금보원 "5G 금융보안, NFV·MEC 위협 대비해야"

보안 설계 요구사항 소개, ISAC 중심 공동 대응 체계 제안

컴퓨팅입력 :2019/08/08 08:33

5G 상용화로 엣지 컴퓨팅과 초연결 서비스가 활성화하면 금융 서비스 보안 설계에도 변화가 생겨야 한다는 지적이 나왔다.

금융보안원 연구총괄팀은 지난 2일 발표한 '전자금융과 금융보안' 17호에서 '5G 기반 금융서비스에 대한 보안 요구사항'을 소개했다.

보고서는 각종 기술과 금융이 결합되면서 새로운 서비스가 등장하고, 그에 따라 보안 위협의 종류와 확장성이 늘어난다고 전망했다. 예상되는 보안 위협을 짚고, 필요한 보안 조치들을 제안했다.

새로 등장하는 금융 서비스에 대한 보안 사고를 방지하기 위해 보고서는 결론적으로 서비스 설계 단계부터 5G 기술 특성을 고려한 보안 요구 사항이 반영될 필요가 있다고 봤다.

아울러 초연결이 특징인 5G는 보안 위협 확산도 매우 빠르고 피해 범위가 넓어질 수 있기 때문에 개별 회사가 아닌, 금융 정보공유분석센터(ISAC) 중심의 공동 정보 분석, 공유, 대응 체계가 필요하다고 주장했다.

지속적인 혁신 기술 등장에 대응할 수 있는 보안 지원 체계도 마련해야 한다고 덧붙였다.

■5G 시대 금융, VR·빅데이터·스마트카와 융합 가속...보안 위협도 증가

5G 네트워크가 구축되면서 연결성 문제로 인한 결제 중단, 결제 완료 시간 지연 등을 해소한 모바일 금융 서비스가 제공될 것으로 전망했다.

가상·증강현실(VR·AR)에 기반한 점포 서비스도 보편화될 것으로 예측했다. 이미 프랑스, 캐나다, 홍콩, 미국 등에서 활용 사례들도 등장하고 있다.

빅데이터와 금융을 결합한 맞춤형 서비스는 고도화될 것으로 봤다. 할인쿠폰, 신용평가, 보험료 산정 등이 일례다.

아울러 주차·주유비 자동 결제 등 스마트카 관련 커머스 서비스, 사물인터넷(IoT) 기기 기반 금융 서비스, 스마트팩토리와 결합한 금융 서비스도 등장할 수 있을 것으로 관측했다.

타 기술과 융합된 금융 서비스들이 여럿 등장할 것으로 전망되는 가운데, 보안 수준이 서로 다른 기기들이 연결되면서 취약점이 발생할 수 있다고 진단했다.

공격자가 관리자 권한을 획득해 금융정보를 탈취하거나, 가입자식별모듈(SIM) 카드 재발급 과정에 개입해 금융 거래를 시도하는 등의 범죄가 나타날 수 있다는 것.

네트워크 기능 가상화(NFV)·슬라이싱, 모바일 엣지 컴퓨팅(MEC) 등 신기술에 따르는 취약점과, 중요정보가 클라우드로 이전됨에 따라 이를 노린 보안 위협도 증가할 것으로 봤다.

서비스 운영 시에도 어플리케이션, 서버 등의 보안 취약점이나 잘못된 보안 설정으로 의도치 않은 데이터 유출 또는 보안 사고가 발생할 수 있다고 덧붙였다.

출처=금융보안원

■"기지국 간 통신 보안 강화돼야"...기밀성·인증 강화에 초점

보고서는 5G 보안이 기밀성과 인증을 강화하고, 가입자 식별자 정보 및 기지국 간 통신 보안이 강화될 것으로 예측했다.

5G 기반 금융 서비스에 필요한 보안 요구사항을 연결기기 영역, 네트워크 영역, 신기술 영역 등으로 나눠 제안했다.

연결기기 영역에서는 5G 기기, SIM 카드 특성과 제조, 배포 상황에 대한 고려가 필요하다고 봤다.

기기 단에서 취할 수 있는 보안 조치로 인증 받은 칩·모듈 사용, 개발 시 사용한 디버깅 포트 제거 또는 보호 등이 언급됐다. 시스템 구동, 설정, 업그레이드 시 OS의 무결성 확인과 시스템 보안 취약점을 찾기 위한 개념증명코드 개발도 요구사항으로 포함됐다. 응용 데이터에 대해서는 안전한 데이터 저장소 및 전송을 위한 보안 평가를 제시했다.

SIM 카드의 경우 기기 통신 기능의 정상 동작 여부를 점검하고, 타 SIM 카드 사용 제한 등의 보안 설정을 요구사항으로 언급했다.

네트워크 영역에서는 국제전기통신연합 전기통신표준화부문(ITU-T)의 보안 권고사항인 데이터 통신 시스템 보안 표준(X.805)을 기반으로 보안 제어 등급을 추가 설계하고 요구사항들을 도출했다.

제어 등급에서는 모니터링, 신뢰 및 보증, 컴플라이언스를 추가했다. 문제 발생 시 원인 규명을 위한 데이터 수집과 시스템 신뢰성을 위한 정보 제공, 5G 사용자와 서비스, 인프라 제공자의 계약과 법률을 준수하는 내용을 담고 있다.

5G 특성을 고려한 신규 네트워크 보안 영역으로는 5G 인프라와 가상화 네트워크 등을 위한 보안 요구사항을 담은 '인프라 및 가상화', 모니터링과 키 관리, 안전한 업그레이드를 위한 '관리'를 추가했다.

신기술 영역 보안 요구사항은 MEC, NFV, 네트워크 슬라이싱으로 나눠 정의했다.

MEC에 대해서는 엣지 서버 하나에서 다수의 서비스를 지원하므로 보안 위협의 확장 가능성이 있다고 짚었다. 이를 막기 위해 클라우드 보안 가이드 반영, 엣지 서버 내 인증 정보 유효기간 설정, 서비스 거부 공격(DoS) 방어를 위한 APT 요청 수 제한 등을 언급했다.

관련기사

NFV에 대해서는 공격으로 인한 데이터 유출·변조, 네트워크 마비, DoS에 악용될 가능성들을 언급했다. 이와 함께 네트워크 서비스 도메인 분리와 일관성 있는 관리를 위해 NFV 보안 관리 프레임워크를 구성할 것을 권장했다. 가상 네트워크 관리와 방화벽, 침입탐지, 모니터링 등의 요소가 포함돼 있다.

출처=금융보안원

네트워크 슬라이싱의 경우 네트워크 간 침해를 방지하기 위한 관리가 필요하다고 봤다. 이를 위해 분리된 네트워크 간 통신 시 보안 정책을 적용하고 인증 기능 활용, 슬라이스 별 CPU·메모리·네트워크 사용량 설정 등을 제안했다.