국내외 금융 보안 기술 차이로 보는 핀테크

[학주니 이학준] 요즘 금융 시장과 IT 시장에 떠오르고 있는 단어가 하나 있습니다. 핀테크(FinTech)라는 단어입니다. 금융을 의미하는 파이넨셜(Financial)과 기술을 의미하는 테크놀로지(Technology)를 결합한 단어로 직역하자면 금융기술이고 금융서비스에 IT 기술을 더해서 사용자가 편하게 금융관련 서비스를 받도록 하자는 것이 핀테크의 의미라고 생각이 됩니다.

핀테크의 원래 의미가 금융서비스에 IT 기술을 더한 것이라고 한다면 이미 한국은 핀테크를 충분히 경험하고 있습니다. 인터넷뱅킹, 인터넷쇼핑 등의 서비스가 핀테크의 대표적인 케이스이기 때문입니다. 전세계 어느 나라를 봐도 우리나라의 은행처럼 실시간 뱅킹이 되거나 쇼핑이 되는 경우는 많지 않습니다. 서비스 자체만 따져봤을 때에는 국내 기술은 세계 최고라고 해도 과언이 아닙니다. 하지만 우리는 이런 인터넷뱅킹이나 인터넷쇼핑을 핀테크라고 하지 않습니다. 지금 나오고 있는 핀테크 이야기는 알리페이, 페이팔, 애플페이를 얘기하며 이베이, 아마존에서 사용하는 간편결제 등을 이야기합니다. 하지만 앞서 얘기한 인터넷뱅킹이나 인터넷쇼핑의 결제시스템을 핀테크라고 얘기하는 사람은 현재는 없습니다.

Mobile payment

한국에서의 인증, 결제 방식

현재 한국에서 금융관련 서비스, 즉 인터넷뱅킹에서 송금이나 이체를 한다던지, 아니면 인터넷쇼핑을 통해서 물건을 구매하고 결제를 할 때의 프로세스를 살펴보면 왜 그런지 알 수 있습니다. 송금이나 이체를 할 때, 그리고 결제를 할 때 사용자는 자신의 PC에 여러 개의 ActiveX로 된 보안 모듈을 설치하게 됩니다. 공인인증서 모듈과 키보드 보안 모듈, 암호화 통신 모듈(보통은 공인인증서 모듈에 포함되어있지만), 그 외에 여러 보안 모듈들이 설치됩니다. 이들 모듈이 하는 역할은 사용자의 PC와 서비스를 제공하는 서버(인터넷뱅킹, 혹은 인터넷쇼핑 서비스 서버) 사이의 안전한 정보교류를 위한 보안 장치를 맡는 것입니다. 해커들이 중간에 데이터를 가로채서 조작한 후 돈이나 배송지를 자신의 계좌나 주소로 바꿀 수 있기 때문입니다. 보통 오프라인 은행이나 매장에서 송금이나 결제를 진행하게 되면 은행원과 매장 직원을 1:1로 만나서 직접 그 자리에서 돈을 건네주기 때문에 중간에 가로챈다던지 하는 문제가 일어나지 않습니다만 온라인으로 그 작업을 하다 보니 어쩔 수 없이 진행되게 되는 절차입니다. 그런데 이것이 매우 불편하죠. 뭔가를 설치해야 한다는 것 자체도 불편하고 또 불안하기도 하고요(불안을 방지하기 위해 설치하는 것인데 불안하다는 아이러니한 상황이 벌어지는 것도 웃기는 일입니다). 그리고 현행법상으로 이런 보안 장치를 해야 금융관련 서비스를 이용할 수 있다는 것도 이렇게 귀찮게 뭔가를 설치해야 하는 이유 중에 하나입니다.

