보고서 정보
주관연구기관 |
한국정보방송통신대연합 |
보고서유형 | 최종보고서 |
발행국가 | 대한민국 |
언어 |
한국어
|
발행년월 | 2015-11 |
과제시작연도 |
2015 |
주관부처 |
미래창조과학부 Ministry of Science, ICT and Future Planning |
등록번호 |
TRKO201600004042 |
과제고유번호 |
1711026867 |
사업명 |
ICT 진흥 및 혁신 기반조성 |
DB 구축일자 |
2016-07-30
|
DOI |
https://doi.org/10.23000/TRKO201600004042 |
초록
▼
4. 연구 내용 및 결과
1) 핀테크 보안의 의의
ㅇ 핀테크 보안(Fin-Tech Security)은 핀테크 서비스에서 정보의 유출, 위조, 변조, 훼손 등을 막는 관리적, 기술적 행위
- ‘핀테크’는‘금융(Financial)’과 ‘기술 (Technique)’의 합성어로 온라인(웹, 모바일 등) 및 오프라인 상에서 제공되는 금융 서비스를 위한 정보통신기술, ‘정보보안’은 정보의 기밀성, 무결성, 가용성의 보존을 의미
ㅇ 핀테크 보안의 등장배경
- (ICT 기술 측면) ICT 기술의 발전과 융합화, 모바일
4. 연구 내용 및 결과
1) 핀테크 보안의 의의
ㅇ 핀테크 보안(Fin-Tech Security)은 핀테크 서비스에서 정보의 유출, 위조, 변조, 훼손 등을 막는 관리적, 기술적 행위
- ‘핀테크’는‘금융(Financial)’과 ‘기술 (Technique)’의 합성어로 온라인(웹, 모바일 등) 및 오프라인 상에서 제공되는 금융 서비스를 위한 정보통신기술, ‘정보보안’은 정보의 기밀성, 무결성, 가용성의 보존을 의미
ㅇ 핀테크 보안의 등장배경
- (ICT 기술 측면) ICT 기술의 발전과 융합화, 모바일 기기의 발달과 보급이 가속화되면서 금융거래가 간편화되고, 서비스가 다양화
- (금융 산업 측면) 금융서비스의 다양화에 대한 수요, 금융 산업의 위기가 핀테크 발달을 가속화
ㅇ 핀테크 서비스의 동향과 보안 이슈
- 2012년 이후 전자금융사고 건수와 피해금액 급증
- 금융회사 대상 해킹 사고, 내부정보 유출 사고, 기기/단말기 악용 사고, 사용자 대상해킹 사고로 구분
- (결제) 인증기술의 안전성, FIDO 인증, 도용가능성 차단을 위한 이상거래탐지 (FDS)가 주요 이슈
- (송금) 악성코드 감염 방지를 위한 피싱, 스미싱 방지가 주요이슈
- (대출 및 대출 중개) 빅데이터 기반 대출 심사에서는 본인확인, 모금자·투자자의 개인정보 보호 방안, 거래 무결성 확보 방안 등이 강조됨
- (금융데이터 분석) 데이터의 질 향상과 서비스 신청자의 프라이버시 보호 간의 상충관계 존재
- (인터넷 전문은행) 물리적 지점을 두지 않고 계좌 개설 등 서비스를 진행하는 과정에서 비대면 본인 확인 수단*이 주요 이슈
* 신분증 사본 이메일 제출, 영상통화, 현금카드 배달인이 본인확인, 기존 은행 계좌를 이용 소액 이체
2) 핀테크 보안 기술
ㅇ (본인확인) 사용자가 금융서비스에 가입하는 과정에서 신원을 확인하는 과정
- 금융 실명제에 의하여 본인확인이 필수적으로 요구됨
- TTP (Trusted Third Party, 신뢰할 수 있는 제3자) 방식인 아이핀, 공인인증서, 휴대폰 본인확인 서비스가 주로 사용되나 도용 문제 있음
- 국내에는 파이도(FIDO) 생체인증 솔루션 도입이 활발*하며, 본인확인의 방법에 따른 신뢰도를 분류한 국제 표준 존재
* 삼성전자 ‘삼성페이’, KG이니시스 ‘케이페이(Kpay)’둥에 생체인증 솔루션 도입
** ISO29115, ITU-T X.1254, NIST SP.800-63-2 등
ㅇ (인증) 온라인에서 접속하는 사용자에 대한 원격인증, 오프라인 환경에서 금융서비스 사용자가 신용카드 등 지불 매체의 실제 소유자인지를 확인하는 과정
- 생체 기반 인증 방식이 이슈가 되고 있으며, 핀테크 주요국에서는 인터넷 은행의 원격 사용자 본인식별을 위한 2단계 본인확인 방식 서비스를 도입 중
ㅇ (피싱⋅파밍 방지) 사용자가 이용하고 있는 서비스가 진짜인지, 더 나아가 믿을 수 있는 지 확인하는 과정
