핀테크 기술 및 보안동향

스마트폰과 같이 여러 센서와 통신기술이 탑재된 모바일 기기의 확산으로 인해 다양한 기술을 핀테크 분야에 활용할 수 있는 환경이 마련되면서 각 업체는 시장을 선점하기 위해 다양한 방법과 기술을 도입하여 결제 프로세스를 간소화하고 있다. 일반적으로 모바일 결제 프로세스를 간편하게 하려고 다중 요소 인증을 활용하거나 단순한 ID/PW를 도입하고 약화된 사전보안보다 사후보안을 강화할 수 있는 보안정책, 결제대행시스템, 이상행위탐지 등을 복합적으로 도입하고 있다. 현재 제공되고 있는 모바일 결제서비스 기술에 대해서 알아본다.

가. NFC + TouchID

대표적으로 애플(Apple Inc.)에서 개발한 Apple Pay에 도입된 방식으로 (그림 1)과 같이 10cm 내의 근거리에서 단말기 간에 데이터 전송이 가능한 NFC(근거리이동통신)기술과 지문인식으로 결제하는 방식이다. 사용자는 NFC 리더기에 스마트폰을 근접시키고 본인 인증을 위해 스마트폰에 탑재된 지문인식기에 지문을 인식하여 결제를 완료한다[4].

(그림 1)

Apple Pay 결제 흐름도[4]

나. ID/PW + Escrow + FDS

신용카드와 스마트폰 등 다양한 결제수단을 등록해 PC나 모바일 기기에서 미리 설정한 ID/PW만을 입력하여 결제하는 방식이다. 일반적으로 이런 형태의 결제방식은 편의성을 위해 ID/PW에 의존하면서 약화된 사전보안을 보완하기 위해 부정행위를 탐지하는 Fraud Detection System(FDS)를 도입하거나 구매자와 판매자 사이에 가상계좌를 활용하는 에스크로(Escrow)방식으로 (그림 2)와 같이 결제를 처리하여 사후보안을 강화한다. 페이팔(Paypal), 알리페이(Alipay)에 도입된 방식이다[5].

(그림 2)

Paypal 결제절차[5]

다. Barcode/QR 코드

카드정보를 PG사에 등록하고 결제 시 사용자 스마트폰으로 바코드(barcode)를 출력하여 제시하거나 QR코드를 읽어 결제가 진행되는 방식이다. 바코드의 경우 소비자가 스마트폰으로 바코드를 출력하여 자신의 카드정보를 제시하면 가맹점은 바코드 리더기를 통해 이를 읽고 카드사에 지급승인을 요청한다. 반면 QR코드방식의 경우 가맹점이 상품 정보를 QR코드를 통해 제시하고 소비자는 스마트폰에 설치된 애플리케이션을 이용하여 QR코드를 읽고 카드사에 지급승인을 요청한다[6].

라. Beacon

비콘(beacon)은 저전력 블루투스 통신기술을 이용하여 신호를 계속 보내주는 작은 장치이다. 사용자의 스마트폰은 수신된 비콘신호의 전파세기를 통해 대략적인 거리를 계산하여 사용자의 위치접근정보를 파악한다. 사용자의 위치접근정보를 이용하면 핸드폰을 꺼내지 않고 구입 의사표현이 가능해진다. 비콘을 간편결제에 도입한 페이팔은 비콘을 매장에 설치해 고객이 매장을 방문했을 때 자동으로 Point Of Sales(POS)에 고객에 대한 정보가 나타나고, 비용을 청구하면 자동으로 고객의 스마트폰에서 결제가 이루어지는 방식이다.

마. 모바일 신용카드

모바일 신용카드는 모바일 기기에 저장된 결제카드 정보를 이용하거나 카드사 네트워크에 접속하여 결제하는 서비스를 말한다. 모바일 신용카드는 USIM형 방식과 APP형 방식이 있다. USIM형 방식은 (그림 3)과 같이 사용자 스마트폰의 유심칩에 개인 카드정보를 저장하고 NFC를 통해 NFC리더기에 스마트폰을 접촉하여 결제하는 방식이다. APP형 방식은 스마트폰에 전용 프로그램을 설치한 후, 신용카드 앱을 실행하여 출력된 바 코드를 리더기로 읽으면 카드결제가 이뤄지는 방식이다[6].

