테마칼럼 핀테크환경변화에따른금융보안및금융권의대응방안 최근금융권을비롯한 IT 관련업체들은핀테크 (Fin-Tech) 열풍에휩싸여있다. 마치핀테크가꽉막힌금융산업을시원하게풀어줄분수처 럼말이다. 이에필자는핀테크의실체와정말로열풍을불어오게할무엇이있는가를살펴보고이를활성화시키기위해필요한안전성확보 대책에대해의견을개진하고자한다. 김인석 고려대학교정보보호대학원교수
핀테크개요핀테크란말그대로금융 (Financial) 과기술 (Technology) 의결합을통해새로운금융서비스를창출하는것을의미한다. 대표적인서비스로모바일결제, 모바일송금, 온라인개인재정관리, 크라우드펀딩등을들수있다. 핀테크는말그대로온라인에의해모든것이이루어지기때문에고전적인방식의결제나금융거래와달리저비용, 고효율을통해무한한금융상품을만들어낼수있다. 핀테크스타트업종핀테크스타트업에투자하는앤테미스그룹 (Anthemis Group) 의션파크 (Sean Park) 대표는개인자산관리 (Personal Finance) 주식거래 (Markets & Trading) 위험관리 (Risk management) 자산관리 (Wealth management) 비즈니스뱅킹 (Business banking) 결제 (Payments) 등과크라우드펀딩분야나새로운사이버통화표준으로떠오르고있는비트코인분야스타트업도핀테크에속한다고보고있다. 핀테크의시작핀테크의시작은미국이베이 (ebay) 사의페이팔 (PayPal) 이라고할수있다. 2008 년부터서비스를시작한페이팔은세계 193개국에서 191조원에이르는결제를처리하고있으며, 중국최대쇼핑몰인알리바바 ( 阿里巴巴 ) 가제공하는알리페이 ( 支付宝 ) 도중국내쇼핑몰결제금액의 50% 이상을차지할정도로급성장하고있다. 그뒤로애플이신용카드기능을품은애플페이를선보였고다음카카오는카카오톡으로간단하게결제하거나자금이체또는현금인출을할수있는카카오페이와뱅크월렛카카오를개발했으며, 세계적인구글도구글페이를선보였다. 이런핀테크는개인모두가소지하고있는스마트폰과같은통신기기에금융서비스를결합한것으로기존의단순소액결제가아닌새로운금융산업영역으로보아야한다. 핀테크가금융산업에미치는영향금융회사지점을통해서만취급할수있었던금융상품과서비스가통신사 유통업체 인터넷업체등에서취급되는방향으로변화돼금융상품과서비스의판매채널다양화로고객들의편의성이제고될것이다. 또한핀테크시장내치열한경쟁촉발로다양한금융상품출시등금융서비스가양적 질적으로한층업그레이드될것으로기대되고있으며, 스마트폰보급과기술의발전으로금융서비스의중심이기존오프라인및인터넷에서모바일로급속히재편되고, 금융회사는인터넷은행설립또는인수 IT 기업과의제휴확대를통해경쟁력을강화하고, 비금융회사는금융회사고객을흡수하며금융회사수익기반을잠식해나감에따라금융과 IT 간다양한합종연횡이촉발될것이다. 핀테크전망 2015 년 글로벌핀테크투자붐 과 핀테크의부상 이라는보고서를통해런던과미국뉴욕의핀테크스타트업붐을분석한컨설팅업체액센츄어에따르면핀테크벤처에대한국제투자는 2008 년 1조원에서 5년만에 3조원규모까지증가했다. 그리고핀테크투자는계속성장해 2018 년까지 8조원규모로늘어날것이라고전망했다. 2007 년아이폰의등장과함께시작된모바일혁명이핀테크에도큰자극을준것이다. 그리고쉽게응용해서개발이가능한오픈소스소프트웨어의발전과고가장비의구입없이도자원을사용한만큼만요금을내는클라우드기술의대두도핀테크스타트업의발전을촉진시켰다. 