- 기술적인 대처방안으로 SSL 서버 인증, 이를 강화한 EV(Extended Validation) 인증서 존재. 해외에서는 플랫폼 바탕으로 하여, 최신의 피싱/파밍 공격을 탐지
ㅇ (개인정보 유출방지) 서비스의 각 구성요소에 저장되거나 처리되는 개인정보, 금융정보, 거래정보 등의 유출 방지
- 접근제어, 암호화, 정보유출 방지, 동적 개인정보 분석 등의 개인정보보호 기술
ㅇ (단말 플랫폼 보안) 인증에 사용되는 사용자 단말의 해킹 및 악성코드 감염 방지
- 개인방화벽, 키보드해킹방지, 백신 등 이른바 보안 3종 세트 설치. 액티브엑스를 대체하기 위해 exe 파일 형태로 보안 3종 세트를 구동 중
- 앱 라이프사이클 관리와 운영체제 강화, 하드웨어 모듈을 통한 단말 무결성 확인기술, 가상화를 통한 보안의 발전이 예상됨
ㅇ (이상거래탐지) 서비스 제공자 입장에서 현재 발생하는 거래가 정상인지 아닌지를 판단
- 해외에서는 사용자 인증의 간편화 경향과 함께 이상거래 탐지 경험이 축적
- 국내는 2014년부터 도입, NH 농협의 경우 FDS로 통해 파밍 사기를 탐지하여 부정거래를 사전에 차단
3) 핀테크 보안 제도
ㅇ (추진체계) 금융보안원, 금융위원회, 금융감독원
- 금융보안원이 핀테크 보안의 컨트롤 타워로서 출범. 금융보안연구원, 금융결제원의 정보공유분석센터 (ISAC), 코스콤 소속 직원들로 구성됨
- 금융위원회 및 금융감독원은 전자감독규정을 통하여 핀테크 보안에 관한 규제를 총괄하며, 핀테크 지원센터를 운영
ㅇ (추진방안) 금융전산 보안강화 종합대책 (2013년 7월)과 금융 분야 개인정보 유출 재발방지 종합대책 (2014년 3월) 이후 2015년부터 핀테크 보안 정책 등장
- 규제의 패러다임을 전환, 보안 기술의 변화 트렌드에 대한 수용을 강조
- 보안 환경을 둘러싼 환경의 개선, 추진체계의 통합, 보안인력의 양성, 책임의 명확화 측면에서 기존 방안과 유사성, 연속성이 있음
- 새로운 산업 패러다임에 대응하기 위한 목적, 진흥 정책의 기반의 확보에서 비롯되었다는 차이가 있음
ㅇ (법제 현황) 정보통신망 이용촉진 및 정보보호 등에 관한 법률, 개인정보보호법, 신용정보의 이용 및 보호에 관한 법률, 전자 금융거래법, 정보금융실명 및 비밀 보장에 관한 법률, 전자금융감독규정 및 금융 기관 내부의 지침
- (핀테크 보안 사고의 사전 예방) 새로운 정보보호 수단의 도입, 개인 신용정보 보유기간 제한 명문화, 개인신용정보의 제공, 활용 동의 절차의 강화, 신용정보 이용 및 제공사실에 관한 통지의무, 개인정보 삭제요구권 명문화, 모집경로 확인의무 부과
- (핀테크 보안 사고의 사후 구제) 제재 규정의 강화, 법정 손해배상제도의 도입, 징벌적 손해배상제도의 도입, 과징금 규정의 신설, 손해 배상의 보장을 위한 조치의무 부과
4) 핀테크 보안 인력 양성
ㅇ (인력현황) 핀테크 보안인력의 수급 차이 큼
- 은행의 IT인력은 9,136명으로 전체 인력의 3.8% 이며, 이중에서 정보보호인력은 770명으로 금융IT전체인력의 8.4% 정도 (한국은행, 2014)이며, 2017년 까지 정보보호 인력 수급차를 약 22,500명으로 예상 (미래부, 2015)
- 채용(13.8%)율과 비슷한 규모로 이탈율(11.2%)이 높음(미래부, 2015)
- 정보보호에 대한 부정적 인식과 열악한 처우, 고용불안, 낮은 연봉, 군입대 등으로 인한 경력단절이 원인으로 꼽힘(지식정보보안산업협회, 2014)
ㅇ (정책현황) 금융보안 인력의 양과 질을 향상시키기 위한 정책방안과 법적 근거가 마련
- 정보보호 전문인력 체계적 양성전략 (미래부), IT기반 학과의 보안과목 개설, 정부 지원고용 계약 석사과정 운영 등 인력양성과정 등
- ‘정보보호 투자 활성화 대책’(2014), 현장수요 중심의 정보보호 인력 양성
- ‘정보보호산업의 진흥에 관한 법률’개정 (2015. 6), 우수 인재 육성투자의 근거 마련
* 정보보호산업의 융합 촉진(제11조), 전문 인력 양성 (제15조)
5) 핀테크 보안 정책 개선 방향