해외에서의 인증, 결제 방식

그렇다면 해외는 어떨까요? 앞서 얘기했던 것처럼 아마존이나 이베이와 같은 해외 쇼핑몰 서비스도 결제가 진행이 될텐데 말이죠. 해외는 간단하게 진행됩니다. 이른바 간편결제가 활성화가 되었죠. 해당 서비스에 가입할 때 결제할 카드 정보를 함께 입력하도록 되어있습니다. 국내의 경우에는 카드 정보 입력이 허용되지 않습니다. 결제할 때 카드 정보(혹은 계좌 정보)를 입력하도록 되어 있습니다. 개인정보보호의 의미도 있지만 해킹으로 인해 내부 정보가 강탈당해도 중요한 카드나 계좌 정보가 노출되지 않도록 하여 2차 피해를 막자는 것도 이유가 됩니다. 간단히 말해서 내부 시스템의 보안을 완벽히 믿지 못한다는 의미입니다. 하지만 해외 서비스의 경우에는 카드 정보를 저장할 수 있게 되어 있습니다. 그래서 결제를 할 때 이미 저장된 카드 정보를 이용하기 때문에 카드 정보 입력 시 따로 보안을 할 필요가 없습니다. 서비스 서버 내부에서 데이터가 오가는 것인지라 외부 보안이 필요가 없습니다(국내의 경우에는 카드 정보의 유출을 막기 위해 키보드 보안과 암호화 통신 등의 다양한 보안 기법을 적용합니다. ActiveX를 이용해서 말이죠).

또한 공인인증서를 이용한 자기 인증 부분도 생략이 됩니다. 이미 가입을 했을 때 본인인증을 하고 가입을 했기 때문에 그 시스템의 인증을 그대로 믿고 가기 때문입니다. 우리나라의 경우에는 본인인증을 위해 공인인증서를 이용하지요. 암호화 통신의 경우 국내는 공인인증서 모듈에 탑재된 암호화 통신 모듈을 이용하는 경우도 있지만 해외처럼 SSL 통신을 이용하는 경우도 많습니다.

공인인증서 이야기가 나와서 추가하자면 이미 지난 5월에 전자상거래법 시행세칙 개정을 통해서 인터넷쇼핑에서 30만원 이상 결제를 할 경유 공인인증서 의무사용이 폐지되었고, 11월 1일에 국회가 전자금융거래법 개정안을 통과시켰는데  그 골자가 공인인증서 의무사용 폐지어서 내년 하반기쯤, 공인인증서 의무사용 완전폐지가 이뤄질 것으로 보입니다. 현재까지는 일단 의무사용 폐지 부분만 언급이 되어있지만 공인인증서 말고도 다른 인증 및 결제 기술을 전자상거래에 사용할 수 있게 될 것이라는 예상이 가능한 상황입니다. LG CNS의 엠페이는 결제 부분을 대체할 수 있는 좋은 솔루션의 예가 될 것으로 보이고요. 인증 부분에 있어서는 ARS 인증, SMS 인증 등의 이야기가 거론되고 있으며 OTP를 통한 인증도 거론되고 있습니다. 즉, 현재 본인을 인증할 수 있는 다양한 장치가 있으니(ARS 인증이나 SMS 인증은 폰 사용자가 본인임을 전제로 하고 진행합니다) 그것을 활용하는 방법으로 다른 인증을 위한 무엇인가를 사용하지 말고 인증을 진행하는 방법이 많이 보편화될 것으로 보입니다. 물론 이에 대한 보안 부분도 강화가 되어야겠지만 현재 시점에서는 아직 그 부분까지 거론되고 있지는 않은 듯 보입니다.

