금융 보안

마지막 업데이트: 2022년 6월 27일 | 0개 댓글
  • 네이버 블로그 공유하기
  • 네이버 밴드에 공유하기
  • 페이스북 공유하기
  • 트위터 공유하기
  • 카카오스토리 공유하기
김영린 금융보안연구원장

본 논문에서는 전자금융 신종 사기 수법에 의한 사용자의 비밀정보 유출을 금융 보안 방지하기 위하여 자신이 가진 보안카드와 스마트 폰을 이용하여 금융거래 사이트를 검증하는 새로운 기법을 제안한다. 이를 위해 보안카드를 새롭게 디자인하여 공정한 사이트에 접속하는 경우에만 보안카드와 스마트폰을 통해 사이트의 인증이 가능하도록 하였다. 또한 기존의 OTP를 통한 보안 인증에서는 방어할 수 없었던 중간자 공격을 사용자의 거래 내역에 따른 보안카드 값 생성을 통해 효과적으로 방어하는 방안도 제안한다. 본 논문에서 제시하는 기법은 보안카드와 스마트폰을 통한 새로운사이트 인증 기법으로써 사용자가 직접 피싱, 파밍 사이트를 판단할 수 있을 뿐 아니라 중간자 공격에 대한 대처방안으로도 매우 효과적인 기법이다.

In this paper, we present a novel method to verify the financial site and prevent sensitive information disclosure with financial security card and smart phone. This method allows homepage access when user accesses to the valid site with right security card and smart phone. Furthermore, traditional OTP method cannot be secure against to Man in the middle attack, but out method presents the countermeasure of this. User can readily recognize the phishing and pharming sites and even avoid Man in the middle attack by malicious users.

금융 보안에 '설마'는 없다

김영린 금융보안연구원장

최근 정보기술(IT) 융합기술의 성장은 상상을 초월한다. TV는 방송 시청을 위해, 냉장고는 음식 보관을 위해, 전화기는 통화를 위해 존재한다는 전통적 가치가 퇴색돼 버린 시대다. 이제는 하나의 디바이스로 TV를 보고, 통화를 하며, 인터넷에 접속할 수 있는 시대를 넘어 자신이 지니거나 마주하는 모든 사물이 서로 연결되는 융합의 시대다. 금융 분야도 새로운 영역이 열리고 있다. 이미 전체 금융 거래에서 인터넷이나 모바일을 통한 전자금융 거래가 차지하는 비중이 90%를 넘어섰다. 가까운 미래에는 PC나 모바일뿐 아니라 자신이 원하는 모든 디바이스로 금융 거래를 할 수 있는 길이 열릴 것이다.

그러나 모든 게 융합해 연결돼 간다는 것은 해킹·악성코드 같은 위협마저도 서로 손쉽게 연결될 수 있음을 의미한다. 연결 속도가 빠르면 빠를수록, 범위가 넓으면 넓을수록 그 위험은 배가해 높아진다. 특히 금융 분야는 신규 상품 및 서비스 개발보다는 대고객 서비스 금융 보안 채널 확보를 위해 IT를 활용하고 있어 해킹이나 악성코드에 실시간으로 노출될 가능성이 크다.

최근 잇따라 발생하고 있는 금융사고를 보면 금융융합 속도에 금융보안이 따라가지 못하고 있음을 절실히 느낀다. 금융환경과 공격기법은 나날이 발전해 나가는데 그 방어 및 대응 시스템은 따라가기에도 벅차 보인다. 새로운 보안 시스템을 도입했을 때 문제가 생긴다면 그 피해와 책임을 감당할 수 없기에 다른 금융회사가 먼저 도입해 안전하게 운영하는 것을 확인한 뒤에야 움직이는 금융회사의 보수적 접근 때문이다.

하지만 금융에서 보안은 금융 보안 무엇보다 우선적으로 고려돼야 한다. 금융이 타 분야와 융합하는 접점 시스템마다 이중 삼중으로 보호하고, 위험 발생 시 언제든 대체하고 신속히 복구할 수 있도록 원래 시스템과 똑같은 시스템을 분산해 만들어야 한다. 취약한 지점을 늘 점검하고 보완하는 체계적 보호 통제 정책이 상시적으로 운영돼야 한다.

또 요즘 IT 보안사고는 단순한 해킹 공격이 아닌 복합적인 공격기법 및 다양한 원인에 의해 발생하기 때문에 단편적인 보안솔루션의 도입만으로 대응할 수 없다. 기술적인 측면만 아니라 관리적 보안요소까지 반영한 보안기술의 융합이 반드시 이뤄져야 한다. 특히 최근 금융회사의 정보 유출사고에서 경험했듯이 보안기술은 금융회사의 내부 통제와 지배구조의 뒷받침을 필요로 한다. 또 금융 IT 시스템을 계획하고 설계하는 단계부터 선제적으로 보안에 투자해야 효과를 극대화하면서 비용을 절감할 수 있다.

