핀테크 생태계는 디지털 지갑과 여러 결제 방식이 도입되면서 급성장해왔습니다. 또한 기술과 혁신이 금융 산업의 주류가 되면서 고객 경험을 개선할 수 있는 기회도 크게 늘어났습니다. 하지만 기회는 문제를 동반하기 마련이며 핀테크 산업의 보안 문제는 확실히 가장 중요한 우려 중 하나입니다. 

사이버공격이 증가하면서 여러 금융기관들이 상당한 금전적 피해를 입었습니다. 특히 금융서비스의 완전한 디지털화가 진행되는 가운데 사이버공격도 놀라울 정도로 빠르게 늘어나는 중입니다. 금융기관은 2020년 4분기 중 피싱 공격을 가장 많이 받은 목표물이었습니다(22.5%). 게다가 사고가 발생해도 적시에 파악하지 못하는 경우가 부지기수입니다. 

금융기관들이 이렇게 사이버공격에 맞서기 위해 고전하는 가운데 본 문서는 핀테크 애플리케이션 개발 시 해소해야 하는 중요한 사이버보안 문제와 금융계의 주요 관련 규제 및 새로운 핀테크 동향에 대해 설명합니다. 각각에 대해 심층적으로 알아보겠습니다. 

핀테크 보안 문제

압도적으로 다수의 금융기관들이 최종 사용자의 거래에 애플리케이션을 이용합니다. 이러한 애플리케이션의 개발자들은 관련 위험과 문제를 인지해야 적절한 보안 조치를 통해 이를 효과적으로 해소할 수 있습니다. 아래는 대응하지 못할 시 귀사에 피해를 입힐 수 있는 주요 핀테크 보안 문제입니다.

1. 데이터 보안

데이터 절도와 침해의 파악은 핀테크 업계의 가장 큰 문제입니다. 핀테크 기업들은 대개 일회용 암호 등의 인증 수단으로 결제 시스템을 보호합니다. 하지만 공격자들은 이 마저도 해킹하여 개인정보와 금융데이터를 편취합니다. 2021년 8월에 B2B 금융기관인 Pine Labs가 사이버공격을 당한 것으로 알려졌습니다. Black Ransomware라는 해커 그룹이 임직원 성명과 메일주소 및 기밀 문서들을 노출시킨 것입니다. 사이버공격자들이 날로 발전하면서 금융기업들은 항상 데이터 침해를 당할 위험에 노출되어 있지만 디지털 환경에서 완전한 보안이란 쉽지 않은 과제입니다.

2. 클라우드 컴퓨팅 보안 문제

로컬 데이터센터나 개인 컴퓨터에 데이터를 저장하는 시대는 막을 내렸습니다. 이제 클라우드가 금융서비스의 온라인 제공에 있어 핵심입니다. 다만 클라우드의 중요성이 높아지면서 관련된 보안 위험에도 유의해야 합니다. 클라우드는 확실히 속도, 접근성, 유연성이라는 장점이 있습니다. 하지만 대량의 데이터를 처리하므로 공격자가 노리기도 쉽습니다. 그러므로 금융기업들은 자신이 선택하는 클라우드가 안정적인지 확인해야 합니다. 아주 작은 틈새만 존재해도 엄청난 피해로 이어질 수 있기 때문입니다. 최근에는 클라우드 자원을 잘못 구성하는 경우가 클라우드 보안 위협의 가장 큰 원인으로 나타나고 있습니다. 한 최근 보고서에 따르면 금융기업 중 약 49%가 클라우드 맬웨어 공격을 받는 것으로 파악되었습니다. 

3. 서드파티 서비스

은행 등 금융기관들은 서드파티의 접근에서 일어나는 보안 문제도 해소해야 합니다. 금융기업은 일반적으로 서드파티 애플리케이션을 이용합니다. 하지만 이 애플리케이션들은 해커들의 공격 지점이 되는 경우도 많습니다. 즉 해커들이 일반 사용자로 위장하고 무단으로 접근하여 데이터 보안을 훼손할 수 있는 기회가 됩니다. 그러므로 서드파티 소프트웨어를 이용할 시에는 신뢰성을 파악해야 합니다. 서드파티 보안 침해의 좋은 예는 Westpac Australian 은행에 대한 열거 공격입니다. 2019년 중반에 해커들이 이 은행에서 송금용으로 이용한 서드파티 플랫폼인 PayID를 공격하면서 고객 정보가 노출되었습니다. 

