핀테크 보안과 개인정보보호의 중요성

서비스가 고도화될 수록 서비스를 사용하는 고객에게 위험이 증가되기 때문에 보안과 개인정보보호는 필수입니다.
마이디's avatar
Apr 26, 2024
핀테크 보안과 개인정보보호의 중요성
안녕하세요. 마이데이터 거래 앱 서비스(마이디)를 운영하고 있는 에스앤피랩입니다.
지금까지 개인데이터, 개인데이터 속성과 결합, 개인데이터의 정보주체권리, 데이터3법 등 데이터의 중요성과 데이터 관련 인사이트에 대해 말씀드렸는데요. 데이터가 중요한 것처럼 보안과 개인정보보호도 정말 중요합니다.

개인정보보호의 중요성

notion image
특히나 마이디와 같은 데이터를 다루는 서비스, 핀테크 기업은 사이버 보안, 데이터 보안 및 개인정보 보호를 다루는 효과적인 방법을 계획하고 수행 해야 하는데요, 서비스가 고도화될 수록 서비스를 사용하는 고객에게 위험이 증가되기 때문에 보안과 개인정보보호는 필수입니다.
만약 보안과 개인정보보호를 최우선시 하지 않아 문제가 발생한다면 아래와 같을 것 같은데요.
  • 데이터 유출
  • 데이터 손실
  • 계정 도용
  • 서비스 거부 공격
  • 내부자 위협
  • 멀웨어 주입
  • 불충분한 실사
  • 안전 하지 않은 API
  • 클라우드 서비스 남용

사이버 범죄와 그 역사

현대 기술은 정부, 금융기관, 기업 및 사람들을 연결하고, 디지털 기술은 이 연결을 위한 플랫폼을 제공하며 수많은 주용한 장점을 제공하지만, 또한 부도덕한 개인이 기물 파손에서 기밀 정보 도용에 이르기까지 범죄 활동을 지속할 수 있는 방법 역시 제공합니다.
해킹은 절차 또는 제품을 변경하여 문제를 해결하거나 작동 방식을 변경할 수 있습니다. 해킹은 1960년대에 생긴 용어로, MIT의 취미 동아리인 TMRC(Tech Railroad Club)에서 학생들이 학교 측의 통제를 뚫고 전산실에 잠입하여 DEC의 컴퓨터를 사용하던 행위에 붙여진 용어였습니다. 그들은 전체 장치를 재설계할 필요 없이 일부 기능을 변경할 수 있는 방법을 찾았고,
이들 개인의 호기심과 수완은 초기 컴퓨터 시스템의 컴퓨터 코드를 배우도록 이끌었습니다. 키스 톰슨(Keith Thompson)과 데니스 리치(Dennis Ritchie)는 원래 시스템을 해킹하고 UNIX 운영 체제를 개발했으며, 해킹이라는 용어는 기능을 향상시키거나 장치 또는 제품의 문제를 해결하려는 독창적인 방법으로 시작되었으나, 요즘 일반인들에게는 나쁜 측면이 좀더 부각되는 경향이 있습니다. 그 이유는 1970년대 해킹은 악성 해킹이 많았기 때문이야~! 예를 들어, Phreaker처럼 무료로 장거리 전화를 도용하고, 다른 용도로 사용하기 위해 소프트웨어와 하드웨어를 해킹하는 경우가 많습니다.

사이버 보안 분야

사이버 보안은 기술 분야에서 가장 빠르게 성장하는 분야 중 하나로 볼 수 있습니다. 지난 10년 동안 미국 연방정부는 사이버 보안에만 1천억 달러 이상을 투자했으며, 2016년 미국 대통령 선거가 사이버 범죄자들에 의해 확실히 영향을 받았다는 사실을 고려하지 않더라도 이것은 분명히 중요한 문제라 볼 수 있습니다. 평균적으로 사이버 공격은 보고되지 않은 사이버 범죄를 제외하고도 연간 최대 5천억 달러의 기업 비용이 발생합니다.

