Summary of FinTech

암호학

- 목적 : 기밀성 / 무결성 / 부인방지

 

대칭키

- AES

=> 암복호에 같은 키를 사용

=> 기밀성 O / 부인방지 X , 키 배포 문제 발생

 

비대칭키

- RSA

=> 수신자 공개키로 암호화 => 기밀성 O

=> 발신자의 비밀키로 암호화 => 부인방지 O

 

두가지를 혼합하여 기밀성 및 부인방지를 확보

 

대칭키를 수신자의 공개키로 암호화

수신자는 암호화된 키를 비밀키로 복호화

 

디지털서명

- 내가 언제 서명하였다 를 증명 => 부인방지

=> 송신자 비밀키( Hash ( TimeStamp ) )

=> 송신자의 공개키로 복호화 가능하므로 부인방지 확보

=> Hash 를 통해 무결성 확보

=> TimeStamp를 통해 서명일자 정보를 확인가능

 

 

 

핀테크

 

종류 : 간편결제, 카드결제, 온라인결제, 인터넷/모바일 뱅킹, 크라우드 펀딩, 금융데이터 서비스, 가상화페 등

 

핀테크 특징

=> 신속/사용성 증가 / 보안성 감소 <= 핀테크 육성을 위한 규제완화

=> 사용성과 보안성의 Balance가 중요함

 

핀테크 보안성 감소에 따른 영향

- 해킹 / 정보노출

=> 파라미터 변조 / DOS 공격 / 세션 하이재킹 등

=> 해결방법 : 사용자에게 사전보안 및 보안인식 강화 / 서버에서는 사후보안 및 데이터 검증 및 이상거래 탐지(FDS)

=> 인증방버 : 2-Factor 인증 (지식기반 + 소유기반 / 지식기반 + 생체기반)

 

 

핀테크 특징에 따른 보안영향

- 인증절차 간소화 => 보안취약점 발생 : 인증도용, 인증우회, 피싱 등

- 온/오프라인 결합 => 오프라인 채널에서의 취약점, 블루투스/NFC 자체 취약점등을 이용한 결제내역 스니핑 => 프라이버시 침해발생

 

핀테크 보안영향 대응방안

- FIDO : 생체인증에 대한 국제표준 사용자 인증방식

- TEE(Trust Execution Environment)

- 신규기술에 대한 취약점진단 체계 수립

- 데이터 전송 시 보안

  => 데이터 플로우별 시나리오 수립을 통해 취약점 식별

  => 데이터 암호화 / 토큰화(사전에 약속된 데이터를 전송하여 실제 정보가 전송되지 않도록 한다. )

  => FDS 고도화를 통해 이상거래를 탐지를 통해 거래안정성 보장 및 부정거래 차단

 

 

전자결제

(1) 사용자 개인키 ( Hash (구매정보) + Hash(결제정보) + 결제 게이트 공개키(구매정보) + 결제 게이트 공개키(결제정보) )

 

(2) 결제 게이트 공개키(비밀키) + 비밀키(구매정보) + 비밀키(결제정보) + 디지털서명 + Hash(구매정보 + 결제정보)

 

=> 구매정보와 결제정보의 무결성이 유지되는가?

=> 구매정보와 결제정보의 기밀성이 유지되는가?

=> 구매자의 부인방지는 가능한가?

 

 

핀테크에서의 개인정보보호

- 개인고유식별정보 처리 => 전자금융거래법 적용

- 중요정보 : 개인정보, 결제정보, 금융정보 => 안전관리 필수

- 인증수단 : PIN 번호 / 생체인증(FIDO)

 

* 발전적인 PIN 번호 입력방식 => 스크린터치 압력감도 / 입력시간 / 터치각도 등의 활동패턴을 함께 적용

=> 편의성 및 보안성을 함께 확보가 가능해짐