4. 맬웨어 공격

맬웨어는 금융분야에서 가장 일반적인 공격의 형태입니다. 사용자는 서드파티 소프트웨어, 이메일, 신뢰받지 못하는 웹사이트 등을 통해 맬웨어 공격을 받습니다. 이러한 공격은 급속히 확산되어 단시간 내에 엄청난 피해를 일으킬 수 있습니다. 인도 정보의 전자 정보기술부는 2021년 초에 주요 국내 은행 고객에게 소득세 관련 메시지를 통해 맬웨어 공격이 이루어지고 있다고 경고한 바 있습니다. 즉 이러한 메시지의 링크를 클릭하면 개인정보가 노출되어 해커들이 악용하게 됩니다. 한 최근 보고서에 따르면 은행업계는 2021년 상반기 랜섬웨어 공격이 전년 대비 1,318%나 증가했습니다.

5. 규정 준수

금융기업들은 민감성 정보를 보호하도록 특정 표준과 규제를 준수해야 합니다. 특히 핀테크 기업들은 해커들이 악용할 수 있는 틈새를 제거할 수 있는 엄격한 보안 조치를 취해야 하므로 규정 준수가 더욱 쉽지 않은 문제입니다. 또한 규정을 준수하면서 애플리케이션과 소프트웨어의 성능을 유지해야 합니다. 일부 규정은 금융기관에 일반적으로 적용 가능한 반면 일부는 대출, 보험, 금융 자문 등 특정 분야에 적용되며, 이를 준수하지 못할 시 고액의 벌금이 부과될 수 있습니다. 

6. 기존 뱅킹 시스템의 이전

뱅킹 시스템을 이전할 시 데이터가 노출되는 문제도 중요합니다. 핀테크 기업들은 빠른 속도로 신기술과 최신 시스템을 도입하고 있습니다. 이는 적절한 발전인 동시에 이 과정에서 보안이 훼손되는 문제가 수반됩니다. 이전 과정이 복잡할수록 위험은 증대됩니다. 특히 대량의 데이터를 옮길 시에는 보안 문제가 발생하기 쉽습니다. 이러한 이전 시에는 보안이 약화되므로 해커들에게 좋은 기회입니다. 그러므로 핀테크 기업들은 이전 중에 반드시 보안 문제에 주의해야 합니다. 적절한 보안 조치를 마련하여 이전을 계획, 실행해야 합니다. 

7. 유연성 및 비용 문제

핀테크 기업들은 현재 규모를 막론하고 향후 성장을 위해 운용 규모를 조절할 수 있어야 합니다. 즉 보안을 유지하면서 인프라를 조절하는 것은 중요한 문제입니다. 고객에게 보다 우수한 경험을 제공하는 동시에 고객의 필요를 충족할 수 있는 기술과 인프라에 투자해야 합니다. 또한 핀테크 분야는 항상 신기술이 등장하고 있으므로 관련 규제도 이에 대응하여 지속적으로 변화하는 중입니다. 인프라를 조절할 시에는 보안 조치에 유의해야 합니다. 동시에 규제 준수에도 주의해야 하며 이는 상당한 비용을 수반합니다. 신기술 도입에는 고비용이 소요되지만 이 비용을 줄이려고 사이버보안을 등한시하면 장기적으로 엄청난 손실을 입을 수밖에 없습니다. 

핀테크 규제와 정책

핀테크 기업들은 특정한 규제를 준수해야 합니다. 국가별 유관기관에서 제정한 규제와 법규를 따라야 합니다. 아래는 오늘날 핀테크 산업에 적용되는 가장 중요한 규제 중 일부입니다. 

1. GDPR

GDPR은 일반 데이터 보호법을 말합니다. 유럽연합(EU) 국민들의 개인정보 처리에 대한 법규입니다. 즉 EU 국민의 개인정보를 처리하는 기업은 EU 내 자신의 소재 여부와 무관하게 GDPR을 준수해야 합니다. GDPR은 2018년 5월부터 발효되었습니다. 

