소프트웨어 보안은 한계 존재 칩 등 하드웨어에 보안기술 적용 앱 위·변조 막는 솔루션 구현을
#지난해 초 미국에선 인터넷과 연결된 스마트TV나 냉장고를 악성코드의 숙주로 사용한 일명 '좀비가전제품'을 통해 75만건의 피싱.스팸메일 발송사례가 발견됐다. 미국 보안서비스업체 프루프포인트가 하루 3차례 10만건씩 발송된 피싱.스팸메일 공격을 모니터링한 결과 발송된 악성메일 중 25% 이상은 가전제품 같은 비 정보기술(IT) 기기에서 발송된 것으로 조사됐다. 스마트 가전기기들의 암호가 공용통신망에 노출돼 공격에 악용당했다는 설명이다.
모든 기기를 인터넷으로 연결해 서로 상호작용하도록 하는 사물인터넷(IoT)과 모바일 간편결제·송금 등 금융과 기술을 아우르는 핀테크(Fin-Tech).
IoT와 핀테크가 신성장동력으로 전세계 모든 산업의 주목을 받고 있는 가운데, 신 성장동력의 현실화를 위해서는 보안이 동반돼야 한다는 지적이 확산되고 있다.
IoT와 핀테크가 대중화되면 해킹 등으로 인한 정보유출이 단순한 인터넷 정보유출의 위협을 넘어 실생활에서 재산이나 인명피해로 직결되기 때문이다. 결국 IoT·핀테크 시대에서는 보안과 기술이 나란히 성장해야 하는 양 날개인 셈이다.
■"불안해 핀테크 사용 안한다"
22일 국회입법조사처에 따르면 지난해 국내에서 모바일 결제수단을 사용하지 않는 이유로 '정보유출 및 보안 우려'가 100점 만점 중 78.3점을 기록해 보안에 대한 걱정이 핀테크 산업의 대표격인 모바일 결제 발전의 가장 큰 걸림돌로 지적됐다.
지난 2013년 '정보유출 및 보안 우려'로 모바일 결제를 사용하지 않는 응답은 72.3점이었는데, 1년 새 6점이나 높아졌다. 그만큼 일반인들의 보안 위협에 대한 불안도 커지고 있다는 말이다.
실제 해외 직구(직접구매)를 사용하는 국내 소비자들 중 전자결제수단으로 페이팔을 이용하다가 계정을 해킹 당해 소액의 적립금이 빠져나간 사례가 심심치 않게 발생하고 있다.
핀테크 기업들이 제시하는 새로운 보안 기술 안정성을 확인하고 신뢰를 쌓기까지 보안 문제는 여전한 과제로 남을 수 밖에 없다.
특히 금융당국과 핀테크 관련 기업들이 각종 규제 완화와 편리한 결제에 초점을 맞추다 보니 보안에 대한 중요성이 경시되고 있다는 지적도 나오고 있다.
■IoT 해킹 이미 현실화
IoT 보안 위협은 현실화되고 있다는 점에서 더욱 부담스럽다. IoT는 기기를 비롯해 네트워크간 상호 호환성을 전제로 하는터라 구조적 특성상 보안상 취약성이 두드라진다는 분석이다.
이미 국내에선 IoT서비스가 다수 해킹에 노출됐다. 지난해 4월 신용카드 가맹점에 설치된 카드결제 단말기(POS)가 악성프로그램에 감염돼 신용카드정보를 다량 빼내갔고, 앞서 같은해 3월에는 냉난방제어기, 4월과 11월에는 유무선 공유기 등에서 해킹 사고가 발생했다.
웨어러블, 홈가전 및 의료 등 국민 실생활과 밀접한 IoT 기기의 급속한 증가로 오는 2020년에는 250억대의 관련 기기들이 출시될 것으로 예상돼 IoT 기기를 악용한 디도스(DDoS·분산서비스거부) 공격, 악성코드 유포 등 IoT 보안위협은 더욱 빈번해질 것이란 전망이다.
보안업계 한 관계자는 "핀테크로 인해 사물과 금융서비스의 접목이 더욱 활성화되면서 IoT 취약성을 이용한 보안위협이 급속하게 확산될 것"이라며 "IoT 기술을 활성화시키려면 보안표준 규격을 통일하고 인증체계 마련을 우선적으로 해결해야 한다"고 강조했다.
■보안 없이 산업 미래없다
핀테크와 IoT 시대에는 각종 재해와 마찬가지로 해킹사고를 100% 막는다는 것은 불가능한 것으로 여겨지고 있으나 대응방안을 강화해야 한다는 요구는 거세지고 있다. 결국 보안이 허술한 핀테크와 IoT 서비스는 '사상누각'이 되는 것은 물론 보안에 대한 불안을 씻어내지 않고는 신 성장동력 산업의 대중화도 어렵다는게 전문가들의 지적이다.
일단 모바일 결제 등 핀테크에선 칩 등 하드웨어(HW)보안기술을 적용하는 논의가 본격화돼야 한다는게 전문가들의 지적이다.
금융보안연구원 관계자는 "소프트웨어(SW)로 보안 프로그램을 만드는 것은 일정 수준에서 한계를 드러낼 수 밖에 없다"며 "HW기반의 보안솔루션 도입 방안이 금융권을 중심으로 본격 검토될 것"이라고 설명했다.
아울러 근거리무선통신(NFC) 인증, 바코드인증을 벗어나 애플리케이션(앱)을 원천적으로 보호하는 솔루션 등이 제시되고 있다.
모바일 보안 인증 기술기업 에버스핀의 하영빈 대표는 "핀테크의 핵심은 간편한 결제만을 제공하는 것 외에도 안전한 사용자 환경을 수반한 간편함을 제공하는 것"이라며 "출처가 없는 프로그램이 설치돼도 안전하고 앱이 위·변조될 위험이 없는 솔루션을 구현해야 한다"고 말했다.
IoT에 대한 보안 강화를 위해선 정부 주도의 대책 마련이 필요하다는 의견이 다수다.
미래창조과학부는 IoT 보안성을 높이기 위해 공유기, 홈 가전제품 등 IoT 기기에 대한 사용자 인증을 강화하는 동시에 사이버 위협정보 분석·공유시스템 고도화 등 안전한 IoT 이용환경을 조성해 나갈 예정이다.
보안전문 기업 한솔넥스지 이대균 차장은 "1970년대 정부가 국가 경제성장을 위해 경부고속도로를 건설했다면 이제 사물인터넷 고속도로 건설을 위해 투자할 때"라며 "정부는 공공 사물인터넷 서비스 활성화를 위해 국내 기술 기반의 IoT 기기, 게이트웨이, 플랫폼에 투자해 사물인터넷 서비스 대중화의 원동력이 돼야 한다"고 말했다.
hjkim01@fnnews.com 김학재 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지