IT Life

국내외 금융 보안 기술의 차이를 통해 살펴본 핀테크!

2014. 12. 23. 10:16

 

최근 금융과 IT 시장에서는 핀테크(FinTech)에 대한 관심이 높습니다. 핀테크는 '금융(Finance)'과 '기술(Technology)'을 결합한 단어인데요. 직역하면 금융기술을 의미하지만, 금융서비스에 IT 기술을 더해서 사용자가 편리하게 금융 관련 서비스를 받도록 하는 것이 핀테크입니다. 핀테크가 이와 같은 의미라면 한국은 이미 핀테크를 충분히 경험하고 있다고 볼 수 있는데요. 인터넷 뱅킹, 인터넷 쇼핑 등의 서비스도 핀테크의 대표적인 사례이기 때문입니다. 


전세계 어느 나라를 봐도 우리나라만큼 실시간 뱅킹이나 쇼핑 서비스가 활발하게 진행되는 곳이 없습니다. 서비스 자체로 봤을 때도 세계 최고라고 해도 과언이 아니죠. 하지만 인터넷 뱅킹이나 인터넷 쇼핑 자체만으로는 핀테크의 범주에 포함되지 않습니다. 지금 이야기되는 핀테크는 이베이나 아마존에서 사용하는 알리페이, 페이팔, 애플페이 등의 간편결제 서비스를 말하는데요. LG CNS에서 만든 엠페이(MPay)도 핀테크 기술 중 하나입니다. 오늘은 국내외 결제 방식의 차이를 통해 간편결제 서비스의 핵심 서비스인 보안 기술에 대해 알아보겠습니다.

 

아마존이나 이베이 같은 해외 쇼핑몰 사이트에서 구매해본 경험이 있는 소비자라면 한국의 결제방식이 상당히 복잡하다는 것을 느끼게 됩니다. 구매 서비스뿐 아니라 인터넷 뱅킹을 할 때도 마찬가지죠. 이처럼 프로세스가 복잡한 이유는 PC에 설치해야 하는 여러 개의 액티브엑스(ActiveX) 보안 모듈 때문입니다. 공인인증서, 키보드 보안, 암호화 통신 모듈이나 그 외의 여러 보안 모듈이 이에 해당하죠. 


이러한 모듈은 사용자의 PC와 서비스를 제공하는 서버(인터넷 뱅킹, 인터넷 쇼핑 서비스 서버 등) 사이에서 안전한 정보교류를 돕는 보안장치로, 고객 정보를 빼가거나 거래 내용을 조작해 범죄를 저지르는 해커들의 공격을 막습니다. 모든 거래가 오프라인에서 사람과 사람의 1:1로 이루어지던 때에는 발생하지 않았던 문제들이죠. 물론 안전을 위해 설치하는 것이지만 불편한 마음이 드는 것은 어쩔 수 없습니다. 또, 안전을 위해 설치한 프로그램이 오히려 불안하게 느껴지는 것도 아이러니한 일이죠. 




그렇다면 해외 결제방식은 어떨까요? 앞서 얘기했던 것처럼 아미존과 이베이와 같은 해외 쇼핑몰 결제 프로세스는 훨씬 간단합니다. 이른바 간편결제가 보편화되어 있기 때문입니다. 아마존을 예로 들어 설명해보겠습니다. 아마존에 가입할 때는 결제할 카드정보를 함께 입력할 수 있습니다. 국내에서는 개인정보보호와 해킹으로 계좌나 카드 정보 유출로 발생할 수 있는 2차 피해를 막기 위해 카드 정보를 결제할 때만 입력할 수 있도록 제한된 사항입니다. 


아마존은 결제할 때 가입 시 저장한 카드 정보를 이용하기 때문에 카드정보 입력 과정을 위한 보안이 필요 없습니다. 또한 서비스 서버 내부에서 데이터가 오가는 것이기 때문에 키보드 보안이나 외부 보안이 불필요합니다. 이 때문에 아마존의 결제는 별다른 보안 프로그램 설치 없이 바로 이루어질 수 있는 것입니다. 아마존에서는 공인인증서를 활용한 자기 인증도 생략됩니다. 가입 과정에서 본인인증을 완료했기 때문에 그 과정을 그대로 믿고 가기 때문입니다. 우리나라에서는 공인인증서로 본인인증을 이용하고 있고, 암호화 통신의 경우 공인인증서 모듈에 탑재된 암호화 통신 모듈 또는 SSL(Secure Socket Layer) 통신을 이용합니다.