(1) 핀테크 보안기술
ⅰ) 인증
ㅇ 해외 원천기술을 따라잡는 연구 개발 지원 필요
- 국내 핀테크 보안 기술은 해외 원천 기술에 다수 의존하고 있으며, 새로운 보안 기술적용이 미흡
- 해외는 FIDO의 바이오 기반 인증 기술 표준과 NIST의 인증 가이드라인처럼 원천인증 기술을 추진 중
- 행위기반 인증, 생체신호 인증, 지속인증, 무자각 인증 등의 원천 기술 개발에 적극투자 필요
ㅇ FIDO 인증 기술에 대한 적용 및 관련 기술 개발에 대한 지원을 강화할
ㅇ 인증 신뢰 등급 마련
- 새로운 인증 수단이 등장했을 때 서비스 기관이 이를 신뢰하고 사용할 수 있도록 신뢰 등급의 마련 필요
- 해외에서는 ISO, ITU-T에서 표준화된 신뢰등급을 제공하고 있고 미국에서는 별도로 정부기관에 사용할 수 있는 인증 등급에 대한 가이드라인도 제공
ⅱ) 본인 확인 및 ID 관리 체계
ㅇ ID 관리 체계 전반에 대한 검토 및 통합인증 체계 추진
- 주민등록번호를 대체하여 온, 오프라인 환경에서 사용할 수 있는 목적별 아이디 체계 도입이 필요
ㅇ 온라인 본인확인 수단(아이핀, 휴대폰 본인인증)의 보안성 강화 및 본인확인 수단에 대한 표준화된 신뢰 등급 도입
- 온라인 본인확인 수단들 (아이핀, 공인인증서, SMS 인증코드)의 보안 문제를 보완할 사용 단계 보안성 강화 기술, 비대면 본인확인 기술의 개발 및 보급
- 신뢰 등급을 부여하여, 본인확인이 필요한 서비스의 중요성이나 위험도에 따라 적용가능한 본인확인 수단을 제공할 수 있도록 해주는 표준화된 가이드라인의 마련
ⅲ) 피싱, 파밍 대응
ㅇ 인프라의 구축
- 빅데이터 기반 피싱 인테리젼스 기술 마련
* (美, SourceFire사) 하둡 병렬처리 기술을 이용하여 200만개의 end point를 모니터링
- 단말 서비스를 인증 기술 투자
ⅳ) 개인정보보호
ㅇ 프라이버시에 대한 원천연구 투자
- 국내는 기존의 암호화, 접근제어 기능을 통해 프라이버시를 보호하기 때문에 해외 원천기술에 대한 종속이 우려
ㅇ 개인정보 수집 전송 현황 모니터링
ㅇ 적정한 비식별화 수준에 대한 사회적 합의
ⅴ) 이상거래 탐지 및 신뢰관리
ㅇ 다양한 소스에서의 정보수집, 분석 및 탐지, 대응, 모니터링 및 감사
ㅇ 금융 데이터 분석기술과 함께 한국형 FDS 도입 확대 및 기술 고도화
- 보안솔루션도 깔지 않고도 거래 추적이 가능할 수 있는 기술 필요
ⅵ) 단말보안
ㅇ 플랫폼 자체가 종속되어 있으나 지속적인 기술 개발이 필요
ㅇ 서비스 보안성 제고를 위해 해외 종속되는 플랫폼 기반 단말보안 기술도 도입검토
(2) 핀테크 보안 정책
ㅇ 다양한 보안기술의 발전을 위한 민간 자율 경쟁
- 산업 전반을 정부가 가이드할 때 보다 보안기술이나 시스템을 시장에 맡길 때 사용자 편의성에 입각한 창의적 기술이 발달
- 버그바운티 등 민간의 능력 활용한 보안 정책 필요
ㅇ 위험분산을 위한 생태계 구축
- (필요성) 자율 규제 방식은 기본적으로 위험을 담보
- 자율 보안 방식의 핀테크 주요국은 위험 분담을 통하여 책임 확보
* 미국, 타겟(target) 포스 단말기 해킹 사고
- 평가제도와 보험제도가 유기적으로 기능하는 구조 필요
ㅇ 자문과 정보공개 기능의 강화
- 핀테크 기업의 정보보호 수준 공시 제도 도입
- 금융거래 중요도에 따른 인증 수단 허용 기준 마련
- 기술 지원, 보안성 검토 지원 (공통 FDS 모듈 제공 등)
ㅇ 핀테크 보안에 대한 인식 전환
- 비즈니스 관점의 핀테크 보안 및 복원력(resilience)에 대한 강조
- 사후 보상과 소비자 보호
(3) 핀테크 보안 법령
ㅇ 핀테크 보안 법령 명확화
- 전통적 금융 규제, 전통적 온라인 관련 법, 개인정보 보호규제, 라는 이른바 3중규제의 영역으로 해석의 어려움과 중복적용의 문제 발생
- (장기) 핀테크 보안 관련 규제가 사후적, 네거티브 방식으로 개선
- (단기) 법적 책임에 대한 포괄성과 모호성을 피하기 위하여 법령상 규제 해소나 변경에 따른 법률 상담 채널의 일원화, 법령 해석의 가이드라인 제시 등이 필요
ㅇ 핀테크 보안사고 구제의 실효성 확보
