"금융 관련 IoT 서비스 보안대책 마련돼야"
2019.08.12 오후 5:56
IBK기업은행 '동산 담보물에 IoT 단말 부착' 경우도
[아이뉴스24 최은정 기자] 금융과 사물인터넷(IoT)을 결합한 서비스 사용시 발생할 수 있는 보안위협 사고에 대비해야 한다는 주장이 나왔다.

12일 금융보안원이 발표한 '전자금융과 금융보안 제17호 보고서'에 따르면 최근 IT기업과 금융권의 협력으로 IoT 기반 금융 서비스 사례가 하나둘 나오고 있지만, 그에 따른 보안대책은 미비하다는 설명이다.

또 금융 서비스 보안이 철저하다고 하더라도 IoT 기기 취약점이나 설정이 미흡하면 개인·금융정보가 해킹될 수 있어 제도적인 방안이 필요하다는 것.

[출처=금융보안원 전자금융과 제17호 보고서]


실제로 최근 IBK국민은행에서 기계 등 동산 담보물에 IoT 단말기를 부착하는 시스템을 출시한 바 있다. 이 단말기는 담보물의 위치정보, 가동여부, 가동률 등을 확인하며, 정상기준을 벗어나면 알림신호를 보낸다. 은행은 담보 산정시 수집된 정보를 이용하게 된다.


해외에서도 ▲인공지능(AI) 스피커를 통한 잔액 확인 서비스(캐피털원) ▲장거리 연결이 가능한 블루투스 비콘 활용 현금자동입출금기(ATM) 서비스(씨티은행) ▲온도 변화를 감지하는 IoT 기기로 보험 데이터 수집 서비스(트레블러스) 등 출시 사례가 잇따르고 있다.

이에 대해 서호진 금보원 정책연구팀 팀장은 "국내 금융 관련 IoT는 IBK기업은행 동산 담부대출 서비스를 제외하면 아직까지 본격적으로 시행되지는 않고 있다"면서도 "장기적으로는 확대될 것이기 때문에 금융보안에 대한 기준이 강화돼야 한다"고 말했다.

게다가 기존 IoT 기기 관련 보안사고는 지속되고 있어 발빠른 대책이 필요해 보인다. 현재 미국, 영국 등과 같은 해외 국가는 보안 법제화를 진행하고 있는 중이다.

미국 캘리포니아 주는 지난해 전세계 최초로 IoT 보안법이 제정됐고, 내년 1월부터 IoT 기기 보안사항을 정의한 법이 시행될 예정이다. 더불어 지난해에 IoT 보안 개선법도 발의됐다. 여기에는 국가표준기술원(NIST)이 권고한 IoT 위험관리 사항, IoT 기기 보안 취약점 공개 및 보고 지침에 관한 내용 등 IoT 보안강화 내용이 담겼다.

영국 정부는 지난해 10월 기업이 IoT 기기 보안사항을 자체 점검할 수 있는 실무규범을 제정했다. 이를 통해 기본적인 보안점검 뿐 아니라 제품·서비스 취약점을 제보할 수 있는 채널을 만들고, 취약점 접수, 조치, 공개까지 모두 체계화 한다. 유럽연합(EU)은 내년 6월부터 공통으로 사이버보안 인증제도를 규정한 법이 시행돼 IoT 기기·서비스에 대한 보안인증이 함께 실시된다.

싱가포르의 경우, 지난 1월 정보통신미디어개발청(IMDA)에서 'IoT 보안설계나 복원력 등 위협평가 모델 및 점검 리스트(총 10개 부문, 35개 항목)'를 발표한 바 있다.

보고서는 금융 관련 IoT 기술 활용동향을 면밀히 파악해야 한다고 제언했다. 특히 추후 스마트카 내 결제 서비스 등 신규 사업 창출도 가능해 이에 대한 보안정책과 법규도 함께 마련돼야 한다고 봤다.

서호진 팀장은 " 금융서비스에 IoT 기술을 접목하면 금융회사가 자율적으로 IoT 공급 업체 및 기기에 대한 보안 검증하고, 기획·설계단계부터 보안성을 철저히 고려하고, IoT 기기 보안설정 방법의 금융소비자 안내를 수행해야 한다"며 "금융 관련 IoT 보안 법제화가 필요하고, 민간 중심의 가이드라인 마련도 검토해야 한다"고 말했다.

/최은정 기자 ejc@inews24.com