(그림 3)

모바일 신용카드 발급 및 사용절차[6]

* 발급절차는 점선, 사용절차는 실선

인터넷 보급이 활성화되고, 각 가정당 컴퓨터와 인터넷이 보급됨에 따라 인터넷을 이용한 결제와 뱅킹서비스를 많은 사람들이 사용하고 있다. 온라인 결제란 비금융기관이 제공하는 전자지급 결제서비스를 말한다. 인터넷에서 상품을 구매하는 경우에 해당한다.

인터넷 뱅킹은 2005년부터 시작된 이후로, 국내의 많은 사람이 가입하여 사용하고 있다. 2014년 중 인터넷 뱅킹(모바일 포함) 이용 건수 및 금액은 6,645만 건, 36조 8,550억원으로 지속적으로 증가하고 있으며 전체 뱅킹 거래량의 35.4%를 차지하고 있다[7].

온라인 결제서비스는 카드결제, 모바일 소액지급, 계좌이체 등 중에서 사용자가 선택하여 결제할 수 있다. 본 논문에서는 카드결제를 사용한 경우를 설명하도록 한다.

상품구매를 위해서 온라인 결제를 진행하고자 하면, (그림 4)와 같이 보안모듈 플러그인이 설치여부를 확인한다. 설치되어 있지 않으면 보안모듈 플러그인을 설치하도록 사용자에게 요구한다.

(그림 4)

보안모듈 플러그인 설치요구 화면[8]

보안모듈이 설치되면 결제 동의 창이 활성화된다. 결제를 동의하고 진행하면 결제방법을 선택한다. 원클릭 간편결제, 앱카드(간편결제), 일반결제 등 3가지 결제방법 중에서 하나를 선택하여 진행한다.

원클릭 간편결제는 사용자 결제카드의 정보를 입력하지 않고, 사용자의 휴대폰번호와 주민등록번호 앞에 6자리를 입력하여 사용자의 결제카드를 확인하는 방법이다. 결제카드를 확인하면, 사용자의 휴대폰으로 비밀번호가 SMS로 발송된다. (그림 5)와 같이 사용자는 SMS의 비밀번호를 입력하고 진행한다. 비밀번호가 맞으면 최종 정보를 확인하고 결제가 이루어진다.

(그림 5)

원클릭 간편결제 SMS 비밀번호 입력화면[8]

앱카드(간편결제)를 선택하면, ‘스마트폰으로 인증을 요청했습니다’라는 안내와 함께 스마트폰 간편결제 애플리케이션에 거래내역이 전송된다. 스마트폰에서 거래내역을 승인하기 위해서 앱카드(간편결제) 비밀번호를 입력하면 거래를 승인한다. 그 후에 확인버튼을 클릭하면 결제가 완료된다.

마지막으로 일반결제의 경우에는, 카드번호와 CVC/ 4DBC를 입력한다. 카드결제의 경우, 일반결제 패스워드 또는 공인인증서를 이용한 인증을 해야 한다. 패스워드는 일반결제용 패스워드를 최초 사용 시에 설정한 후, 사용하면 된다. 공인인증서를 선택한 경우에는 공인인증서 화면이 팝업창으로 생성된다. 본인의 공인인증서를 선택하고 인증서 암호를 입력하면 결제가 완료된다.

빅데이터를 이용한 핀테크 기술은 ‘빅데이터를 이용한 금융 비즈니스’, ‘금융대출을 위해 사용되는 빅데이터 분석 기술’로 분류할 수 있다. 국내 금융권에서는 핀테크 기술을 이용하여 결제모델을 창출하기보다는 빅데이터 분석을 통한 개인 맞춤형 비즈니스 상품개발에 중점을 두고 있다. 핀테크 기술을 개발하여 사용자에게 대출을 해주는 스타트업 기업들은 빅데이터 분석을 이용해 사용자 평판 분석을 하는 추세이다. 각각의 기술을 자세히 살펴보면 다음과 같다.

가. 빅데이터를 이용한 금융 비즈니스

빅데이터를 이용한 금융 비즈니스 분야는 금융권에서 고객유치와 수익창출을 위해 중점적으로 투자하고 있는 분야이다. <표 2>는 국내의 은행, 카드, 보험사가 빅데이터를 활용하여 추진하고 있는 사업을 나타낸 것으로 전체적으로 편의성과 수익창출을 목표로 하고 있다.

<표 2>

금융권 빅데이터 활용사례

><출처>: 한국금융연구원·금융권, “빅데이터 활용사례,” 2014.

