금융보안원, 금융권 특화 ‘디지털 월렛 보안 프레임워크’ 첫 공개

금융보안원은 금융권 특화 ‘디지털 월렛 보안 프레임워크’를 개발해 처음으로 발표했다고 15일 밝혔다. 사진은 디지털 월렛 서비스 구성 요소를 설명한 구성도. ⓒ금융보안원

금융보안원이 디지털 자산 확산에 대비해 금융회사가 디지털 월렛 서비스를 안전하게 개발·운영할 수 있도록 하는 보안 기준을 마련했다.

금융보안원은 금융권 특화 ‘디지털 월렛 보안 프레임워크’를 개발해 처음으로 발표했다고 15일 밝혔다.

디지털 월렛은 이용자의 디지털자산, 결제 정보, 신분증, 인증서, 각종 증명서를 통합적으로 저장·관리하고 필요 시 외부 기관에 제공할 수 있는 온라인상의 개인 지갑을 의미한다.

가상자산 해킹 사고가 잇따르고 가상자산 2단계 입법 논의가 본격화되면서, 설계 단계부터 운영 단계까지 보안성과 안정성을 확보하는 공통 기준이 필요하다는 지적이 제기돼 왔다.

금융보안원은 이번 프레임워크에서 디지털 월렛의 구성 요소별 보안 리스크를 체계적으로 정리했다.

이용자 영역에서는 개인키 유출과 악용으로 인한 인증 우회, 가상자산 탈취 등 13개 리스크를 제시했고, 제공자 영역에서는 블록체인 노드 관리 취약으로 인한 정보 위·변조, 거래 검증 우회 등 18개 리스크를 구체적인 시나리오와 함께 제시했다.

보안 프레임워크는 ▲서비스·응용 ▲데이터·통신 ▲인프라·관리체계 등 3개 계층으로 구성됐다. 각 계층별로 개인키 보호, 이용자·월렛 인증, 중요 데이터 보호, 통신 구간 보호, 블록체인 노드 관리, 앱 개발·배포, 조직·인력 관리 등 총 29개의 관리 방안을 제시했다.

특히 개인키 보호 항목에서는 개인키 생성·저장, 접근통제, 갱신·백업·삭제, 이용 모니터링 등 세부 단계별로 필요한 보안 요구사항을 구체화해 실무 적용성을 높였다.

데이터 및 통신 계층에서는 암호·키 관리와 정보 교환 인터페이스 보호를, 인프라 계층에서는 블록체인 접속과 시스템 보호, 개발·운영 관리 기준을 제시했다.

이번 프레임워크는 금융회사 월렛·보안 실무자가 참여하는 금융권 디지털 월렛 보안 협의체의 의견을 반영해 마련됐다.

금융보안원은 기술 변화 속도가 빠른 만큼, 향후 서비스 유형과 활용 기술 변화에 따라 프레임워크를 지속적으로 보완하고 금융사와의 협력을 통해 실제 적용 사례를 확대해 나갈 계획이다.

박상원 금융보안원 원장은 “모바일 신분증 평가기관으로서의 전문성을 기반으로 디지털 월렛 설계, 운영 과정에서 공통으로 참조할 수 있는 보안 모델을 국내 최초로 제시할 수 있었다”며 “토큰증권, 스테이블코인 등의 제도권 편입에 대비해 신설한 디지털 자산 전담 조직을 기반으로 디지털 월렛의 안정적 활용을 지원하고 국외에서도 상호운용이 가능하도록 표준화 체계 마련에도 힘쓰겠다”고 밝혔다.