2020-05-27 06:40 (수)
“핀테크 시대, PCI-DSS는 필수 인증으로 자리잡아”
상태바
“핀테크 시대, PCI-DSS는 필수 인증으로 자리잡아”
  • 길민권
  • 승인 2015.03.02 16:31
이 기사를 공유합니다

[SFIS 2015] 김민수 삼정KPMG 이사 “시큐리티, 비즈니스 영역으로 확대”
데일리시큐와 머니투데이가 공동 주최하고 금융위, 금감원 등이 후원한 제3회 SFIS 2015 스마트 금융& 정보보호 페어는 2월 26일 그랑서울 3층 나인트리 컨벤션센터에서 금융위, 금감원, 전국 금융기관 CIO, CISO, 정보보호 실무자, 핀테크 관계자 등 400여 명이 참석한 가운데 성황리 개최됐다.
 
이 자리에서 김민수 삼정KPMG 리스크 서비스 이사(사진)는 ‘핀테크 시대의 정보보안 감사와 PCI-DSS 활용 방안’이란 주제로 발표를 진행했다.
 
김민수 이사는 “핀테크는 결제 이외에도 운영, 고객관리, 컴플라이언스, 세무, 금융범죄, 데이터분석 등 다양한 핀테크 서비스가 존재한다”며 “하지만 사이버 보안문제가 해결되지 않으면 발전하기 힘들다. 글로벌 핀테크 기업들을 대상으로 설문조사한 결과 사이버 보안 및 데이터 전송 규제가 핀테크 시대에서 경영진이 가장 중요하다고 선택한 보안 해결 과제로 조사됐다”고 전했다.
 
또 “핀테크를 통해 이제 국가가 인정한 자격 요건을 갖추지 않은 금융 플레이어들이 나오고 실제로 서비스가 가능하다. 금융서비스가 확장되는 것”이라며 “이 과정에서 기존 금융정보가 아닌 것들이 핀테크에서 활용될 수 있다. 예를 들어 이용자의 차종, 휴대폰 요금제, 온라인에서 물건을 얼마나 사는지 등에 따라 대출금이 결정될 수 있다는 것이다. 즉 거래기록 등 금융정보가 아니었던 정보들이 금융정보로 활용될 수 있다는 것이다. 또 이러한 정보들이 해외로 넘어가는 과정에서 국내 개인정보보호법, 신용정보법 등이 제대로 적용될 수 있을지, 현재 국내 법으로는 핀테크 대응이 힘든 상황”이라고 지적했다.

 
한편 김 이사는 핀테크와 정보보안 감사 이슈도 언급했다. “기존 IT감사는 주로 상장기업들 회계감사를 받을 때 재무데이터 투명성 때문에 실시한다. 보안감사는 다른 레벨이다. 하지만 온라인 기반의 핀테크 감사는 IT감사 대부분이 보안감사가 될 것”이라며 “핀테크는 데이터가 모두 온라인에 기반해 있기 때문에 IT감사와 보안감사 영역을 구분하기가 애매하다. 이에 대한 기준이 나와야 하는 실정”이라고 말했다.
 
핀테크 관련 법과 보안 문제가 고민인 시점에 김 이사가 핀테크 기업에 제안하는 것은 바로 PCI-DSS인증 도입니다.
 
PCI 데이터 보안 표준(Payment Card Industry Data Security Standard)은 가맹점이나 결재대행업자가 취급하는 회원의 신용카드 정보나 거래 정보를 안전하게 보호하기 위해 American Express, Discover, MasterCard, VISA, JCB사가 공동으로 책정한 신용카드 업계 글로벌 보안 기준으로 PCI-DSS 운영 단체는 PCI SSC(PCI Security Standard Council)다.
 
PCI-DSS인증은 PAN(카드소유자번호)과 카드 소유자 데이터의 보호를 목적으로 하고 있으며 연간 트랜잭션 양에 따라 인증 요구 레벨이 존재하고 6백만건 이상일 경우 인증획득 의무화가 되어 있다.
 
김 이사는 “PCI-DSS인증은 신용카드업계의 산업보안표준이지만 핀테크 분야 필수 인증으로 간주되기 시작했다”며 “이 인증이 결제정보 유출 사고 방지를 완벽하게 보장해 주지는 않지만 그럼에도 불구하고 국내외 PCI-DSS인증 도입 기업은 증가하고 있다. 국내에서 핀테크에 대한 IT감사 규격을 내놓은 것이 없기 때문에 유일한 결제산업과 관련 보안표준인 PCI-DSS인증을 먼저 도입후 국내 컴플라이언스가 나오면 적용하는 식이 좋을 것”이라고 제안했다.
 
그는 또 “PCI-DSS 프로그램 도입을 위해 필요한 노력을 과소평가해서는 안되며 지속 가능한 컴플라이언스로 유지해야 한다. 그리고 컴플라이언스 요구 범위를 더 넓은 의미로 확장해서 판단하고 새로운 기회로서 컴플라이언스를 활용하는 등 적용 범위에 최대한 집중할 것”을 요구했다.
 
특히 그는 모바일 결제 서비스에 대해 단기적 방향성으로는 모바일 앱 구현 단계 인증 안전성 강화를 위해 지문인증, 사진인증, 그래픽 인증(디멘터 그래픽,시큐락) 등의 인증 강화 대책 마련, 이중인증의 옵션화 및 선택적 인증 방식 도입으로 사용자 안전성/편리성 선택의 폭을 증대시킬 것. 그리고 앱카드 설계시 요건(규격) 강화를 통한 보안오류 최소화 및 모바일 앱 시큐어 코딩 표준 마련 및 정기적 점검 의무화를 제시했다.
 
또 중장기적 방향성으로 모바일 플랫폼 구조적 보안이슈 대응책 수립을 위해 현재 스마트폰 운영체제의 구조적 보안 문제에 대한 대응기술을 도출하고 명의도용 등의 피해 방지를 위한 본인인증 시스템의 강화대책 수립을 위해 스마트폰 입력 개인정보 외 신원환인용 토큰 도입, 고유식별정보 기반 본인확인 방법의 다양화 등을 제안했다.
 
한편 그는 핀테크 시대, 시큐리티가 비즈니스 영역으로 넘어 온다고 강조했다. 감사 영역이 확장되면서 보안전문가들이 보안팀으로만 진출하는 것이 아니라 내부감사, 내부통제팀으로 진출할 수 있는 기회가 됐다는 것이다. 보안인력들의 진출 영역이 확대될 수 있다는 점이다.
 
김민수 이사는 또 “핀테크가 활성화되면서 사이버 금융범죄 해결을 서비스하는 산업도 핀테크 산업의 일부가 될 수 있다고 강조하며 보안산업 성장에도 호재로 작용할 수 있다”고 전하고 “핀테크 산업영역을 기존 금융당국에서 관리할 것인지 아니면 미래부에서 관할 할 것인지도 관건이다. 관련 규제를 어느 부서에서 관리해야 할지 정부의 신속한 정리 작업이 필요하다”고 덧붙였다.
 
이번 제3회 SFIS 2015에서 발표된 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.
 
<★정보보안 대표 미디어 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com