금융보안원, 금융권 특화 ‘디지털 월렛 보안 프레임워크’ 개발

금융보안원은 금융회사가 월렛 서비스를 안전하게 개발·운영하기 위해 필요한 기본사항을 체계적으로 제시한 금융권 특화 ‘디지털 월렛 보안 프레임워크’를 최초로 발표했다. 15일 금보원은 디지털 월렛 운영의 안정성과 일관성을 높이기 위해 서비스 구성 요소별 보안 리스크를 구별하고 대응 방안인 보안 요구사항을 기반으로 보안 프레임워크를 마련했다.

금보원은 디지털 월렛의 구성 요소별 보안 리스크와 구체적 위험 시나리오를 제시했다. 이용자의 개인키가 유출 및 악용됨으로써 신원 확인·인증 우회가 발생하거나, 가상자산이 탈취되는 시나리오 등 13개 리스크를 담았다. 이어 취약한 블록체인 노드 관리 등으로 인해 노드 상의 정보가 위·변조됨으로써 신원확인·인증 및 가상자산 거래 검증이 우회되는 시나리오 등 18개 리스크를 제시했다. 보안 프레임워크는 서비스 및 응용, 데이터 및 통신, 인프라 및 관리체계 3개의 영역으로 계층화했다. 계층 내 세부 구성요소 별 디지털 월렛의 관리 방안(총 29개)을 수립했다.

서비스 및 응용 계층은 이용자의 안전한 월렛 서비스 이용에 관한 계층으로, 개인키 보호, 이용자·월렛 인증, 이용 환경 보호로 구성된다. 데이터 및 통신 계층은 서비스 중요 데이터에 대한 안전한 저장과 전송에 관한 계층으로, 암호 및 키 관리, 중요 데이터 보호, 통신 구간 보호, 정보 교환 인터페이스 보호 등이다. 인프라 및 관리체계 계층은 안전한 서비스 운영을 위한 시스템 및 통신에 관한 계층으로 블록체인 접속·노드 관리, 애플리케이션(앱) 개발·배포, 시스템 및 인프라 보호, 조직·인력 관리로 구성된다.

공통 관리방안은 세부 구성 요소별로 적용해야 하는 기술 및 인증 기준과 필요한 보안 대책 등을 보안 요구사항에 구체적으로 제시했다. 특히, 서비스 및 응용 계층의 ‘개인키 보호’의 경우, 개인키 생성 및 저장, 개인키 접근통제, 개인키 갱신·백업·삭제, 개인키 이용 모니터링 시 필요한 보안 요구사항으로 체계화했다.

박상원 금보원 원장은 “모바일 신분증 평가기관으로서의 전문성을 기반으로 디지털 월렛 설계·운영 과정에서 공통으로 참조할 수 있는 보안 모델을 국내 최초로 제시할 수 있었다”며 “토큰증권, 스테이블코인 등의 제도권 편입에 대비해 신설한 디지털 자산 전담 조직을 기반으로 디지털 월렛의 안정적 활용을 지원하고 국외에서도 상호운용이 가능하도록 표준화 체계 마련에도 지속적으로 힘쓰겠다”고 밝혔다.

<이수민 기자>Lsm@byline.network