최근 금융권을 비롯한 IT 관련 업체들은 핀테크 열풍에 휩싸여 있다. 마치 핀테크가 꽉 막힌 금융산업을 시원하게 풀어줄 분수처럼 말이다. 이에 핀테크의 실체와 정말로 열풍을 불어오게 할 무엇이 있는가를 살펴보고 이를 활성화하기 위해 필요한 안전성 확보 대책이 무엇인가를 살펴보기로 하자. (고려대학교 정보보호대학원 김인석 교수. 사진)
 
◇핀테크 개요
핀테크(FinTec)란 말 그대로 금융(Financial)과 기술(Technology)의 결합을 통해서 새로운 금융서비스를 창출하는 것을 의미한다. 대표적인 서비스는 모바일 결제, 모바일 송금, 온라인 개인 재정 관리, 클라우드 펀딩 등을 들 수 있다. 핀테크는 말 그대로 온라인에 의하여 모든 것이 이루어지기 때문에 고전적인 결제나 금융거래와 달리 저비용, 고효율을 통하여 무한한 금융상품을 만들어 낼 수 있다.

 
금융회사 지점을 통해서만 취급할 수 있었던 금융상품과 서비스가 통신사, 유통업체, 인터넷업체 등에서 취급되는 방향으로 변화되어 금융상품과 서비스의 판매채널 다양화로 고객들의 편의성이 제고될 것이다.

또한 핀테크 시장내 치열한 경쟁 촉발로 다양한 금융상품 출시 등 금융서비스가 양적 질적으로 한층 업그레이드될 것으로 기대되고 있으며, 스마트폰 보급과 기술의 발전으로 금융서비스의 중심이 기존 오프라인 및 인터넷에서 모바일로 급속히 재편되고 있다. 또 금융회사는 인터넷 은행 설립 또는 인수, IT기업과의 제휴 확대를 통해 경쟁력을 강화하고, 비금융회사는 금융회사 고객을 흡수하며 금융회사 수익기반을 잠식해 나감에 따라 금융과 IT간 다양한 합종연횡이 촉발될 것이다.
 
◇핀테크 활성화를 위한 정부 및 금융감독 당국의 대책
정부와 금융위원회 등 정책 담당부처들은 핀테크를 새로운 기회로 보고 이를 성장 동력 육성 분야로 활성화시키기 위하여 다양한 정책들을 만들어 발표하고 있다. 이는 그 동안 온라인 금융을 안전성 중심으로 운영하면서 발생한 각종 보안대책이 핀테크를 활성화 시키는데 걸림돌이 되고 있다고 판단한 것으로 본다. 이에 핀테크를 하기 위해서는 반드시 알아야 할 내용들이기에 정리하여 본다.

 
◇안전성 확보 방안
핀테크는 제도 금융권보다도 새로운 서비스를 제공하는 다양한 업체들이 새로운 형태의 금융거래를 제공하게 됨으로써 그 동안 경험하지 못한 다양한 사고에 노출될 것이다. 특히 간편결제와 인터넷 전문 은행 등과 같은 서비스는 온라인에 의하여 본인을 인증하고 개인정보를 교환하게 됨에 따라 안전성이 성공의 기본이 될 것이다. 한국은행이 최근 발표한 '2014년 지급수단 이용행태 조사결과 및 시사점'에 따르면, 응답자 가운데 인터넷, 모바일 결제를 사용하지 않은 이유로는 정보유출 및 보안우려가 72.3~78.3%로 가장 높게 드러났다. 안전장치 불신과 실수로 인한 손실 우려, 구매절차 복잡, 인터넷 사용 미숙 등 응답이 뒤를 이었다.
 
핀테크를 위협하는 중요한 보안요소로는 본인인증, 정보 유출, 시스템 마비, 부정거래가 있으므로 각 부문별 대응방안을 살펴보겠다.
 