핀테크주요서비스간편결제또는지급결제핀테크의대표적인서비스로온라인쇼핑이증가함에따라보다간편하고안전하게결제할수있는방안을찾는고객들의욕구를충족하기위해만들어졌다. 특히해외직접구매가급속히증가하면서우리나라국민들이해외인터넷쇼핑몰에서물건을구매하듯이외국인들도국내쇼핑몰에서물건을구매하는기회가증가함에따라간편한결제수단이필요하게됐다. 특히대통령이외국인들이우리나라쇼핑몰이용에어려움이있다고지적한것을계기로한국의간편결제개발은급성장하고있다. 간편결제는 생각의프레임을넓히다
테마칼럼 단순히결제서비스뿐만이아니라소액이체, 현금인출, 해외송금등의서비스도동시에이루어지고있다. 대표적인서비스를보면국내의경우모든카드사들이자체적으로개발했거나제휴한간편결제서비스를제공하고 있으며, 카카오페이 뱅크월렛카카오를비롯한많은업체도서비스를진행하거나개발을진행중이다. 해외의경우는잘알려진알리바바, 이베이, 아마존, 구글, 애플등이다양한방식으로간편결제서비스를제공하고있다. < 그림 1> 전세계모바일결제서비스현황 이베이 알리바바 아마존 SNS 카카오 KG 이니시스 한국사이버결제 제조삼성전자 LG 유플러스 통신 SKT, KT, LG 유플러스 자료출처 : Business Watch 개인대출서비스 (Cloud Fund 또는 Peer to Peer Lending) 온라인및모바일의장점인접근성을기반으로대출을원하는기업이나개인, 그리고높은이자및낮은거래비용을원하는개인과기업을동일플랫폼내에서연결시켜주는서비스이며, 특히신용평가 채권회수등리스크에대한우려를빅데이터및소셜데이터등을통해해결한것이특징이다. 결제및송금온라인결제, 사이버머니등에익숙한이용자들의거부감 이적어오래전부터서비스를제공하고있다. 신용카드사용에따른위험을제거하고이용의편리성을위해전자화폐, 사이버머니등을통해기능을제공하고있으며특히지급안전성확보를위해물품인도까지거래대금지급이보류되는에스크로서비스를제공하고있다. 기타모바일을통해이용자가보유한자산규모를실시간으로알려주는자산관리서비스나맞춤형투자정보제공, 원스톱으로투자상품의구매를돕는투자서비스등이있다.
< 표 1> 핀테크주요서비스내용 서비스명지급결제해외송금자산관리대출 상세설명 신용카드나은행계좌를사용하는온 오프라인및모바일결제대체 ex) PayPal. Alipay, Starbucks, 카카오월렛등 송금은행 중계은행 수취인은행을통해제공되던업무를 IT 업체가대체 ex) Transfer Wise, Azimo, Currency Fair 등 고객들의예금, 투자현황등을종합적으로관리하거나소액투자에적합한온라인투자서비스제공 ex) 위어바오, Nutmeg, Rplan, Blue Speek Financials 등 대출자와차입자를직접연결하는중계역할수행 ex) Xopa, Alibaba 핀테크활성화를위한정부및금융감독당국의대책정부와금융위원회등정책담당부처들은핀테크를새로운기회로보고이를성장동력육성분야로활성화시키기위해다양한정책들을발표하고있다. 이는그동안온라인 금융을안전성중심으로운영하면서발생한각종보안대책이핀테크를활성화시키는데걸림돌이되고있다고판단한것으로본다. 핀테크를위해반드시알아야할내용은다음과같다.