- 전자금융거래법 제9조 제1항 대상 외의 금융사고에 대한 무과실 책임 허용
- 전자금융거래법 상 금융회사 등의 면책요건들의 개선
- 신용정보법상 '법정손해배상제도'가 입증책임 범위 명확화
- ‘무권한거래’ 개념의 도입 검토
ㅇ 핀테크 보안 사고 예방의 실효성 확보
- FDS 근거 법령의 마련*
* 현 법령 상 다양한 개인(거래,행태)정보가 필요한데, 이를 모두‘동의’에 기반하기에 한계 있음
(4) 핀테크 보안 인력 양성
ㅇ (핀테크 보안 인력 수요) 정보보안산업의 처우 개선 및 핀테크 인력 생태계 구축
- 각 기업들의 보안 분야에 대한 투자 지원, IT 예산의 일정 수준 이상을 보안 분야에 투자하고, 책임과 의무를 다한 임직원에 대한 면책 방안이 마련
- 인력의 지속적 확보 위한 산업 자체의 성장과 클러스터의 구축
* 英, 테크시티, 핀테크 인력 (13만 5000), ICT 종사자 (38만), 벤처기업 (5000) 집결하여 지속적 인력 확보 가능
ㅇ (핀테크 보안 인력 공급) 현장 중심형 교욱 및 교육 인증제도 개발 및 도입, 핀테크보안 기술 투자 및 인력확보
- 교과 과정 및 보안 관련 대회의 실효성 확보
- 빅데이터 분석을 위한 전문 인력, 생체인식, FIDO 전문인력, 보안 경제학 전문 인력의 확보
Abstract
▼
4. Research Results
ㅇ FinTech Security Technology
- Supporting Research and development to catch an international source technology. Preparing trust ratings as ISO29115, ITU-T X.1254, NIST SP.800-63-2 to diffuse and adopt new technology.
- To support creative technology, Standardized guidel
4. Research Results
ㅇ FinTech Security Technology
- Supporting Research and development to catch an international source technology. Preparing trust ratings as ISO29115, ITU-T X.1254, NIST SP.800-63-2 to diffuse and adopt new technology.
- To support creative technology, Standardized guidelines
ㅇ FinTech Security Policy and Regulations
- To utilize the ability of the private sector Such as Bug Bounty for Security.
- Autonomous security and Risk diversification through evaluation system and insurance system
- Recognition conversion as resilience and business aspect
- Strengthening consultation and release of information role of government
- Clarification of FinTech Security Act
- Ensuring the effectiveness of the Fintech security incidents relief and prevention
- legislation FDS law for gathering informaions about Personal behavior
ㅇ FinTech Security Manpower Training
- To improve treatment of security industry and to build the Fintech manpower ecosystem
- Development Field –oriented education training Certification
※ AI-Helper는 부적절한 답변을 할 수 있습니다.