2016.3.7 월 12:18
> 뉴스 > 뉴스 > 보안/융합 | 서비스
   
보안 규제 푼 핀테크 `심도 높은 취약점 분석 시급`
2015년 04월 13일 (월) 12:24:01 김인순 기자 insoon@etnews.com

금융업계와 정보기술(IT)업계가 앞다퉈 핀테크 서비스를 내놓고 있는 가운데 향후 발생할 수 있는 해킹 사고에 대비하기 위해 관련 솔루션 취약점 분석 및 보완이 시급하다는 지적이다.

8일 서울 삼성동 코엑스에서 열린 코드게이트 2015 글로벌 보안콘퍼런스에서 김용대 KAIST 교수는 핀테크 서비스 보급 확대와 더불어 고강도 해킹 대비책이 강구돼야 한다고 강조했다. 이날 김 교수는 ‘규제 없는 핀테크 보안-건전하고 안전한 핀테크 성장을 위하여’를 주제로 강연했다.

김 교수는 “핀테크가 주목받으면서 수십개 기업이 관련 솔루션을 우후죽순으로 내놨다”며 “핀테크 앱은 물론이고 전체 에코시스템 보안을 고려해 개발해야 할 시점”이라고 말했다.

핀테크 시장은 전자금융거래 보안 심의가 전면 폐지되며 새 전기를 맞았다. 금융회사 자체 취약점 분석 내실화를 유도하고 있지만 초기 핀테크 솔루션에서 갖가지 취약점이 드러나기 시작했다.

KAIST연구팀은 A사가 개발한 유명 핀테크 솔루션에서 취약점을 발견했고 3월 패치를 완료했다고 밝혔다. 관련 앱은 스마트폰 루팅을 막는 것을 비롯해 키보드보안, 난독화, 악성앱 탐지 기능 등 다양한 보안기능이 있지만 취약점에 노출됐다. 연구팀은 핀테크앱을 리패키징한 후 분석했다. 결제와 관련된 솔루션이었지만 안전하게 설계되지 않았다.

김 교수는 “시중에 나온 핀테크 앱 상당수가 단말기 루팅탐지(Rooting detection)나 무결성(Integrity verification) 등 보안기능을 우회할 수 있는 취약점이 발견됐다”며 “취약점을 악용하면 정상 앱을 악성행위를 하는 앱으로 변조할 수 있다”고 설명했다.

그는 “규제가 완화가 핀테크 솔루션 보안을 허술하게 하라는 의미는 아니다”며 “앱뿐만 아니라 에코시스템 전반에 보안을 고려해야 한다”고 말했다. 돈 흐름과 직접 연계되는 핀테크 솔루션은 설계 단계부터 보안성 강화에 역점을 두고 있지만 나날이 발전하는 해킹기술을 앞설 수 없는 만큼 취약점 찾고 보완하는 작업을 상시유지해야 한다는 의미다.

김 교수는 이밖에도 “핀테크 활성화를 위해 각종 규제가 완화되거나 폐지되는 상황에서 서비스 제공 주체인 카드·금융회사는 지속적인 취약점 발견 및 보완이 가능하도록 앱 개발사와 공동으로 버그바운티를 활성화해야 한다”고 제안했다. 버그바운티는 서비스나 솔루션 보안 취약점을 발견한 사람에게 포상금을 지급하는 프로그램이다.

ⓒ 보안닷컴(http://www.boan.com) 무단전재 및 재배포금지 | 저작권문의  

     
이 기사를 추천하시면 "오늘의 좋은 기사" 랭킹에 반영됩니다   추천수 : 0
전체기사의견(0)  
 
   * 200자까지 쓰실 수 있습니다. (현재 0 byte/최대 400byte)
   * 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
전체기사의견(0)
양승조 의원 "사물인터넷 보안 철...
<양승조 새정치민주연합 의원과 정진홍 한국ICT융합보안협회 회장 등 관계자들이 정책세미나 시작에 앞서 ...
[보안칼럼]IoT 산업의 미래, ...
모든 사물이 인터넷으로 연결되는 ‘초연결사회’가 도래했다. 이미 스마트워치와 같은 웨어...
[2014년 10대 뉴스]한수원 ...
고리와 월성 등 국내 주요 원자력발전소 제어시스템 설계도가 해킹된 후 웹에 공개되는 사상 초유의 사건이 발생...
[단독]이달초 한수원 업무망PC ...
원자력발전소 도면 등 주요 자료 유출사고로 홍역을 치르고 있는 한국수력원자력(한수원)의 그간 정보보호 체계가...
[정보보호]IoT 보안 이슈 ...
급성장하는 사물인터넷(IoT)시장의 보안기술을 한자리에서 보는 행사가 열...
[정보보호]SOPT `빅데이터...
안랩, 15일 코엑스서 ‘안랩...
[정보보호]제9회 POC201...
한국침해사고대응팀협의회 제주서...
한국해킹보안협회, 10월 7일...
안랩, 금융정보보호 콘퍼런스서...
사이트 소개기사제보광고문의불편신고개인정보취급방침청소년보호정책이메일무단수집거부