(< 그림 2> 참조 ) < 그림 2> 금융위원회가추구하는핀테크산업활성화방안 비전 IT 금융융합으로창조금융활성화 목표 글로벌경쟁력을갖춘혁신적핀테크서비스창출 핀테크산업의신성장동력화 상위과제 규제패러다임전환 오프라인위주의금융제도개편 핀테크산업성장지원 세부과제 사전규제최소화 기술중립성원칙실질적구현 책임부담명확화 규제예측성강화 한국형인터넷전문은행모델수립 크라우드펀딩활성 금융상품판매채널혁신 빅데이터활용기반마련 결제부문낡은규제정비 핀테크지원체계구축 핀테크기업자금조달지원 전자금융업진입장벽완화 전자지급수단이용활성화 전자금융업종규율재설계 금융보안을토대로한금융소비자보호 자료출처 : 금융위원회보도자료참고 (2015 년 1 월 27 일 ) 생각의프레임을넓히다
테마칼럼 1) 보안성심의제도폐지현재신규전자금융서비스시작전에금융감독원에승인을받던보안성심의를폐지하고금융회사자체적으로보안성심의후서비스를시작하도록함으로써신기술도입, 신속한서비스시작가능등의효과를얻도록했다. 다만, 안전성이약화되지않도록사후관리감독은강화하기로했다. 2) 인증방법평가위원회폐지신규인증수단을개발한경우인증평가위원회의승인을받던것을폐지함으로써다양한인증방법을금융회사들이개발해사용토록했다. 3) 금융보안관련과잉규제개선공인인증서사용, 전자금융거래매체분리, 국가기관인증제품사용, 단말기관리대책등과잉규제로판단되는모든사항을폐지해금융회사들이자율적으로보안대책을마련할수있도록했다. 또한공인인증서, Active X 사용폐지등특정기술을요구하는조항을폐지해기술의중립성을유지토록했다. 4) 책임부담명확화전자금융거래사고발생시비금융회사도공동으로책임을부담하도록법적책임성을인정하고전자금융사고이행보증보험을현실화해사고발생시피해보상이원활히이루어지도록했다. 5) 규제의예측가능성제고법적불확실성은새로운형태의핀테크서비스출현을저해하므로환경변화에따른입법미비사항을보완하고, 적극적법해석을통해법규적용의예측가능성을확보하고현행법률상관련규율의범위가불분명한사항등법적불안전성이있는서비스 상품에대해서는 비조치의견서 의활발한활용을유도한다. 6) 오프라인위주의금융구조개편인터넷전문은행모델수립, 크라우드펀딩활성화, 온라인판매채널다양화, 빅데이터분석을활용한금융산업기반지원, 결제분야낡은규제정비등을통해오프라인위주의금융산업을 O2O(Offline to Online) 분야로확대될수있도록지원하기로했다. 7) 핀테크산업성장지원핀테크지원센터설립, 민간기술평가시스템구축, 핀테크기업자금조달지원, 전자금융업의진입장벽완화 ( 금융투자업권의선불업진출허용 전자금융업등록자본금의탄력적운용 ), 전자지급수단이용의활성화등을지원하기로했다. 8) 금융보안을토대로한소비자보호금융권자율보안체계를구축하고정보보호및금융보안입법노력을강화하고온라인체널의불완전판매를방지토록하는등금융소비자를해킹, 피싱등으로부터안전하게보호할예정이다. 이상과같은금융감독당국의핀테크활성화의지가향후 한국이세계핀테크를선도할수있기를기대한다. 10
핀테크는신속 간편하고, 편리한금융서비스를제공할수있다. 하지만그만큼개인결제정보유출등의위험성을안고있다. 거스를수없는물결인핀테크를통해새로운금융서비스를창출, 창조금융활성화에앞장서기위해서는양질의서비스를제공하는것만큼이나보안등의위험요소에대한대응책도탄탄히마련해야할것이다. 안전성확보방안핀테크는제도금융권보다도새로운서비스를제공하는다양한업체들이새로운형태의금융거래등을제공하게됨으로써그동안경험하지못한다양한사고에노출될것이다. 특히간편결제와인터넷전문은행등과같은서비스는온라인에의해본인을인증하고개인정보를교환하게됨에따라안전성이성공의기본이될것이다. 