최근 발생한 각종 금융보안 사고는 금융 서비스 전반에 대한 불신을 초래했으며 금융산업 발전을 저해하는 위험요소가 됐다. 금융보안은 IT의 편리함의 지속적인 발전을 담보할 수 있는 버팀목이다. 편리함에 앞서 안전함을 한 번 더 생각하고 제대로 된 선택을 하자. 이러한 선택은 우리가 직면하고 있는 안전불감증에서 벗어나 우리 경제 위상에 걸맞게 IT 융합을 꽃피우는 계기가 될 것이다.

네이버클라우드, 금융보안원 '마이데이터 통합인증중계 시스템' 구축

[아이뉴스24 박진영 기자] 금융 보안 네이버클라우드(대표 박원기)가 금융보안원의 '마이데이터 통합 인증 중계 시스템' 구축 사업자로 선정됐다.

통합 인증 중계 시스템 도입 전후 비교 [사진=금융보안원]

네이버클라우드는 쿠콘(대표 김종현)과 클라우드 기반 API 플랫폼 형태로 인증에 필요한 중계 시스템을 구축할 계획이라고 18일 발표했다.

마이데이터 통합 인증 중계시스템은 마이데이터 정보 제공자와 인증 기관 간에 전송이 필요한 인증 정보를 중계하는 방식이다.

기존 마이데이터 통합 인증은 사설 인증수단을 활용하는 과정에서 정보 제공자(중계기관 포함)과 인증기관이 각각 인증수단을 연동해야 하는 불편이 있었다.

여기에 마이데이터 사업 확대로 인한 사설인증서 수요 증가가 맞물리면서 시간 및 비용 부담을 줄일 수 있는 중계 시스템 도입 필요성이 제기됐다.

이에 금융보안원은 대규모 인증 트래픽을 효과적으로 관리할 수 있는 클라우드 기반 중계 시스템 구축을 결정했다.

통합 인증 중계 시스템을 이용하면 정보 제공자(중계 기관), 인증 기관이 해당 시스템을 1회 연동하는 것 만으로 여러 인증수단이 연동된다.

인증 기관 추가 시에도 별도 연동이 필요하지 않으며 정보 제공자와 중계 기관은 중계 시스템을 통해 새로운 통합인증 수단을 제공할 수 있다.

해당 사업 공고 후 국내 및 해외 클라우드 서비스 제공사들이 많은 관심을 보였지만, 결과적으로 네이버클라우드는 금융보안원의 요건을 모두 충족하여 최종사업자로 선정됐다.

네이버클라우드는 지난 15년간 데이터 수집과 연결에 집중해 온 데이터 플랫폼 선두 기업인 쿠콘 등과 함께 컨소시엄을 구성하여 마이데이터 통합 인증 금융 보안 중계 시스템 구축 사업자로서의 경쟁력을 높였다.

통합 인증 중계 시스템은 올해 9월 시범 가동 이후 정식 운영될 예정이다.

임정욱 네이버클라우드 공공·금융 세일즈 이사는 "네이버클라우드가 이번 중계 시스템 구축에 함께하게 된 것은 그동안 금융 클라우드 구축 경험을 통해 쌓아온 기술력과 노하우가 인정받았다는 의미"라며 "네이버클라우드의 전문적인 인프라 설계 및 운영 경험과 유연한 트래픽 관리 경험을 살려 안정적인 통합 인증 중계 시스템을 구축하겠다"고 말했다

금융 보안

쿠콘, 금융보안원 마이데이터 금융 보안 통합 인증 중계 시스템 구축

쿠콘이 금융보안원이 추진하는 통합 인증 중계 시스템 구축 사업자로 선정됐다(이미지=금융보안원)

비즈니스 데이터 플랫폼 기업 쿠콘은 금융보안원이 추진하는 ‘통합 인증 중계 시스템’을 구축한다고 18일 밝혔다.

쿠콘 측은 “마이데이터 서비스가 확대되고, 이용자가 늘어나면서 다양한 인증 기관이 제공하는 사설 인증서의 수요도 증가하고 있다”며 “하지만 다양한 인증 체계를 통합 관리하는 중계 시스템이 없어 정보 제공 기관은 여러 인증 기관과 개별적으로 연동해야 하는 불편함이 따른다”며 통합 인증 중계 시스템의 필요성을 설명했다.

이러한 상황에서 금융보안원은 인증 수단 연동에 따른 시간·비용 부담을 줄일 통합 인증 중계 시스템 사업을 추진하며 쿠콘을 해당 시스템을 구축하는 사업자로 선정한 것이다.

쿠콘은 통합 인증 이용량 급증과 같은 업무 환경 변화에 유연하고 빠르게 대응하기 위해 클라우드 서비스 기반의 인증 API 플랫폼 형태로 인증 중계 시스템을 구축·운영한다. 클라우드 서비스는 대규모 인증 트래픽을 효과적으로 처리하고, 클라우드 인프라 설계·운영 등에 대한 전문성을 갖춘 네이버 클라우드를 활용한다는 계획이다.