대부분 은행은 현재 빅데이터 활용방안에 대해 사업화를 진행하는 시점인 것을 알 수 있다. 그 이유는 빅데이터 분석이 카드사에서부터 시작했기 때문인데 카드사에 서는 빅데이터를 활용하여 맞춤형 비즈니스 창출 및 고객 유치에 중점을 두기 위해 다른 금융권보다 먼저 빅데이터 분석 사업을 시작하였다. 카드사뿐만 아니라 보험사에서도 빅데이터 분석이 이루어지고 있다. 보험사에서는 고객유치와 수익창출보다는 주로 사고분석을 위해 빅데이터 분석 시스템을 구축하고 있다[9][10].

나. 빅데이터 분석을 이용한 금융대출

빅데이터 분석을 통해 대출상품을 제공하는 기업은 대규모 인프라를 가지고 있는 ‘알리바바’와 사용자의 편의성을 최적화시킨 ‘온덱’, 사용자의 신용도를 소셜네트워크서비스와 자체 시스템 알고리즘으로 산정하는 ‘제니스’ 등이 있다[11]-[13]. 사용자의 신용도를 산정하고 대출해주는 핀테크 기업은 각각의 장점을 살려 사용자에게 편의를 제공해주고 있다. 알리바바에서 대출심사 시 사용하는 빅데이터는 <표 3>과 같다.

<표 3>

알리바바의 빅데이터 분석 및 활용 방식

<출처>: 대한무역투자진흥공사, “알리바바의 빅데이터 분석 및 활용방식,” 2013. 7.

알리바바에서는 대출심사 시 정형 데이터 이외에 구매 후기, 판매자-구매자 간 대화이력 등의 비정형 데이터 또한 분석하였으며 SNS 등에서의 외부 데이터도 분석하여 대출신청자의 대출상환 능력 및 의지를 수치화하여 자격여부를 판단한다[14].

대출신청자의 편의를 최대화시킨 ‘온덱’은 빠른 시간 안에 빅데이터 분석을 통해 신청자의 신용도를 산정한 후 대출해준다. 아래 목록은 ‘온덱’에서 대출신청 시 작성하는 대출신청서의 항목들이다[15].

- 대출금액, 기간

- 대출신청자의 기본적인 개인정보

- 대출한 돈을 사용할 분야

- 대출신청자의 회사명, 사업분야

- 대출신청자의 연간 수입

- 대출신청자의 평균 통장 잔고

- 3개월 동안의 금융거래내역

대출신청서 작성이 모두 끝나면 유선으로 대출신청자를 확인한 후 3개월 동안의 금융거래내역을 받아 빅데이터 분석을 진행한다. 빅데이터 분석을 할 때 대출신청자의 SNS 평판 또한 분석하여 신용도를 산출하며 불과 10분 후엔 대출신청자의 신용등급이 평가되고 그에 따른 이자율이 책정된다. 점차 온덱을 사용하는 기업인들이 증가할 것으로 예상되며, 이에 따른 사용자 정보에 대한 빅데이터 분석 기술이 더욱 고도화될 것으로 예상된다.

현재 모바일 결제에서의 요구사항은 사용자 편의성을 제공함과 동시에 안전한 결제를 위한 기술이 요구된다. 2절의 모바일 결제에서 설명했듯이, 모바일 결제서비스들은 각각의 사용자 인증방식과 그에 따른 결제 프로토콜을 사용하고 있다. 일반적으로 사용자 인증에 많이 사용되는 ID/PW의 방식은 지식기반 인증방식으로 구분되는데, 별도의 하드웨어가 필요하지 않지만, 사용자들이 각 서비스들의 ID/PW를 기억해야 하는 전통적인 지식기반 인증방식의 문제점이 있다. 최근에는 사용자가 가진 고유한 형태의 신체구조 또는 행동결과 기반의 생체기반 인증방식이 각광을 받고 있다. 사용자가 별도의 인증 토큰을 소유하거나 기억해야 하는 정보가 없기 때문에 사용자 편의성을 제공한다. 그리고 사용자의 고유한 정보를 사용하기 때문에 보안성도 강하다.

