오픈뱅킹 보안 해외 사례 2편

오픈뱅킹 선도입 국가의 Security Best Practice

(Source — Unsplash)

지난 아티클(bit.ly/30Bbi1G)에서 소개했듯이 기존 금융권, 핀테크 업계 모두에게 오픈뱅킹은 피할 수 없는 패러다임입니다. 오픈뱅킹을 성공적으로 운영하기 위해서는 적절한 서비스 개발 및 타사와의 제휴 전략, 그리고 그 모든 것에 앞서 튼튼한 데이터 보안 체계가 필요합니다.

이번 아티클에서는 오픈뱅킹을 일찍 도입한 우수 해외 레퍼런스를 리뷰하고 한국의 전자금융업의 접근 방향을 제안합니다.

Contents

#1 HSBC UK는 UX와 보안 두마리 토끼를 잡는다, Trusteer

#2 Visa카드와 Mastercard를 지키는 3D Secure standard

#3 수많은 거래내역을 처리하는 DevOps 보안

이 글을 읽어야 하는 분들

• 금융당국 규제에 맞추어 보안 framework를 설계해야 하는 보안 /인프라 담당자

• Open banking 시대 적절한 대응으로 핀테크 비즈니스 선두를 차지하고자 하는 경영진

• Open banking 보안 우수 레퍼런스를 참고하여 자체 보안 시스템을 구축해야 하는 금융권 종사자

#1 HSBC UK는 UX와 보안 두 마리 토끼를 잡는다, Trusteer

오픈뱅킹 적용 이후, 만일 은행에서 타 핀테크 앱으로 정보를 전송하는 과정이 해킹당한다면 해커가 부정하게 출금 명령을 내려 자산을 탈취할 수 있습니다.

기존 방화벽 내에서의 보안과는 달리 오픈뱅킹 도입 이후 서로 다른 기관에서 금융 정보를 주고받으며, 보안할 요소들이 많아졌지만 금융 서비스 사용자 경험은 상향 평준화되었습니다. 여기서 보안의 아이러니가 발생합니다.

더 안전하게 보안하자니 더 많은 프로그램이 필요하고, app 사용에서 latency가 발생하거나 느려지면 편리한 앱 사용에 익숙해진 사용자들은 이탈합니다. 보안의 중요도는 높아졌기에 타협할수 없고, 경쟁은 치열해졌기에 편리한 UX도 포기할 수 없습니다. 금융권의 자가당착을 HSBC UK 는 멋지게 해결했습니다.

 

(Source=  https://www.hsbc.co.uk/help/security-centre/downloads/ )

 

HSBC UK에서는 인터넷/모바일 뱅킹 서비스 이용자에게 Trusteer 보안 프로그램 설치를 권유합니다. 한국의 수많은 Active X 보안 프로그램과는 달리 해당 프로그램 설치는 몇 분 만에 가능하며, 컴퓨터를 재부팅 할 필요가 없어 쉽게 가능합니다. 마찬가지로 security 프로그램이 작동하는 동안 갑자기 process가 끊긴다거나, 로그인이 느려지는 등의 UX 저하가 발생하지 않습니다.

 

Trusteer는 접속-인증-로그인-트랜젝션까지 앱 사용 전반의 사용자 행동 패턴 분석으로 사용자 사기를 감지합니다. 기존의 사용자 사기 식별 솔루션(FDS)이 비밀번호 5회 오류, 지문 불일치 등의 제한된 방식으로 로그인, 트랜젝션 만을 커버했다면 Trusteer는 사용자 Journey 전 단계에서 사기를 탐색하고 방지합니다.

 

(Source = IBM Trusteer)

 

명령이나 기존에 식별된 DB기반의 보안과는 달리, Trusteer는 사용자의 휴대폰이 뒤집어져 있는데 갑자기 거액 인출이 발생한다던가, 사용자 주 네트워크 IP가 한국인데 뜬금없이 미국에서 거래가 이루어진다던가 하는 모든 사례들을 Cross 채널 행동 식별, 네트워크 레이어 분석, 디바이스 크로스 체크 등으로 모두 식별해 냅니다.

 

국제 거래가 많고 영국 Openbanking 규정을 준수해야 하는 HSBC UK, EU의 오픈뱅킹 및 관련 보안 규정 PSD2를 준수해야 하는 HSBC France, 스페인 은행 Santander도 Trusteer를 사용합니다.

앱 사용자 경험을 개선하는 동시에 국내 오픈뱅킹 보안에서 앞서가고 싶다면, 아래의 참고 링크를 방문하는 것을 추천합니다.

 

▶ Trusteer 공식 소개 자료 다운받기 (Click)

▶ Trusteer 공식 소개 사이트 (한국어)(Click)