"보안 없는 핀테크는 사상누각"
금융과 IT(정보기술)이 결합된 금융 서비스, 이른바 핀테크 시대에 금융 보안 패러다임이 새로운 변화에 직면했다.
공인인증서와 키보드 보안 등 이용자단 인증 강화에 중점을 뒀던 기존 금융 보안 체계로는 핀테크 서비스에 따른 다양한 새로운 보안 위협들을 막아내기 역부족하다는 게 전문가들의 지적이다.
갈수록 손쉬운 금융 거래를 요구하는 소비자들의 요구에 대응해야 하고, 혁신적인 금융서비스 제공을 위해서라면 IT 기업과 보다 빈번하게 금융 정보를 공유할 수 밖에 없다. 다각도로 보안 허점들이 생길 수 밖에 없는 구조다.
핀테크 모태 서비스라 할 수 있는 인터넷뱅킹 서비스만 해도 여전히 보안이 부실하다. 적어도 다섯 번의 본인 인증과정을 거쳐야 함에도 사용자가 모르는 사이 계좌에서 돈이 빠져나가는 피해 사례는 발생하고 있다. 지난 달에도 모 은행에서 여섯 차례에 걸쳐 고객 계좌에서 돈이 빠져나간 사실이 뒤늦게 발견되기도 했다.
경찰에 따르면, 지난해 컴퓨터 메모리에 있는 개인정보를 빼내 인터넷 뱅킹 과정에서 돈을 빼돌리는 메모리 해킹 사례가 총 155건으로, 1인당 평균 피해액은 400만원에 달한다. 가짜 웹사이트로 이용자들의 정보를 빼내는 '파밍'의 경우 피해사례도 7101건으로, 전년보다 2배 이상 늘었다. 파밍은 악성코드에 감염된 PC나 휴대전화를 조작해 이용자를 피싱 사이트로 유도해 개인정보를 몰래 빼가는 수법이다.
보안전문가들은 이제 이용자 기기가 아닌 금융거래 서버단(금융거래 과정)에서 보안 위협을 인지하고 막아낼 수 있는 시스템 정비가 필요하다고 말한다. 금융회사가 서버단부터 보안을 책임지고 보다 적극적으로 대응하는 단계로 정보보호 패러다임이 바뀌어야 한다는 것.
금융보안연구원도 올해의 금융권 정보보호 추세로 이같은 변화를 들고, 이상거래탐지시스템(FDS)을 대표적인 대책으로 꼽았다. FDS 시스템은 사용자는 보다 편리하게 금융 거래를 할 수 있으면서도, 부정결제, 무단 계좌 이체 등 이상 징후를 미리 파악해 금융사의 피해도 줄일 수 있게 돕는다.
김홍선 한국스탠다트차타드 은행 부행장은 "현재 금융 산업은 IT의 혁신성을 접목해야 하는 시대적 전환점에 서 있다"며 "정보보안이 수동적이고 방어적 자세에서 벗어나 적극적인 조력자(enabler)의 길을 가야할 때"라고 말했다.
26일 서울 종로구 그랑서울 나인트리 컨벤션에서 개최되는 ‘스마트금융 & 정보보호 페어 2015’에서는 핀테크 시대에 대응하기 위한 금융의 정보보호 패러다임과 대응책을 본격 논의한다.
손병두 금융위원회 금융서비스국장의 기조 연설을 시작으로 금융업과 보안업계의 전문가들이 ‘금융산업의 핀테크 활용 전략과 금융보안 이슈’를 주제로 발표를 이어갈 예정이다.
김유미 금융감독원 IT·금융정보보호단 선임국장, 김홍선 한국 스탠다드차타드은행 부행장(정보보호최고책임자), 김종현 우리금융경영연구소 연구위원, 이준우 팔로알토 네트웍스 코리아 부장 등이 새로운 금융산업의 흐름과 이에 맞는 보안에 대한 견해를 밝힌다.
머니투데이와 보안 전문 미디어 데일리시큐가 주최하는 이번 행사는 금융위원회, 미래창조과학부, 금융감독원이 후원한다.