2. PSD2 

PSD2(결제서비스 디렉티브)는 EU 내 전자 결제 서비스를 규제합니다. 이에 따르면 계정 소유주의 정보를 서드파티 서비스 제공자와 공유하기 전에 반드시 해당 소유주의 동의를 받아야 합니다. 또한 PSD2는 온라인 결제 시 강력한 인증을 통해 보안을 강화합니다. 

3. eIDAS

eIDAS는 전자 신원, 인증, 신뢰 서비스를 말하며 다국간 전자 결제의 보안을 강화하고 기업, 국민, 공공기관 간 온라인 거래를 보호합니다. 전자 결제에 참여하는 기업은 반드시 이 규제를 준수해야 합니다. 

4. FCA

FCA는 영국 금융감독청(Financial Conduct Authority)을 말합니다. 이 기관은 금융시장 및 소비자 보호를 최우선시합니다. 모든 핀테크 기업들은 FCA에 등록해야 합니다. FCA는 고객을 보호하기 위해 금융서비스 기업들 간의 건전한 경쟁을 촉진하고자 합니다.

5. GPG13

우수 규준 가이드 13(GPG13)은 영국 국무조정실의 보안 규제입니다. 금융기업들이 모범 규준으로 따라야 하는 가이드입니다. 네트워크 모니터링을 이용한 내부 시스템, 이벤트 로그 관리 및 침해 감지 시스템의 무결성 유지가 핵심입니다.

6. APPI

APPI는 일본 개인정보 보호법입니다. 일본 내 개인정보를 취급하는 기업에 적용됩니다. 일본 외 기업들도 일본 내 개인의 정보를 취급한다면 적용 대상입니다. 

7. PIPA

한국 개인정보 보호법을 말하며 민간과 공공 양쪽에 모두 적용됩니다. 이를 위반하면 벌금 뿐 아니라 구속될 수도 있습니다. 가장 엄격한 개인정보 법규 중 하나입니다. 

8. PCI DSS

결제카드산업 데이터 보안 표준을 말하며 신용카드 정보를 취급하는 조직에 적용됩니다. PCI DSS는 연간 처리하는 거래의 양에 따라 4단계로 나뉩니다. 이를 준수하면 핀테크 기업은 악성 온라인 공격자를 막아낼 수 있습니다. 

9. ISO/IEC 27001

디지털 정보 보호를 규제하는 일련의 표준입니다. 안전한 정보관리 시스템을 유지할 수 있는 요건을 제시합니다. ISO/IEC 27001을 준수한다는 것은 위험을 적절히 관리함을 의미합니다.

핀테크 산업의 주요 보안 동향

사이버공격이 기하급수적으로 증가하고 그에 따른 금전적 피해도 급증하면서 핀테크 기업들은 보안 강화에 매진하고 있습니다. 아래는 최근의 주요 핀테크 관련 보안 동향입니다. 

1. AI를 이용한 부정행위 감지

인공지능(AI)은 위험 감지에 유용할 수 있으며 여러 핀테크 기업들이 실제로 AI로 보안을 강화하고 있습니다. 특히 핀테크 기업들은 AI 등 신기술이 등장하면서 이를 적극 활용할 수 있는 기회가 많습니다. AI와 머신러닝(ML) 시스템은 고객 및 기업 데이터를 효과적으로 분석하여 위험을 예측할 수 있습니다. 대량의 데이터를 검사하여 취약성을 찾아내어 상황이 위험해지기 전에 기업에게 경고합니다.

2. SASE를 통한 보안 강화

SASE는 ‘보안 접근 서비스 엣지’를 말합니다. SASE 솔루션은 시스템 내부적으로 포괄적인 보안을 제공합니다. SASE는 클라우드 기반 인프라를 이용하므로 핀테크 기업에서 효율적으로 보안을 강화하는 데 도움이 됩니다. 특히 비용 절감에 큰 도움이 되며 여러 보안 프로토콜에 대응할 필요를 줄여줍니다. SASE는 사용자의 위치와 무관하게 조직의 보안을 강화해줍니다. 또한 SASE는 민감성 데이터의 악용을 효과적으로 방지하므로 핀테크 기업에게 특히 중요합니다. 