통합 인증 중계 시스템의 주요 기능으로는 △참여 인증 기관별 통합 인증 API에 대한 호출·응답 중계 △접근 토큰 발급 API, 인증 API 제공 △인증 기관별 인증 API 금융 보안 호출 △이용 기관별 관리자, 이용자 계정 조회·관리 △이용 기관/이용자 권한 관리 △이용 통계 관리, 이력 관리, 이용량 정책 관리 등이 있다.

정보 제공 기관은 통합 인증 중계 시스템을 통해 여러 인증 기관과 한 번에 연동할 수 있으며, 이를 통해 기존에 정보 제공 기관이 인증 API 개발 시 소요됐던 시간·인력·비용에 대한 부담도 덜 수 있다. 통합 인증 중계 시스템은 올 9월 시범 가동 이후 정식 오픈할 계획이다.

김종현 쿠콘 대표는 “쿠콘이 이번 금융보안원의 통합 인증 중계 시스템 구축 사업자로 선정된 것은 그동안의 API 플랫폼 구축 노하우와 기술력이 인정받았다는 의미”라며 “마이데이터 산업이 활성화, 확장되면서 각 기관·기업에 편의성을 제공하기 위한 플랫폼 및 서비스 개발에 최선을 다하겠다”고 말했다.

한편 쿠콘은 금융·공공·의료·물류·통신 등 국내 500여개 기관과 해외 40여개국, 2000여개 기관에서 비즈니스에 필요한 외부 데이터를 수집·연결해 API 형태로 금융 보안 제공한다. 기업 고객은 디지털 서비스 구현, 업무 자동화, 간편 결제 서비스 구축 등에 쿠콘 API를 활용하고 있다.

금융 보안

[테크월드뉴스=조명의 기자] 쿠콘은 금융보안원이 추진하는 통합 인증 중계 시스템을 구축한다고 밝혔다.

마이데이터 서비스가 확대되고, 이용자가 늘어나면서 다양한 인증 기관이 제공하는 사설 인증서의 수요도 금융 보안 증가하고 있다. 하지만 다양한 인증 체계를 통합 관리하는 중계 시스템이 없어 정보 제공 기관은 여러 인증 기관과 개별적으로 연동해야 하는 불편함이 따른다.

이런 이유로 통합 인증 중계 시스템의 필요성에 대한 목소리가 커졌고, 금융보안원은 인증 수단 연동에 따른 시간·비용 부담을 줄일 통합 인증 중계 시스템 사업을 추진하고 있다. 쿠콘은 해당 시스템을 구축하는 사업자로 선정됐다.

쿠콘은 통합 인증 이용량 급증과 같은 업무 환경 변화에 유연하고 빠르게 대응하기 위해 클라우드 서비스 기반의 인증 API 플랫폼 형태로 구축·운영한다. 클라우드 서비스는 대규모 인증 트래픽을 효과적으로 처리하고, 클라우드 인프라 설계·운영 등에 대한 전문성을 갖춘 네이버 클라우드를 활용한다.

통합 인증 중계 시스템의 주요 기능으로는 참여 인증 기관별 통합 인증 API에 대한 호출·응답 중계, 접근 토큰 발급 API·인증 API 제공, 인증 기관별 인증 API 호출, 이용 기관별 관리자·이용자 계정 조회·관리, 이용 기관·이용자 금융 보안 금융 보안 권한 관리, 이용 통계 관리·이력 관리·이용량 정책 관리 등이 있다.

정보 제공 기관은 통합 인증 중계 시스템을 통해 여러 인증 기관과 한 번에 연동할 수 있으며, 이를 통해 기존에 정보 제공 기관이 인증 API 개발 시 소요됐던 시간·인력·비용에 대한 부담도 덜 수 있다. 통합 인증 중계 시스템은 올 9월 시범 가동 이후 정식 오픈할 계획이다.

김종현 쿠콘 대표는 “쿠콘이 이번 금융보안원의 통합 인증 중계 시스템 구축 사업자로 선정된 것은 그동안의 API 플랫폼 구축 노하우와 기술력이 인정받았다는 의미”라며 “마이데이터 산업이 활성화, 확장되면서 각 기관·기업에 편의성을 제공하기 위한 플랫폼·서비스 개발에 최선을 다하겠다”라고 말했다.

이어 “쿠콘은 마이데이터 서비스에 필요한 데이터 API도 꾸준히 개발하고 업그레이드하겠다”라고 덧붙였다.

페이스북(으)로 기사보내기 트위터(으)로 기사보내기 카카오스토리(으)로 기사보내기 URL복사(으)로 기사보내기 기사저장 다른 미디어


0 개 댓글

답장을 남겨주세요