 

국내 공인인증서는 지난 5월 전자상거래법 시행세칙 개정으로 인터넷 쇼핑에서 30만원 이상 상품에 대한 결제도 공인인증서 의무사용이 폐지되었습니다. 11월 1일 국회가 통과시킨 전자금융거래법 개정안의 기본 골자가 공인인증서 의무사용 폐지인데요. 따라서 내년 하반기쯤에는 공인인증서 의무사용이 완전히 폐지될 것으로 보입니다. 현재까지는 의무사용 폐지만 언급되고 있지만, 공인인증서 말고도 다른 인증 및 결제 기술을 전자상거래에 사용할 수 있게 될 것이라는 예상이 가능해진 것이죠. 

<LG CNS 엠페이(MPay), 결제수단 등록 프로세스>


이에 따라, LG CNS의 엠페이는 현재의 결제 시스템을 대체할 수 있는 솔루션의 긍정적인 예가 될 것입니다. 인증 부분에 있어서는 ARS 인증, SMS 인증과 함께 OTP를 통한 인증도 거론되고 있습니다. 즉, ARS나 SMS 인증처럼 휴대폰 사용자가 현재 본인을 인증할 수 있는 다양한 장치가 이미 있기 때문에 공인인증서와 같은 별도 과정 없이 기존의 인증방식을 활용하는 것이 보편화될 수 있을 것입니다. 이러한 방식을 사용할 경우 보안 강화에 대한 논의가 필요한데, 현재까지는 보안에 대한 논의는 이루어지고 있는 않은 형편입니다.

 

국내의 인증에 비해 해외 서비스는 무척 간단하다고 말씀 드렸는데요. 이렇게 간소화된 과정만으로 안전한 서비스가 가능한 걸까요? 해외에서는 사용자의 행위 패턴을 분석을 통해 간소화된 인증 절차가 놓치는 정보를 보완합니다. 예를 들어, 사용자의 구매패턴을 기록하고, 그 내용을 분석하여 사용자 구매하는 제품의 카테고리, 제품의 금액 수준, PC나 사용 단말기의 사양, 구매 지역 등을 데이터화하는 것입니다. 


이를 바탕으로 구매자의 행위 패턴을 찾아내고, 이러한 패턴과 동떨어진 구매행위나 송금이 일어났을 때 구매를 제재합니다. 여기서 제재하는 방식은 보통 구매나 송금 단계로 넘어가지 않고, 2차 확인 절차를 거치는 것입니다. 사용자가 미리 정해놓은 질문에 답변을 하게 하거나, 2차 인증방식을 이때 진행하는 것이죠. 즉, 간편결제는 사용자가 평소 이용하는 구매 패턴 안에서의 구매가 별도의 인증 없이 간단하게 진행되는 것을 의미합니다. 

'이상금융거래 탐지시스템'의 4가지 구성

(출처: 금융보안연구원 이상금융거래 탐지시스템 기술 가이드)


이베이, 아마존 등에서 활용되는 이러한 방식은 현재 FDS(Fraud Detection System, 이상금융거래탐지시스템)로 국내에서 개발이 진행되고 있으며, 최근 여러 매체에서도 소개되고 있는데요. 그러면 국내에서 개발하고 있는 FDS의 역할에 대해 살펴보시죠. 


최근 금융보안연구원에서는 이상금융거래 탐지시스템(FDS) 기술 가이드를 발간했습니다. 가이드에서는 이상금융거래를 탐지하기 위한 4가지 기능별(정보수집, 분석 및 탐지, 대응, 모니터링 및 감사) 소개와 최소의 보안 기능 요구사항을 제시하고 있습니다. 