최근에 주목받는 FIDO(Fast Identity Online)인증 기술은 스마트폰, 스마트와치 같은 모바일 기기에서 사용하는 패턴, 지문인식, USIM기반 등의 인증기술을 온라인에 적용하는 것을 기본아이디어로 하고있다[16]. FIDO 인증기술은 패스워드를 사용하지 않고 기기인증을 이용하여 필요에 따라 여러 인증기술을 선택할 수 있어 편리성과 보안을 동시에 만족하는 간편결제에 적합한 기술이다. FIDO 인증은 (그림 6)과 같이, 패턴, 음성, 지문, USIM기반 인식 등 모바일 기기에서 사용하는 간편하고 보안강도가 높은 인증기술을 온라인에 적용하여 사용자가 결제 시 패스워드를 사용하지 않고 기기인증을 이용하여 편의성을 제공하고, 웹 서비스는 필요에 따라 인증기술을 선택할 수 있다. 마이크로스프트, 애플, 구글, 삼성, 페이팔, ETRI 등 세계의 IT기업과 통신사, 결제회사, 연구원 등이 참여하여 앞으로 핀테크의 사용자 인증에 많이 사용될 전망이다.

(그림 6)

FIDO 인증과정[16]

패스워드 인증은 온라인이나 오프라인 간편결제에 활용하기에는 보안 취약성으로 인해 추가적인 보안이 필요하고 이 또한 취약점으로 작용될 수 있다. 이와 더불어 사용자가 단순한 문자열을 사용하여 발생하는 취약점을 보완하기 위해 비밀번호를 자주 변경하게 하거나 특수문자를 요구하는 것은 편의성에 문제가 될 수 있다. 하지만 FIDO 인증기술이나 생체인증 기반 결제방식은 기존에 스마트 디바이스가 가지고 있는 인증방식을 사용하여 사용자 편의성과 보안성을 제공할 수 있다.

온라인 결제 및 뱅킹을 이용하기 위해서는 ActiveX 플러그인을 설치해야 한다. 정부의 ActiveX 폐지방안으로 인하여 새로 나온 가이드라인은 ActiveX대체 솔루션들을 제공한다[17]. 카드업계는 ActiveX 대신 ‘EXE’ 방식의 보안프로그램을 시행하고 있다[18]. 기존의 ActiveX 플러그인 설치 파일인 cab 파일에서 윈도우 설치 파일인 ‘EXE’ 파일로 포맷만 변경되었을 뿐, 사용자 컴퓨터에 프로그램을 설치해야만 결제가 진행된다는 사실에는 변함이 없다.

아직까지 ActiveX 플러그인을 설치하도록 요구하는 사이트가 대부분이며, 일부 사이트는 EXE파일을 설치하도록 요구한다. EXE파일이 ActiveX 대체용이긴 하지만, 기존의 여러 ActiveX 설치 플러그인을 하나의 EXE 파일로 대체하여 설치하는 것일 뿐, 사용자에게 불편함을 초래하고 보안상의 취약점이 있다.

EXE파일을 설치해야만 온라인 결제 및 뱅킹서비스를 사용할 수 있으므로, 사용자는 무조건 EXE파일을 설치해야만 하는데, 이 파일이 해당 사이트에서 제공하는 정상파일인지 악성코드에 감염된 파일인지 사용자는 파악하기 어렵다. 정상 파일을 가장한 악성 파일이 사용자의 컴퓨터에 설치되면, 사용자가 입력한 카드번호, 비밀번호 등이 고스란히 해커에게 전달되어 추후 금전적 피해가 발생할 수 있다.

Bruce Schneier가 제기한 중간자공격(Man-In-The -Middle)을 응용한 액티브 피싱 공격에 취약할 수 있다[19]. 액티브 피싱 공격은 (그림 7)과 같이 사용자와 서버 사이에 공격자가 위치하며 중간에서 사용자에게는 서버인 척, 서버에게는 사용자인 척 가장하며 공격하는 방법이다[21]. 사용자가 공격자로부터 변조된 ActiveX 플러그인을 설치한 경우에는, (그림 8)과 같이 사용자는 정상/비정상 프로그램을 구분할 수가 없으며 비밀번호와 같은 인증에 필요한 정보를 입력하게 된다. 입력된 정보는 공격자에게 전달되고 공격자는 그 정보를 이용하여 실제 서버에게 사용자인 척 인증하여 사용자 대신에 사용자가 원치 않는 악의적인 결제를 할 수 있다.