◇내부시스템 보호 대책
내부시스템을 위협하는 보안요소로는 시스템 마비, 정보유출, 고객예금 인출 등 발생하게 되면 치명적인 위협이 되는 공격들이 될 것이다. 이러한 내부시스템 보호를 위해서는 외부로부터의 공격에 대비하여 내부 망과 외부망의 연계를 없애는 망분리, 정보유출시에도 문제가 발생되지 않도록 정보의 암호화, 프로그램 등에 의한 공격에 대비한 프로그램과 데이터베이스에 대한 접근 통제와 사고 발생시에도 업무의 연속성을 확보하기 위한 장애대책(BCP. Business Contingency Planning) 등을 갖추어야 한다.
 
특히, 최근 해외에서 발생한 100여 개 은행을 해킹하여 10억 달러를 인출한 사고는 이러한 내부시스템 보호가 얼마나 중요한가를 일깨워 주고 있다.

 
◇통신망 보호 대책
핀테크의 기본은 스마트폰을 중심으로 한 네트워크의 고속화로인한 콘텐츠의 제공이 원활해 진 것이라고 할 수 있다. 이러한 통신망에는 무수히 많은 종류의 정보가 유통되고 있어 이를 해킹하여 통신망을 마비 시키거나 정보 축출, 변경하는 해킹 기술을 통하여 금전적 목적을 달성하거나 사회 혼란을 유발할 수 있다. 따라서 통신망 상에 송·수신되는 데이터는 암호화하여야 한다. 다행이 통신망은 세계적으로 SSL(Secure Sockets Layer)이라는 안전한 프로그램을 사용할 경우 통신 과정에서의 정보유출을 방지해 주고 있어 이용자들은 별도로 해야 할 일이 없다.
 
◇간편결제 보안대책
그 동안의 결제 시스템은 보안프로그램 설치, 본인인증을 위한 공인인증서, 카드번호, 보안카드(또는 OTP. One Time Password) 등 여러 단계를 거쳐야 하는 불편함이 있었다. 그러나 앞으로는 이러한 것이 없어지고 말 그대로 PIN(Personal Identification Number), 한번 클릭을 통하여 구매 대금이 결제가 되거나 자금이 이체 또는 출금되는 방식으로 변화되었다.
 
간편 결제에서의 본인 인증 방식은 △최초 등록시 본인의 계좌정보 또는 카드정보와 개인정보를 조합하여 PIN을 발급 받은 이후에는 PIN으로만 모든 결제를 수행하는 방식 △스마트폰 등 기기에 카드 정보를 탑재하여 카드를 이용하여 결제하는 방식 △지문, 홍채, 정맥, 안면 등 생체 정보를 이용하여 결제하는 방식 △스마트폰이나 일반 전화에 카드 리더기를 설치하여 신용카드를 이용하여 결제하는 방식들이 사용되고 있다.
 
이 중 가장 많이 활용되고 있는 PIN 방식의 경우 최초 계좌정보나 신용카드를 이용하여 PIN을 발급하고 있고 등록 이후에는 사용시 PIN 만으로 결제가 이루어지고 있어 메모리 해킹 등에 의하여 PIN이 노출될 경우 사고로 연결될 수 있어 이에 대한 방안이 필요하다.
 
또한, 계좌정보나 카드정보가 직접 결제서비스를 제공하는 업체에 저장된다면 금융회사와 동일한 보안체계를 갖추어야 한다. 이때 적용하는 표준이 PCI-DSS이다. 기타  방식은 안전성은 높으나 사용에 불편함, 비용의 추가 발생 등이 있어 이용자들의 이해가 요구된다.
 