한국은행이발표한 2014 년지급수단이용행태조사결과및시사점 에따르면, 응답자가운데인터넷 모바일결제를사용하지않은이유로는정보유출및보안우려가 72.3~78.3% 로가장높게드러났다. 안전장치불신과실수로인한손실우려, 구매절차복잡, 인터넷사용미숙등의응답이뒤를이었다. 핀테크를위협하는중요한보안요소로는본인인증, 정보유출, 시스템마비, 부정거래가핵심이라고판단되므로각부문별대응방안을살펴보겠다. 는외부로부터의공격에대비해내부망과외부망의연계를없애는망분리, 정보유출시에도문제가발생되지않도록정보의암호화, 프로그램등에의한공격에대비해프로그램과데이터베이스에대한접근통제와사고발생시에도업무의연속성을확보하기위한장애대책 (BCP : Business Contingency Planning) 등을갖추어야한다. 특히, 최근해외에서발생한 100여개은행을해킹해 10억달러를인출한사고는이런내부시스템보호가얼마나중요한가를일깨워주고있다. < 그림 3> 해커들이세계의은행들을턴수법해커가은행원들에게악성소프트웨어를심은이메일발송 1 해커관리자PC 2 내부시스템보호내부시스템을위협하는보안요소인시스템마비, 정보유출, 고객예금인출등이발생하게되면치명적인위협이되는공격이될것이다. 이런내부시스템보호를위해서 감염된관리자 PC 를통해은행입 출금시스템파악 해커의계좌로이체또는현금출금기로출금 자료출처 : 뉴욕타임즈 생각의프레임을넓히다 11
테마칼럼 통신망보호핀테크의기본은모든거래나결제가스마트폰을중심으로온라인에서이루어진다는것이다. 그러므로네트워크의안전성확보가무엇보다중요하다. 이런통신망에대한위협요소로는홈페이지 (WebSite) 마비, 정보절취, 거래내용변경등이있다. 따라서홈페이지는정기적으로보안점검을실시하고송 수신되는데이터는암호화해야한다. 세계적으로활용되고있는 SSL(Secure Sockets Layer) 프로토콜을이용하는것도좋은방법이라고본다. 간편결제보호대책그동안의결제시스템은보안프로그램설치, 본인인증을위한공인인증서, 카드번호, 보안카드 ( 또는 OTP : One Time Password) 등여러단계를거쳐야하는불편함이있었다. 그러나앞으로는이런것이없어지고말그대로 PIN (Personal Identification Number) 한번클릭을통해구매대금이결제가되거나자금이이체또는출금되는방식으로변화됐다. 간편결제에서의본인인증방식은 1) 최초등록시본인의계좌정보또는카드정보와개인정보를조합해 PIN을발급받은이후에는 PIN으로만모든결제를수행하는방식 2) 스마트폰등기기에카드정보를탑재한카드를이용해결제하는방식 3) 지문, 홍채, 정맥, 안면등생체정보를이용해결제하는방식 4) 스마트폰이나일반전화에카드리더기를설치한신용카드를이용해결제하는방식들이사용되고있다. 이중가장많이활용되고있는 PIN 방식의경우최초계좌정보나신용카드를이용해 PIN을발급하고있고등록이후에는사용시 PIN 만으로결제가이루어지고있어메모리해킹등에의해 PIN이노출될경우사고로연결될수있어이에대한대응방안이필요하다. 또한, 계좌정보나카드정보가비금융회사인업체에저장된다면금융회사와동일한보안체계를갖추어야한다. 이때보안표준으로세계적으로활용되고있는지불카드산업데이터보안표준 (PCI-DSS, Payment Card Industry Data Security Standard) 을국내에서도참고할수있다고본다. 인터넷전문은행보호대책 인터넷전문온라인은행이라해도보안체계는기존은행 들과동일하게유지해야한다. 