행위 패턴 분석을 통한 부정사용 방지 방식

기본적으로 해외의 경우에는 인증 부분이 무척이나 간단하게 진행되고 절차 역시 간소화 되어있는 것이 특징입니다. 그에 비해서 국내의 경우에는 인증 부분이 상당히 번거로운 절차를 거치게 되어 있지요. 그 대신 해외의 경우에는 사용자의 행위 패턴을 분석하는 방식으로 간소화된 인증 절차의 놓치는 부분을 채워줍니다. 해외 서비스의 경우에는 사용자의 구매 패턴을 기록하고 그 내용들을 분석합니다. 해당 사용자가 어떤 카테고리의 제품들을 많이 샀는지, 또 어느 금액 수준의 제품을 많이 샀는지, 또 어느 PC를 통해서, 혹은 어느 단말기를 통해서 구매를 많이 했는지, 또 어느 지역에서 구매를 많이 했는지에 대한 기록을 모두 분석합니다. 기록된 내용을 분석하여 행위 패턴을 찾아내는 것입니다. 그리고 만약에 그 패턴과 완전히 동떨어진 구매 행위, 혹은 은행의 경우에는 송금 행위가 일어났을 때에 그 액션에 대한 제제가 가해지는 방식을 이용합니다. 제제라고 하는 것이 보통은 바로 구매나 송금이 일어나지 않고 2차 확인 절차를 더 거치게 하는 방식을 의미합니다. 사용자가 미리 지정해놓은 질문에 대한 답변을 한다든지 하는 2차 인증 방식을 그때 진행하는 것이지요. 그렇기 때문에 자주 사용되는 구매 패턴 안에서는 따로 복잡한 인증 절차 없이 간단하게 결제가 진행되는 것입니다. 이 방식이 국내에는 FDS(Fraud Detection System, 이상금융거래탐지시스템)로 진행되어 개발되고 있습니다만 이미 해외에서는 이베이나 아마존과 같은 쇼핑몰에 적용되어 사용되고 있습니다. 일반적으로 사용할 때 이런 부분이 잘 나타나지 않는 이유는 일반적인 구매패턴에서는 따로 체크를 할 필요가 없다고 시스템이 판단하기 때문입니다.

위에서 FDS에 대해서 잠깐 언급을 했는데 이 시스템이 어떤 역할을 하는지 잠깐 살펴보지요. 최근 금융보안연구원에서 이상금융거래 탐지시스템(FDS) 기술 가이드를 발간했는데 그 내용을 살펴보면 이상금융거래를 탐지하기 위한 4가지 기능별(정보수집, 분석 및 탐지, 대응, 모니터링 및 감사) 소개 및 최소한의 보안 기능 요구사항을 제시하고 있습니다. 정보수집은 이용자의 정보 및 행위에 대한 정보 수집으로 이용자 매체환경 정보와 사고 유형 정보의 수집 기능을 의미한다. 분석 및 탐지 기능은 수집된 정보를 통해 이상 행위에 대한 분석으로 이용자 유형별, 거래 유형별 다양한 상관관계 분석 및 패턴을 검사해 이상 행위를 탐지하는 기능을 의미합니다. 대응 기능은 이상 행위로 판단되었을 때 거래를 차단하거나 추가 인증을 요구하여 부당 거래를 방지하는 등의 기능을 의미합니다. 모니터링 및 감사는 앞서 얘기한 정보수집, 분석 및 탐지, 대응 등의 모든 종합적인 절차를 통합해 관리하고 탐지시스템을 침해하는 다양한 유형에 대한 감사기능을 의미합니다. FDS를 구성하기 위해서는 다양한 소스에서의 수집, 통합, 분석이 이뤄져야 하기 때문에 빅데이터 기술이나 데이터웨어하우스 기술이 많이 적용됩니다. 패턴 분석이 핵심이기 때문입니다. 이 시스템을 통해서 사용자의 평소 거래 패턴을 분석으로 패턴을 확인한 후 범위를 정한 이후에 그 범위 이외의 액션이 취해지게 되면 이상 행위로 판단하여 제제를 가한다는 것이 FDS의 기본적인 역할입니다. 위에서 언급한 해외 서비스의 행위패턴 분석과 비슷하지요. 그리고 이 모든 작업들은 사용자단이 아닌 액션이 일어난 이후에 서버단에서 모두 진행됩니다.

즉, 국내에서는 사용자단에서 인증작업 등의 보안절차가 진행되는 반면 해외에서는 사용자단 보다는 서버단에서의 인증작업 등의 보안절차가 이뤄진다고 보면 됩니다. 그러다 보니 사용자단의 보안 절차가 간소화되고 사용자의 PC나 모바일 단말기에 설치되어야 할 모듈들이 줄어들거나 없게 되다 보니 절차가 간단해지고 그 기반으로 다양한 서비스들을 만들 수 있게 되었다는 얘기입니다.

