핀테크 이야기 - 1

지난 18일, 서울 서초구에서 실시되는 2016년 제 4차 핀테크 단기 강좌를 듣고 왔다. 강좌는 다음과 같은 순서로 진행되었다.

 

1. 핀테크 보안 무엇이 문제인가?

2. 핀테크를 위한 인증기술

3. 간편결제 기술 소개

4. 핀테크에 활용되는 메신저에서의 데이터 암호화 보안 분석

5. 블록체인 기술과 새로운 보안 인프라

6. 이상거래 탐지 기술과 최신 보안 이슈

 

이 강좌에서 기본적인 핀테크 기술에 대해서 이야기를 하였다. 추가적으로 FIDO 기반의 생체 인증 시스템의 중요성과 그 기술을 핀테크에 결합시켰을 시의 기대효과, 기본적으로 많이 사용하는 메신저의 취약점과 그에 따른 대응 방식, 핀테크 기술에 쓰이는 블록체인의 기본적인 내용과 기술, 앞으로의 전망에 대해서 이야기를 들었다. 다른 흥미로운 내용에 대해서도 서술하고 싶지만 일단 여기에서 5, 6번 강좌에 대한 요약을 우선적으로 하고 추후에 추가적으로 작성을 하도록 하겠다. 요약은 다음과 같이 작성하였다.

 

5. 블록체인 기술과 새로운 보안 인프라

우선적으로 비트코인의 역사에 대해서 이야기하였다. b-머니, 해시캐시와 같은 방식을 조합해서 발명되었지만 아직까지 현존하는 코인이고, 중앙 통제에 의존하지 않는다는 점, P2P 환경에서 스스로 돈을 만들고 다른 사람의 돈을 확인할 수 있고, 나카모토가 발표한 참조구현을 기반으로 시작하였다는 것, 화폐적인 가치에 주목받다가 현재는 블록체인의 기술적인 가치에 집중하게 되었다는 역사적인 면과 현재 방향에 대해서 언급하였다. 그리고 나서 비트코인의 기본적인 정의와 특징에 대해서 연설하였는데, 비트코인이란 사실 세계 최초의 암호화 학회이고, 비트코인 블록체인에 기반하고 있다는 것이다. 부가적으로 블록체인은 데이터베이스라고 볼 수 있다고 하였다. 비트코인의 송금과정은 네트워크를 통해 전 세계에 송신하면 하드디스크에 있는 내용을 수정(동기화)하는 방식으로 이루어지는데, 문제 있을 수 있다고 하였다. 그 이유는 취약점이 존재하기 때문과 더불어, 동기화가 제대로 되지 않을 경우를 이야기하였다. 은행에서 비밀번호를 선택하면 계좌번호가 생성(예 : pw가 0000이면 계좌는 a0000)되는 것을 예시로 비트코인도 같은 논리로 이루어지지만 해시를 이용해서 한번 생성되면 되돌아갈 수 없는 논리가 이용되어 더 안전된다는 점을 부각하여 설명하였다. mission critical data라고 접근 제한에 대해서 설명하였는데 이 점은 제 3자의 보증(등기와 같은 논리로 거래가 이루어지는 방식이 기록되어 공증이 됨.)으로 해결될 수 있다고 한다. 그 특징으로 4가지가 있었는데 다음과 같다.

- 많은 자원 필요.

- 특정 공격에 매우 취약.

- 데이터 무결성을 검증/감사하기 어려움.(blackbox/paradox)

- 공공/메타 데이터의 소유권 문제.

블록체인의 데이터는 정해진 일정 주기마다 동결시키는 데이터 저장소이고, 10분마다 블록이 만들어진다. 여기서 블록은 트랜잭션(거래)의 집합이지만, 거래내역이 아닌 데이터도 작성 가능하다는 점이 있다. 이런 블록이 연결되어 있는 연결체가 바로 블록체인이고, 높은 보안성과 접근성을 가지고 있고, 동기화 과정을 통해 블록의 거래내역을 스스로 follow한다. 공인 인증서로는 RSA를 사용한다.

비트코인은 마이닝이라는 작업을 통해 생성되는데, 트랜잭션과 트랜잭션이 연결되어 거래가 성사된다. 거래를 할 시 나머지 거스름돈도 기입하여 자신에게 돌아오도록 하여야 되어 거스름돈도 기입해야 된다. 이를 안 할 시, 나머지 비트코인이 공중에 떠서 그 것을 찾은 사람이 갖게 된다는 것이었다.

 

6. 이상거래 탐지 기술과 최신 보안 이슈

최근 보안 솔루션으로써 FDS(Fraud Detection System)가 각광받고 있다고 한다. 금보원에서 이전 로드맵을 제시하였지만 2017년 이후에 로드맵을 제시가 안 되었는데, 그 부분에 대해서 언급을 하시면서 대표님이 플랫폼 고도화, 지능형 FDS가 2017년 이후의 로드맵으로써 제시되었다. 일단 기본적으로 FDS는 다음과 같은 시스템들로 이루어져 있다.

- 수집 시스템 : 인증의 개념(WHO, WHERE, WHAT에 대해 물음.)을 가지고 있음.

- 분석/평가 시스템 : 룰 엔진(어떻게 해야 하는가 ‘How to do it’가 아닌 무엇을 해야 하는가 ’What to do’에 집중할 수 있게 해 줌.)을 가지고 오용이나 이상거래를 탐지해서 분석 및 평가.

- 대응 시스템 : 해커가 공격하는 것에 대해 어떻게 대응할 것인가에 대한 것.

- 모니터링 및 감사 : 대응하기 위한 감시.

빅데이터는 실시간성을 가지고 있지 못하고 있다. 그래서 지능형 FDS에서 해결하고자 하는데, 이것의 복합 정책에서는 다음과 같은 기능을 가지고 있다.

- BWP : Black(악의성) & White(안전) List(Process)를 두어 구분.

- PP : 개인화 정책.

- CCP : 공통기준 정책.

위의 정책을 이용하여 오용탐지모델은 BWP + CCP가 결합된 형태, 이상탐지모델은 PP + CCP가 결합된 형태로 되어 있고 기능을 한다.

마지막으로 차세대 기술의 기대효과로 고도화, 차별화, 마케팅이 있고 이를 통해 행위에 의한 차단이 가능하고, 이상적 거래 탐지 시스템을 구축할 수 있다고 하였다.