(그림 7)

액티브 피싱 구조도[20]

(그림 8)

공인인증서 로그인 모듈 화면

이러한 피싱 공격에 대한 보안기술로는 위치정보를 이용한 QR코드 기반 사용자 인증방식이 있다[23]. 사용자의 컴퓨터에서 거래를 진행하고, 거래에 대한 인증은 서버가 사용자 컴퓨터에 전달한 QR코드를 사용자가 미리 등록한 모바일 기기에서 확인하고, 서버에 인증 요청을 한다. 서버는 컴퓨터와 모바일 기기의 위치를 비교하여 피싱 및 파밍 공격 여부를 확인한다.

ActiveX의 또 다른 대체수단은 HTML5를 이용하는 것이지만, 이 또한 쉽지 않다. 사용자가 사용하는 웹 브라우저가 HTML5를 지원해야 하는데 현재 국내의 웹 브라우저 환경은 (그림 9)와 같이 약 70%는 HTML5를 제대로 지원하지 않는 IE버전을 사용하고 있다[24]. KOREAHTML5에서 제공하는 웹 브라우저별 HTML5 수용도를 참고하면, 555점 만점에서 IE10은 297점이며, IE9는 113점, IE8은 33점으로 HTML5를 이용한 대체 솔루션을 사용하기에는 어려운 환경이다[25].

HTML5를 지원하고 있지 않은 웹 브라우저의 사용률이 국내는 아직도 많기 때문에 도입이 되기까지는 시간이 필요하다.

(그림 9)

국내 웹 브라우저 점유율[24]

핀테크 기술과 빅데이터 분석을 활용해 대출신청자의 편의를 증가시킨 것은 현대사회에 기여하는 바가 크다. 하지만 편리함 이면에서 보안상의 취약점이 존재하며 빅데이터 수집 과정에서는 프라이버시 침해의 염려 또한 존재한다. 예를 들면 공격자가 인터넷상에서 본인 신분을 조작하여 대출을 시도한다면 100% 온라인으로 대출을 진행하는 핀테크 기업 입장에서는 정상적인 대출과의 차이를 알 수 없으므로 공격자에게 대출해줄 가능성이 있다. 또한, 온라인으로 대출을 알선해주는 핀테크 기업일수록 더 많은 정보를 분석하여 사용자를 식별하려는 경향이 있는데 이 과정에서 대출신청자의 프라이버시를 침해하는 상황이 발생할 수 있다. 핀테크 기업에서 요구한 개인정보 이용 동의서에는 대출신청자의 다양한 종류의 데이터 조회를 허용하도록 요구하며, 이 데이터 속에는 대출신청자가 노출하기를 원치 않는 데이터가 있다면 대출신청자는 본인의 의도와는 관계없이 민감한 정보를 노출하게 된다.

현재는 빅데이터를 이용한 금융대출을 알선해주는 핀테크 기업의 이점만 보이는 것 같다. 하지만 정보보안가 입장에서는 이에 안심하지 말고 계속해서 보안에 앞장서야 하며 대출신청자들이 편리한 기술을 안심하고 사용할 수 있도록 만들어야 한다.

FDS는 부정거래탐지 기술로, 카드회사 및 온라인 게임에서 이상거래탐지 및 봇 탐지에 많이 사용됐다. 핀테크 분야에서는 모바일 결제에서 사용자 인증을 간단히하여 사용자의 편의성을 제공하는 대신, 거래의 안전성을 FDS를 이용하여 보장한다. 그리고 온라인 결제에서 사용자의 이체/거래내역이 정상거래인지 부정거래인지를 탐지하는 데 사용하여 피싱/파밍에 대응하고 있다. 국내 금융사들도 작년부터 FDS를 도입해오고 있으며, 한 금융사는 최근에 FDS로 인해 파밍사기를 탐지하여 부정거래를 사전에 차단할 수 있었다[26].

하지만 FDS도 위협 요소들을 가질 수 있다고 제기되고 있다[27]. 예를 들어, FDS의 구성요소인 사용자 스마트폰의 수집정보를 메모리에서 복제하여 다른 기기에 재사용하여 FDS의 탐지패턴을 우회하거나 피해자가 가해자로 둔갑할 수 있다. FDS의 경우 아직 초기단계로 운영 및 관리경험이 부족하고 부정거래를 제대로 탐지하는데 많은 시간이 소요되고 취약성 점검기준 및 시험 방안이 아직 마련되지 않았다[28]. 또한, 부정거래탐지를 위해서는 사용자로부터 여러 정보를 얻어야 하는데, 이때 개인 프라이버시 문제도 고려되어야 할 사항이다.