사용자에게 책임을 묻는 공인인증서의 부인방지

그리고 국내 서비스와 해외 서비스의 차이점 중 하나는 인증에 대한 책임소지가 누구에게 있는가도 한몫 합니다. 공인인증서의 가장 큰 사용 이유는 다름아닌 부인방지입니다. 본인이 사용했기 때문에 그것을 부인할 수 없다는 것입니다. 인터넷 상의 인감증명서와 같은 역할을 하는 것이 공인인증서의 역할입니다. 해외 서비스의 경우에는 이런 역할을 하는 것이 없습니다. SSL 통신을 위해서 받은 서버 인증서는 해당 PC나 모바일 단말기를 인증하기는 하지만 사용자 인증은 하지 않습니다. 대신에 앞서 얘기했던 것처럼 행위패턴 분석을 통해서 사용자를 인증하는 방식을 사용합니다. 그러다 보니 문제가 생겼을 경우 국내의 경우에는 본인과실로 넘기는 경우가 많습니다. 해킹을 당해서 본인이 PC나 인증서 관리를 제대로 못했기 때문이라고 서비스 업체들이 떠넘길 수 있는 여지가 있으니까요. 해외의 경우에도 사용자 과실이 드러난 경우에는 사용자에게 책임을 묻지만 시스템 문제인 경우에는 서비스 회사가 그 책임을 가져갑니다(국내의 경우에는 시스템 문제인 경우에도 사용자 과실로 몰고 가는 경우가 종종 있습니다). 책임 소재가 사용자에게 있는가, 아니면 서비스 측에 있는가를 가리는 부분도 핀테크 기술의 발전 방향에 어떻게 맞게 적용될 것인지가 결정이 됩니다.

현재의 결제 시스템과 인증 시스템이 유지되는 이상 국내에서 핀테크가 제대로 적용되기는 어려울 것이라고 많은 전문가들이 얘기합니다. 특히 클라이언트 부분에서 인증과정을 진행하는 국내의 방식은 시스템으로 하여금 필요 이상의 많은 무엇인가를 설치하게 하기 때문에 서비스 개선의 여지가 많은 것이 사실입니다. 핀테크의 핵심이 편리함, 간소화, 간편함이라고 할 때 클라이언트에 집중된 보안 부분을 서버 쪽으로 많이 넘기고 클라이언트의 부담을 최소화하는 방식이 필요합니다. 서비스 자체의 보안 부분을 강화하여 데이터의 안전 보관 등이 안심할 수 있는 수준이 된다면 지금보다는 더 편리한 금융 서비스가 가능하게 될 것으로 보입니다. 물론 이에 관련된 법이 좀 바뀌어야 하는 부분도 존재합니다. 현재 국내에서도 간편결제 서비스들이 많이 만들어지고 있고 나오고 있습니다. 앞서 공인인증서 의무사용 완전폐지가 조만간 이뤄질 것으로 보이기 때문에 이에 대응하는 기술들이 계속 나오고 있지요. 하지만 간편함에만 초점을 맞춰서는 안됩니다. 간편함 뒤에 확실한 보안성이 뒤따라야 함은 당연한 일입니다. 위에서 언급했던 해외사례가 단순히 간편함을 강조한 것이 아닌 그 이면의 다양한 보안 기술을 통해서 사용자의 정확한 거래를 유지하기 위한 노력이 있다는 것을 알아야 할 것입니다. 관련 기관 및 기업들의 인식도 함께 바뀌어야 하는 것이 맞기도 하고요. 그런 때가 후딱 오기를 바랄 뿐입니다.

 

출처원문 : 국내의 금융 보안 기술과 해외의 금융 보안 기술의 차이. 핀테크를 위한 길은?

About

이 학준
IT 칼럼리스트이자 통합 보안 SI PM 겸 컨설턴트이다.