◇인터넷 전문은행 보안 대책
인터넷 전문 온라인 은행이라 하여도 보안체계는 기존 은행들과 동일하게 유지하여야 한다. 다만, 온라인 전문은행이 성공하기 위해서는 비 대면 거래를 어디까지 허용하느냐에 달려있다. 즉, 비대면 온라인 계좌개설이 가능토록 하고 설립과 영업에 대한 기준을 완화하기 위한 법과 규정을 개정하여 주는 것이다. 비대면 온라인 계좌 개설이 허용되면 해당 은행들은 기본적인 안전체계 구축은 물론 계좌개설과 거래시 본인인증을 더 철저히 하기 위한 다양한 시스템을 구축하여야 한다.  
 
◇이상 금융거래 탐지시스템 구축(FDS. Fraud Detection System)
전자금융거래에 대한 사고나 지급결제에 대한 사고의 경우 그 기술이 날로 고도화되고 수법도 다양해지고 있어 본인 인증 강화, 물리적 매체 활용, 생체 정보 활용 등 방어 체계를 구축하여도 완벽하게 방지하기에는 어려움이 있다. 이러한 문제점을 보완하기 위해 최근에 은행들에서 개발하고 있는 것이 「이상금융거래 탐지시스템」이다. 이 시스템은 전자금융거래에 사용되는 단말기 정보, 접속 정보, 거래내용 등을 종합적으로 분석하여 의심거래를 탐지하고 이상금융거래를 차단하는 시스템을 의미한다. 미국의 경우도 2011년 6월 미국 연방금융기관 검사협의회(FFIEC)에서 발표한‘인터넷뱅킹 인증 가이드라인(Authentication in an Internet Banking Environment)’에서는 금융회사가 전자금융 부정거래를 적시에 효과적으로 대응할 수 있도록 부정거래탐지 및 모니터링 시스템을 구축할 것을 권고하고 있다.
 
◇간편 결제를 중심으로 한 핀테크로 인한 리스크 증가
그 동안 우리나라를 비롯한 세계 모든 국가에서 해킹과 사이버 공격으로 인하여 예금 인출, 고객정보 유출, 시스템 파괴 등 수 많은 사고를 당하였다. 그 중에서도 우리나라는 세계 어디에서도 보기 힘든 모든 금융기관을 상대로 한 온라인 실시간 자금이체 시스템과 85%를 상회하는 전자금융거래, 인터넷 쇼핑몰의 발달 등 잘 발달된 금융시스템으로 인하여 더 많은 위험에 노출되어 있다고 본다. 
 
과거에는 이용의 불편보다는 안전성을 중시하여 공인인증서, 일회용 비밀번호(OTP. One Time Password), 각종 방어프로그램 등을 적용하여 사고를 막아왔으나, 핀테크는 신속하고, 간편하고, 편리해야 한다는 조건을 충족시켜야 함에 따라 위험성은 더욱 커질 것이다.
 
이에 대비하는 방법은 앞에서 언급한 방법 이외에 가능한 공동으로 사용하는 인증수단은 최소화하고 개별 기관별 인증 체계를 구축하여 사고가 발생하더라도 해당 기관으로 피해를 한정시키고, 그 동안은 금융회사가 강요하는 보안시스템에서 개인이 원하는 보안시스템을 선택할 수 있도록 하고, 사고 발생시에도 담당자들의 처벌보다는 원인과 결과를 정확히 분석하여 타당성 있는 조치가 필요하다. 전문적인 범죄 집단에 대응하기 위한 전문 조직 및 인력 양성이 필요하다. 특히, 사고 정보의 공유나 사고 조사는 피해기관만으로는 할 수 없으므로 수사기관과 감독당국이 공동으로 수행할 수 있도록 상시적인 조직이 필요하다.
 
이제 핀테크는 거스를 수 없는 물결이다. 우리가 과거 전자금융거래로 세계를 선도했듯이 핀테크도 세계를 추월해 갈 수 있도록 정부, 금융회사, 기업, 이용자 모두가 힘을 합쳐 나가기를 바란다.
 
<★정보보안 대표 미디어 데일리시큐!★>
 
[글. 김인석 고려대학교 정보보호대학원 교수 / iskim11@korea.ac.kr]