3. 첨단 블록체인

블록체인은 부정행위를 줄일 수 있는 가능성 덕분에 전 세계 금융분야를 혁신하고 있습니다. 분산 네트워크에 기반하며 암호 알고리즘으로 데이터의 무결성과 투명성을 제공합니다. 블록체인에서 일어나는 거래는 보다 신속하면서 효율적입니다. 핵심 정보가 담긴 각 데이터 블록이 연결되고 복호화가 어려우므로 핀테크 기업에게 더욱 안전하고 신뢰성 높은 솔루션이라 할 수 있습니다. 

4. 레그테크 의존도 상승

규제 대응 역량을 높이는 레그테크는 금융 분야의 규제 문제를 해소하는 데 도움이 됩니다. 해마다 준수해야 하는 의무와 요건은 늘어나고 있는 가운데 레그테크는 준수의 부담을 줄이고 전반적인 데이터 모니터링과 준수 프로세스를 간소화할 수 있습니다. 특히 빅데이터 분석이 가능한 레그테크는 실시간 모니터링과 보고가 가능하므로 준수를 훨씬 용이하게 만들어 줍니다. 

5. 멀티클라우드를 통한 보안 강화

핀테크 기업들은 멀티클라우드 저장 솔루션으로 데이터 저장 인프라를 대체하고 있습니다. 이러한 솔루션은 대량의 데이터에 대한 효율적인 관리를 촉진합니다. 단일 퍼블릭 클라우드는 보안과 준수가 무엇보다 중요한 핀테크 기업들에게 더 이상 최상의 솔루션이 아닙니다. 멀티클라우드 저장은 투명성을 높이며 장기적인 비용 절감에도 도움이 됩니다.

6. 최신 기술을 이용한 보안 강화

핀테크 산업은 신기술을 활용하여 해커들의 공격에 대응하고 있습니다. 이러한 AI, ML, 블록체인 등의 기술은 보안을 강화하고 시스템 내 취약점과 간극을 줄입니다. 해커들도 동시에 보다 발전한 기술로 공격을 가하고 있지만 핀테크 기업들은 더욱 새로운 기술로 데이터를 보호하고 다양한 침입을 방지합니다. 이러한 제로데이 공격을 비롯한 위협은 빠르게 발전하는 보안 솔루션으로 방지할 수 있습니다. 앞으로 핀테크 기업들은 더욱 스마트한 보안 솔루션으로 대량의 데이터를 처리하면서 그 무결성을 유지할 것으로 예상됩니다. 

마무리하며

일부 보안 문제는 최신 기술을 누구보다 빠르게 출시하려는 기업들의 압박이 원인이지만 그와 무관하게 사이버공격 자체가 발전하고 있음은 명확합니다. 

핀테크 기업들은 지속적으로 사이버보안 위험에 유의하고 애플리케이션 및 시스템을 보호할 수 있는 계획과 프로세스를 구축해야 합니다. 보안은 이제 무엇보다 최우선적으로 고려해야 하는 사항입니다. 특히 서비스를 온라인으로 제공하기 위한 애플리케이션을 개발하기 시작할 때부터 최우선적으로 고려해야 합니다. 

보안 취약점으로 인한 비용은 고객의 기밀정보와 기업 자체의 명성에 대한 피해를 넘어서 엄청나게 높아질 수 있습니다. 위험 파악, 보안 솔루션 설계, 관련 규제에 대한 준수, 예상치 못한 위험에 대한 대비를 통해 침해 시의 손실을 최소화해야 합니다. 위와 같은 주요 사이버보안 동향은 미래에 더욱 안전한 핀테크 생태계의 초석이 될 것입니다. 

앱실링(AppSealing)은 여러 산업의 고객들에게 보안 솔루션을 제공한 경험과 전문성을 풍부히 갖추었습니다. 게임산업에서 핀테크에 이르는 다양한 산업을 위한 앱실링의 솔루션은 안드로이드, iOS, 하이브리드 모바일 앱의 성능을 저해하지 않으면서 신뢰성 높고 유연하게 보호합니다. 또한 관련 표준과 규제를 준수하면서 데이터 유출을 방지하고 위협 분석을 바탕으로 실시간으로 데이터에 기반한 결정을 내릴 수 있습니다. 지금 앱실링을 통해 바로 최신 보안 솔루션을 간단하게 구현하는 방법에 대해 알아보세요!