다만, 온라인전문은행이성공하기위해서는비대면거래 를어디까지허용하느냐에달려있다. 즉, 비대면온라인계 좌개설이가능하도록하고설립과영업에대한기준을완 화하기위한법과규정을개정해주는것이다. 비대면온 라인계좌개설이허용되면해당은행들은기본적인안전 체계구축은물론계좌개설과거래시본인인증을철저히 하기위해다양한시스템을구축해야한다. 이상금융거래탐지시스템구축 (FDS : Fraud Detection System) 전자금융거래에대한사고나지급결제에대한사고의경우 그기술이날로고도화되고수법도다양해지고있어본인 인증강화, 물리적매체활용, 생체정보활용등방어체 계를구축해도완벽하게방지하기에는어려움이있다. 이 런문제점을보완하기위해최근은행에서개발하고있는 것이 이상금융거래탐지시스템 이다. 동시스템은전자금 융거래에사용되는단말기정보 접속정보 거래내용등 을종합적으로분석해의심거래를탐지하고이상금융거 래를차단하는시스템을의미한다. 미국의경우도 2011 년 6 월미국연방금융기관검사협의회 (FFIEC) 에서발표한 인 터넷뱅킹인증가이드라인 (Authentication in an Internet Banking Environment) 에서는금융회사가전자금융부정 거래를적시에효과적으로대응할수있도록부정거래탐지 및모니터링시스템을구축할것을권고하고있다. 간편결제를중심으로한핀테크로인해리스크증가 그동안우리나라를비롯한세계모든국가에서해킹과사 이버공격으로인해예금인출, 고객정보유출, 시스템파 괴등수많은사고가발생했다. 그중에서도우리나라는세 계어디에서도보기힘든모든금융회사를상대로온라인 실시간자금이체시스템과 85% 를상회하는전자금융거래, 인터넷쇼핑몰등잘발달된금융시스템으로인해더많은 위험에노출돼있다고본다. 12
과거에는이용의불편보다는안전성을중시해공인인증서 일회용비밀번호 (OTP : One Time Password) 각종방어프로그램등을적용해사고를막아왔으나, 핀테크는신속하고 간편하고 편리해야한다는조건을충족시켜야함에따라위험성은더욱커질것이다. 이에대비하는방법은앞에서언급한방법이외에가능한공동으로사용하는인증수단은최소화하고개별기관별인증체계를구축해사고가발생하더라도해당기관으로피해를한정시키고, 그동안은금융회사가강요하는보안시스템에서개인이원하는보안시스템을선택할수있도록하고, 사고발생시 에도담당자들의처벌보다는원인과결과를정확히분석해타당성있는조치가필요하다. 또한전문적인범죄집단에대응하기위한전문조직및인력양성이필요하다. 특히, 사고정보의공유나사고조사는피해기관만으로는할수없으므로수사기관과감독당국이공동으로수행할수있도록상시적인조직이필요하다. 핀테크는거스를수없는물결이다. 우리가과거전자금융거래도세계를선도했듯이핀테크도세계를추월해갈수있도록정부, 금융회사, 기업, 이용자모두가힘을합쳐나가기를바라본다. 금융 < 그림 4> 2015 년금융 IT 보안 10 대이슈전망 1 2 3 4 5 6 7 8 9 10 한국형핀테크본격형성, 여 수신까지업무범위확대모바일보안, 하드웨어기반기법도입논의본격화 PC 서버에서모바일, 사물인터넷으로보안위협증가신 변종전자금융사기 결합형 으로진화 FDS 전금융권도입확대및기술적고도화액티브X, 금융시장에서퇴출본격화금융권망분리전사영역으로확대간편결제서비스, 원클릭 O2O 형태로진화공인인증서, 비설치형으로진화내부통제기술에빅데이터분석기술접목 자료출처 : 금융보안연구원 생각의프레임을넓히다 13