정보수집은 이용자의 정보 및 행위에 대한 정보 수집으로 이용자 매체환경 정보와 사고 유형 정보의 수집 기능을 의미합니다. 분석 및 탐지 기능은 수집된 정보를 통해 이상 행위에 대한 분석으로 이용자 유형별, 거래 유형별 다양한 상관관계 분석 및 패턴을 검사해 이상 행위를 탐지하는 기능입니다. 대응 기능은 이상 행위로 판단되었을 때 거래를 차단하거나 추가 인증을 요구하여 부당 거래를 방지하는 등의 기능을 의미합니다. 모니터링 및 감사는 앞서 얘기한 정보수집, 분석 및 탐지, 대응 등의 모든 종합적인 절차를 통합해 관리하고 탐지시스템을 침해하는 다양한 유형에 대한 감사기능입니다. 


FDS를 구성하기 위해서는 다양한 소스에서의 수집, 통합, 분석이 이뤄져야 해서 빅데이터 기술이나 데이터웨어하우스 기술이 많이 적용됩니다. 패턴 분석이 FDS의 핵심이기 때문이죠. 이 시스템을 통해서 사용자의 평소 거래 패턴을 분석하여 개별 사용자의 패턴에 포함할 수 있는 범위를 정합니다. 그래서 이 범위 밖의 행동이 이루어지면 이상 행위로 판단하여 구매를 차단하는 것이 FDS의 기본 역할입니다. 앞서 설명한 해외 서비스와 비슷한 방식인데요. 또한, 이 모든 작업은 사용자의 액션이 완료된 이후에 이루어지기 때문에 사용자 단이 아닌 서버 단에서 진행되는 특징이 있습니다. 즉, 국내에서는 사용자단에서 진행하던 보안절차를 서버 단으로 넘겨서 사용자가 개인의 PC나 단말기에 설치해야 하는 모듈이 줄어들거나 없어진 것입니다. 이를 바탕으로 다양한 서비스들이 만들어지기도 합니다. 

 

IT 강국인 대한민국에서 유독 결제시스템이 복잡한 이유 중 하나가 현행법입니다. 많은 전문가는 현재의 법 개정 없이는 결제시스템과 인증시스템이 유지될 수 밖에 없고, 국내에서 핀테크가 제대로 적용되기 어렵다고 말합니다. 특히, 클라이언트 부분에서 인증과정을 진행하는 국내의 방식은 시스템으로 하여금 필요 이상의 많은 것을 설치하게 하는 것은 서비스 개선이 시급한 부분입니다. 핀테크의 핵심을 간소화되고 편리한 방식이라고 했을 때, 사용자 단에 치우친 보안방식을 서버 단으로 넘겨 사용자의 부담을 최소화할 필요가 있습니다. 서비스 자체의 보안을 강화하여 데이터의 안전 보관 등이 안심할 수 있는 수준에 도달한다면 지금보다 훨씬 편리한 금융 서비스가 가능한 것이죠. 


이러한 문제점에 대한 인식은 사실 업계에서도 충분히 공감대를 형성하고 있습니다. 그래서 현재 국내에서도 다양한 간편결제 서비스들이 개발되고 있고, 출시된 서비스도 있습니다. 공인인증서 의무사용이 완전히 폐지될 것으로 예상되는 만큼 이러한 움직임은 더욱 활발하게 진행되고 있습니다. 하지만 간편결제 시스템 개발에 있어서 가장 중요한 것은 간편함만은 안입니다. 간편함 뒤에 확실한 보안성이 뒤따라야 하는 것이죠. 


LG CNS에서 제공하는 엠페이 서비스는 현행 시스템에서 가장 편리하고 안전한 결제 시스템으로 인정받고 있는데요. 끊임없이 소비자 패턴을 연구하고, 분석하여 해외 서비스보다 더 편리하고 안전한 결제 서비스로 거듭나길 바랍니다.


● LG CNS 간편결제 솔루션, 엠페이(MPay) 인포그래픽: http://blog.lgcns.com/590


글 l 이학준 (http://poem23.com/ 필명: ‘학주니’)


Posted by IT로 만드는 새로운 미래를 열어갑니다 LG CNS

댓글을 달아 주세요

위로