[디지털데일리 이상일기자] 금융권은 디지털 전환(Digital Transformation) 현상이 어느 산업보다 역동적으로 일어나고 있는 분야다. 특히 디지털전환 추세에 보조를 맞춰, 금융 보안의 패러다임에도 큰 변화가 일고 있다.

이달 초 공식 출범한 인터넷전문은행 케이뱅크는 ‘스마트폰 일회용 비밀번호생성기(OTP)’ 서비스를 통해 금융거래에서 '실물 OTP'를 아예 없앴다.

또 스마트금융을 크게 강화하고 있는 국민, 우리, 하나, 신한은행 등 주요 은행들은 지문, 홍채 등 다양한 바이오 정보를 활용해 모바일뱅킹의 거래 안전성과 편의성을 향상시킨 ‘바이오 공인인증 서비스’ 시행에 경쟁적으로 나서고 있다.

그동안 고객들이 꾸준하게 불편하다는 문제를 제기했던 각 종 보안 장벽들이 점차 사라지는 추세다. 최근 부쩍 논쟁이 붙고 있는 공인인증서 유효성도 이런 맥락에서 출발한다.

기존 엄격한 정부의 관리 감독 체제에서 금융회사의 '자율규제'로 금융 보안과 관련한 정책적 기류 변화도 뚜렷하다. 금융당국은 금융사 자체 자율보안 체계를 확립하고 금융회사 책임을 강화하는 것을 골자로 하는 금융감독 정책을 지난 2015년 초부터 본격적으로 전환했다.

최근 금융감독원은 지난 1월 공정거래위원회(이하 공정위)가 개정한 전자금융거래 기본약관을 은행들이 약관에 반영해 따르기로 했다고 밝혔다. 은행이 이용자에게 손해 배상 책임을 부담하는 전자금융거래 사고 유형에 해킹, 피싱, 파밍, 스미싱 등을 추가함으로써 이러한 금융사고 시 은행이 책임질 수 있게 했다.

금융사들은 그동안 ‘가이드라인’을 준수하기 위한 보안 정책 수립 및 시스템 구축에서 실제 보안위협을 막고 대응하기 위한 본질적인 고민에 빠져들게 됐다.

최근 강화되고 있는 모바일 금융거래, 즉 비대면채널을 중심으로 한 디지털 금융거래는 이러한 고민에 편의성 확보라는 문제까지 얹어주고 있다. 즉, “보안은 수면 아래서 하지만 철저하게”라는 전략아래 금융권의 보안 전략은 새로운 변화의 시기를 맞을 것으로 전망된다. 이러한 전략을 가능하게 하는 것은 최근 대두되고 있는 IT신기술을 보안 시스템에 접목하면서 부터다.

최근 화두가 되고 있는 생체인증, 블록체인, 인공지능, 머신러닝 등 IT신기술을 보안업계는 빠르게 흡수하고 있다. 그동안 룰(Rule) 기반으로 사람이 일일이 규칙을 설정, 생성해야 했던 침입탐지, 이상행위탐지(FDS)에는 인공지능, 머신러닝 기능이 탑재되면서 혁신적인 기능 개선이 이뤄지고 있다는 게 업계의 시각이다.

실제로 룰 자동 생성 및 반영을 머신러닝을 통해 수행하면서 거의 실시간에 근접한 사기행위 및 이상접근에 대한 대응책 마련을 위한 단초가 마련됐다. 현재 FDS 시스템 고도화를 추진하고 있는 대부분의 금융사들이 머신러닝・인공지능 기반 시스템 구축 사업을 진행하고 있다.

신한카드의 경우 룰 기반 한계를 보완하기 위해 서울대 산업공학과와 KCB와 함께 딥러닝 기반 FDS 개발을 진행 중이며 코스콤, 동양네트웍스 등 증권 및 보험업권의 공동 FDS를 구축하는 업체들도 이러한 기술 접목을 진행 중이다. 최근에는 우체국보험이 사기방지시스템 고도화에 나서기도 했다.

블록체인 기술도 보안의 패러다임을 바꿀 기술로 주목된다. 시중은행을 비롯해 증권, 보험 등 금융권 전 영역에서 블록체인을 도입해 보안성을 강화하고 비용을 줄이려는 시도를 추진 중이다.

블록체인 플랫폼을 활용하면 분산저장 시스템을 통해 참여자 모두 동일한 내용을 공유할 수 있다. 또한, 구축 비용과 시간이 적게 들고, 정보가 분산돼 위·변조가 어렵다는 장점이 있는 것으로 전해진다.

최근 삼성SDS는 생체인증 넥스사인(Nexsign) 솔루션을 ‘넥스레저’에 접목한 인증 서비스를 공개하기도 했다. 생체정보를 블록체인으로 암호화해 이 서비스를 이용하면 모바일 기기 사용자는 한 번의 본인 인증을 통해 다양한 금융 서비스를 추가 인증 없이 이용할 수 있다.

생체인증 기술도 금융보안의 주요한 화두로 자리매김하고 있다. 최근 예약판매 80만대라는 성과를 달성한 삼성 갤럭시8, 8+를 시작으로 다시 생체인증을 통한 전자금융거래 서비스의 폭발적인 성장이 기대되고 있다.

이처럼 금융권의 전자금융거래 서비스가 모바일을 중심으로 멀티 채널, 이른바 모든 디지털 기기에 금융이 임베디드 되고 있는 상황에서 보안업계에선 모바일 보안에 대한 보다 정밀한 보안대책 및 솔루션 제공에 초점을 맞추고 있다.

<이상일 기자>2401@ddaily.co.kr

[안내] 최고 수준의 정보보호(보안) 컨퍼런스 ‘NES 2017’에 여러분을 초대합니다.

<디지털데일리>는 국내외 최고 보안전문가들과 함께 오는 4월20일(목) 쉐라톤 서울 디큐브시티 호텔 그랜드볼룸에서 '차세대 엔터프라이즈 보안전략 컨퍼런스(NES 2017)를 개최합니다.

올해로 12회째를 맞은 이번 NES 행사에서는 ‘디지털라이제이션 시대의 정보보호’ ‘새로운 시대, 보안 어떻게 대응할 것인가’라는 주제로 차세대 사이버보안 전략이 제시될 예정입니다.

인공지능, 빅데이터, 사물인터넷(IoT) 환경에서의 보안 패러다임 변화와 대응 방안에 대한 논의도 활발히 이뤄질 예정입니다. 독자 여러분들의 많은 참관을 부탁드립니다.

‘NES 2017’ 안내 페이지 바로가기