어와 같은 다양한 악성코드가 멀티플랫폼으로 진화하고 있음.

 

3-3. 보안관련 규제준수

-금융권 보안 대응방안: 전자금융거래법 및 전자금융감독규정, 금융분야 인증제도의 정비 및 신원확인 제도 합리화: 픽셀데이터를 바탕으로 인식 확인할 때

-금융감독원, IT감독 안내서 제공

-금융권 빅데이터 개방시스템: 금융권과 여타 산업의 데이터를 융합할 수 있는 개방형 데이터 거래소 구축, 공급자보다 수요자들이 영세하여 책임있는 데이터 활동을 할 수 있는지 확인

-마이데이터 사업자 보안기준 중에서 기술(V), 관리(V) 물리(X) 체크사항.

-오픈뱅깅은 이용자의 영역과 이용 기관의 영역, 운영 기관영역이 존재하는데 통신구간마다 각각의 보안 위협(우회인증, 단말취약점, 거래정보 위변조 등)이 존재함

-핀테크에 대한 취약성 점검 기준, 기본적인 모바일 앱의 안전성 체크리스트 마련.

-ISMS-P(정보보호 및 개인정보보호 관리체계 인증) 부분에서도 개인정보보호 개정 및 클라우드에 대한 추가 대응이 필요.

-ISO/IEC 27001 인증,  ISO/IEC 27017, 27018 인증 (클라우드), 27701 등의 표준 준수 필요. 대상이 다양해지고 보안의 필요성이 증가함. 갭분석의 필요.

-PCI DSS 보안: PG와 VAN사와 카드에 대한 보안 표준

-RegTech 서비스  

 

4. 비대면 인증

-금융 실명법 때문에 규제에 갇힌 경우, 혁신금융 서비스 신청. 규제와 현실의 갭 차이 극복

-비대면 실명확인을 위해 필요한 기술에서 금융사기 발생: 스미싱, 피싱, 해킹, 휴대폰 도난 등으로 피해자 신분증 사본 유출. 이후 디배면 통장, 대포폰 등으로 개인정보 도용된 후, 이를 이용해 대출이나 자금 무단 인출

 

4-1. 인증 방식

-비대면 실명확인 기술: 라이브니스 체크, 카드 두께를 이용한 사본/실물 구분, 인공신경망 활용 OCR,

-Digest인증: 기본 인증과 마찬가지로 Http에 포함되어 있으나, 암호를 MD5로 해시하여 이용되는 Nonce를 서버와  클라이언트가 주고 받는 방식.

-Session인증: A와 B가 신뢰할 수 있는 상호 신뢰할 수 있는 상태를 세션이라고 하는데, 이를 갈취하여 A인척 할 수 있다. 그래서 Cookie를 사용하여 세션구간에서 인증.

-Token기반/JWT 인증: 쿠키가 탈취될 수 있으므로, 1회용 쿠키인 토큰을 발행하여 인증시킴. Json Web Token 방식은 Restful API에서 활용.

-OTP기반 인증: OTP를 이용하여 서명 확인하는 방식
-OAuth, OpenID: 오픈 ID의 목적은 인증이고, OAuth은 네이버 로그인할때 기기를 인증하시겠냐고 물어보는 등의 한번 더 물어보고 다시 안물어 보는 인증이다.

-SAML기반인증 : SafeNet Trusted Access 한 군데서만 확인되면 다른 앱도 인증을 전달 받고 이용가능.

 

4-2. 인증 보안

-금융위, 개좌개설시 실명확인 방식 합리화 방안: 2중확인 의무화, 다중확인 권고

-비대면 실명확인 합리화: 신분증 사본, 영상통화, 현금카드 전달시 사람이 확인, 기존계좌 활용, 이에 준하는 방식(생체인증 등) 총 5가지 중에서 2가지 선택. 가이드

-금융보안원, 전자서명인증평가, 2020년 발행.

 

1) FIDO-1:

-알려진 방식중 표준화된 생체인식 기술. 웹표준 환경, 모바일 기반 환경에도 적용가능

-FIDO 기반 비대면 인증: UAF+U2F 활용. UAF는 단말에 탑재된 생체인증을 이용한 온라인 인증, U2F는 패스워드 인증 강화를 위해 별도의 인증을 추가하는 방식. 모듈을 나눠서 각기 적용.

-생체인식을 위해 서버에 저장된 곳에서 PKI기반 인증. FIDO 선택 후 등록된 단말기로 로그인. 내 모바일에서 발생한 키로 접근. 유심 스와핑(유심복사를 해서 타 단말기에서 인증)하는 경우에 대응.

-부인방지 기능없는 로컬 지문인식과 달리 개인의 키를 이용한 FIDO 인증을 통해 고객이 전자금융 사고 발생시에 책임을 입증할 수가 있다.

 

2) FIDO-2

-브라우저에서 FIDO를 지원하게 되면, FIDO2.0은 웹에서 쓸수 있도록 진화하는 중

-FIDO 2.0 부터는 모바일을 포함하여, PC, IoT 등 다양한 환경에서 사용할 수 있음

-인증 장치를 소지하고 있으면, 무선으로 CTAP 표준 연동을 통해 지나가기만 해도 광고가 나올 수도 있음.

-FIDO2.0은 구글, MS등 플랫폼 업체가 외부 인증자를 위한 다양한 FIDO기반 외부 인증장치를 고객에게 보급할 것으로 보임.

 

4-3. 생체인증

-인증에서는 성능에 따라서 인증의 민감도를 조절함. 초기 핸드폰 출시 시에 인증의 민감도를 낮춰서 인증이 쉽게 하기도 함. 향후 펌웨어 업그레이드를 통해 민감도 높임.

-오거부율FAR, 오인식률FRR 사이의 교차점 CER(Crossover Error Rate) 설계. 타인이 들어와도 안되고, 내가 거부되어도 안되는 적정선

-퍼포먼스의 기준 인덱스는 신체적 특징별 인증 정확성(인식률) 비교로 확인

-바이오정보 획득>특정정보 추출>비교모듈(데이터저장모듈)>판정모듈 순서로 진행. 바이오인증 시스템의 취약점은 크게 8가지로 분류됨. –> 금융보안원, 바이오인증 최신활용 및 보안동향(2016)

 

4-4. 생체정보의 보호

-바이오 정보 보안위협: 바이오샘플, 특징정보, 템플릿데이터는 저장. 다크웹등에서는 추출모듈을 모르는 바이오샘플이 아니라, 특징정보로 된 템플릿 데이터가 거래됨.

-바이오 인증 보안에 대한 연구: 다중모달, 다중 알고리즘, 다중 인스턴스, 다중 센서 등 다중 바이오인증 융합방식이 있음. 금융서비스를 만들때 보안인증방식을 어떻게 해야할지에 대한 금융서비스 바이오정보 인증,관리 가이드라인이 있음.

-KSX 1966:2018, KSX ISO/IEC 30107-1:2016 의 사례: 인공물과 인간, 제시형 공격 탐지를 위한 방법 등

-바이오정보 분산관리 표준제정: 금융정보화추진협의회는 금융거래에서 사용하는 바이오 정보에 대해 분산 관리 표준을 만듬. 금융기관과 분산관리 센터에서 지문 분할 및 등록을 통해 거래시 입력된 고객 지문을 비교함.  

-인식 시스템: 사전 성능시험에 사용되는 얼굴인식, 홍채인식 등 DB구성 정보 테스트 진행. 바이오인식시스템 시험,인증 해설서(한국인터넷진흥원, 2013) 성능 기준에 대해 검사함.