사이버 범죄의 유형

유형
내용
백도어
백도어는 알고리즘, 암호화 시스템 또는 컴퓨터 시스템에서 보안 제어 또는 일반 인증을 우회하는 방법이다. 구성이 잘못되었거나 독창적인 디자인으로 인해 의도치 않게 발생할 수도 있다. 승인된 직원이 백도어를 추가하여 다른 사람에게 무단 액세스를 제공할 가능성도 있으며, 부도덕한 내부인이 악의적인 의도로 이를 추가할 수도 있다. 그러나 이유가 무엇이든 백도어는 취약점의 여지를 주는 attack surface를 추가하는 것이다.
분산 서비스 거부 공격(DDOS)
서비스 거부 공격은 네트어크나 시스템을 중단시킬 수 있다. 네트워크나 컴퓨터의 기능을 오버로드하여 의도한 사용자에 대한 서비스를 거부한다. 또한 의도적으로 잘못된 비밀번호를 입력하여 피해자의 계정을 잠근다. 새 방화벽 규칙을 추가하면 특정 IP 주소로 인한 네트워크 공격을 차단할 수 있다. 그러나 봇넷 및 증폭 및 리플렉션 공격과 같은 다른 기술에서 발생할 수 있는 수많은 분산 서비스 거부 공격으로부터 네트워크를 방어하는 것은 어렵다.
피싱
피싱은 사용자에게 원본 사이트와 동일한 가짜 사이트에 세부 정보를 제공하도록 지시한다. 신용카드 정보, 비밀번호 및 사용자 이름과 같은 사용자 정보를 얻어서 사용자의 자산을 탈취한다. Ponemon Institute가 수행한 조사에 따르면 피싱 공격이 성공했던 기업의 연간 비용은 약 370만 달러 수준이었다.
클릭 재킹(Clickjacking)과 스푸핑(Spoofing)
사용자 인터페이스 구제 공격 또는 UI 구제 공격으로 알려진 공격자는 사용자가 다른 웹 페이지에서 링크 또는 단추를 클릭하도록 속일 수 있다. 다시 말해 공격자는 사용자의 클릭을 가로 채고 있다. 악의적이거나 사기성 활동인 스푸핑은 공격자가 알려진 소스로 위장하여 수신자와 통신하는 것이다. 이는 보안 수준이 낮은 장치에 공통으로 시도해볼 수 있는 공격이다.
사회 공학 (Social Engineering)
사회 공학 공격은 사용자가 민감한 정보를 공개하도록 유도하는 사기 유형이다. 예를 들어, 공격자는 재무 및 회계서에 가짜 CEO 전자 메일을 보내는 것과 같은 것이다. 2016년 FBI 보고서에 따르면 2013년 10월부터 2016년 2월까지 누적 피해액은 약 23억 달러였다고 한다.
직접 액세스 공격
컴퓨터 액세스 권한이 있는 인증된 사용자는 데이터를 복사하거나 운영 체제를 수정하거나 무선 마우스를 사용하거나 비밀 청취 장치, 키 로거 또는 소프트웨어 웜을 설치할 수 있다. 표준 보안 조치는 시스템을 보호할 수 있지만. 도구를 사용하거나 다른 운영 체제를 부팅하면 이러한 조치를 우회할 수 있다. TPM(Trusted Platform Module) 및 디스크 암호화는 직접 액세스 공격을 방지하는 기본적인 방법 중의 하나이다.
도청
도청은 실시간으로 개인 통신을 무단으로 가로채는 것이다. 예를 들어, NarusInsight 및 Carnivore 프로그램은 인터넷 서비스 제공 업체의 시스템을 도청한다. 암호화가 없거나 약한 경우 폐쇄된 시스템에서 도청되기도 한다.
오늘은 보안과 개인정보보호가 왜 중요하며, 이를 우선시 하지 않았을 때 어떤 문제를 야기시킬 수 있는지 알아보았습니다.
데이터, 기술의 발전에 따라 보안 및 개인정보 보호에 대한 대안도 함께 고려하기 위해서는 규모의 시너지가 필수가 될 수 있습니다.
그럼 지금까지 읽어주셔서 감사합니다.
Share article

올데이가 (마이디)