ONOFFMIX에서 핀테크 관련 강의를 한다는 포스터를 보고 바로 신청했다.
카이스트에서 진행되기에 더더욱 신청했다ㅎㅎㅎㅎ
옆 학교니까 가기 쉬울 것이라는 생각에ㅎㅎ
하지만 카이스트는 매우 컸고,,, 강의를 들으러 가던 중에 산을 타고,,, 40분간 걸어서 간신히 도착했다..ㄸㄹㄹ
피우다, 핀테크 강의는 보안과 관련한 강의가 진행되었다.
IoT와 핀테크 등 4차 산업혁명이 시작되면서 보안은 굉장히 중요한 분야가 되었다.
아마 시간이 흐르면서 보안과 관련된 보험도 나올 것이다.
특히, 핀테크는 금융과 직결되기에 더더욱 보안이 중요하다.
신용정보도 연관되고 함부로 누가 내 계좌에 들어가서 돈을 출금해갈 수도 있으니까...
오후 4시부터 5시까지는 에잇바이트의 김덕상 대표님께서 강의를 해주셨다.
주제는 '핀테크 시대의 안전한 보안 인증'
우리가 가장 기본적으로 알아야 되는 것은 '식별'과 '인증'의 차이이다.
식별은 우선 사용자가 자신의 신원을 밝히는 것이고,
인증은 주장하는 신원이 유효한지 이 사람이 맞는지 증명하는 행위이다.
예를 들면 구글 로그인을 할 때, 이메일주소를 입력하는 것은 식별이고,
그 뒤에 내 사진과 비밀번호를 입력하는 것이 인증 단계이다.
내 사진을 보고 확인한 뒤 비밀번호를 입력하기에 불필요하게 내 정보를 노출할 필요가 없는 것이다.
또한 인증 방법은 2개 이상을 함께 사용해야 안전하다고 한다.
인증 방법 종류는 비밀번호, 결제PIN, CVV, 보안질문인 '지식기반 인증'과
MS카드, IC카드, Otp토큰, 휴대폰과 같은 '소지기반 인증'과
지문, 홍채, 음성, 행위 등과 같은 '생채기반 인증'으로 크게 나눌 수 있다고 한다.
흥미로웠던 사실은 페이스북이 해킹된 것 같다고 느껴지면 페이스북에서 해킹된 것 같다는 이메일을 보낸다고 한다. 그 후, 패스워드를 리셋하고 싶다면 자신과 페이스북친구가 되어있는 친구 사진을 여러 장 보내서 이름을 맞추고 일정 정도 이상을 맞춰야 패스워드를 바꿀 수 있다고 한다.
인증 방법의 요건은 기밀성, 무결성, 가용성이다.
이 중에서 가용성이란 Credential의 폐기 및 복구가 용이해야 한다는 것이다.
이 점이 가장 취약한 것이 생체기반 인증이다.
지문을 해킹당한다면 어떻게 할 것인가?
내 손가락 지문을 성형수술해야 할 수도 있다,
지문은 바꿀 수 없기 때문이다.
이를 보완하기 위해 정상지문과 비정상지문을 각각 저장해놓는 시스템도 마련된 곳이 있다고 한다.
만약에 보이스피싱 때문에 돈을 인출해야 한다면 비정상지문을 사용하여 바로 신고가 가능하게 하는 것이다.
이제는 소프트웨어만으로 보안이 어렵기에 하드웨어까지 이용하는 경우가 많다고 한다.
예를 들어 토큰을 이용하거나 trusted platform을 이용하는 것이다.
또한, 암호 자체가 사업 아이템이 될 수도 있다고 한다는 사실이 문과생으로 자라온 나에겐 놀라웠다.
암호는 블랙박스 모델, 그레이박스 모델, 화이트박스 모델로 나눠진다고 한다.
이는 해커들의 공격방법으로 종류가 나눠지는 것이라 생각하면 된다고 한다.
블랙박스 모델은 확실히 키의 위치가 공개되기에 해커들은 이 부분만 공격하고,
그레이박스 모델은 키가 확실히 표시되지 않고 키의 주변만 알 수 있어서, 그 주변을 공격하면 결국 키를 찾을 수 있다고 한다.
화이트박스 모델은 전부 다 공개를 시키지만 키와 주변 그리고 나머지 모두가 똑같이 생겨서 키를 찾을 수 없다고 한다. 이는 이론상으로만 가능하다고 한다ㅎㅎㅎ 이게 가능하면 정말 좋은 암호가 될 것이라 생각한다.
대칭키 암호는 암,복호화 시에 동일한 암호키를 사용하는 것이고
공개키 암호는 암,복호화 시에 상이한 암호키를 사용하는 것이다.
충격적인 사실은 비밀번호를 8자리 정도로 지정해놓으면 해커들은 2일만에 다 찾을 수 있다고 한다.
일방향 해쉬 암호화를 사용하면 해커들은 암호화된 비번을 찾으려고 노력하는 게 아니라 사용자가 지정한 비밀번호 8자리를 찾으려 한다. 따라서 8자리는 금방 찾을 수 있게 된다.
정말로 패스워드는 대소문자, 특수문자, 숫자 다 섞어서 써야한다.
흥미로운 것은 FIDO라는 것이다. 이는 Fast Identity Onlilne이라는 것으로 생체인증 방법이다.
삼성이나 애플 등은 지문 등을 이용해서 생체인증을 하려고 한다.
FIDO는 제조사 중심으로 이루어지고 있다. 간편한 것은 사실이다.
나도 이 강의를 듣기 전에는 혁신이고, 가장 안전한 방법이라고 생각했다.
하지만 이 지문과 홍채 등이 해킹된다면.....?
무서운 일이 벌어질 수도 있다...
2020년에는 IoT의 시대가 될 것이다.
비 오는 날에는 반짝 반짝 빛나서 비가 올 것이라는 사실을 알려주는 우산을 대부분이 가지고 다닐 것이고,
스마트 와치, 섬유 자체에 전류가 흘러 신체정보를 알려주는 등 다양한 상품을 이용할 것이다.
이런 시대에는 보안이 더더욱 생명이다.
자칫하면 생명을 잃을 수도 있다.
헬스케어 분야에서 당뇨병과 관련해서 IoT가 많이 사용된다.
약 복용이나 인슐린을 투여 시간을 알려주는 등 여러 기능으로 당뇨병 환자들에게 도움을 줄 것이다.
그런데 그런 시간이 잘못 보내지거나, 누군가 수치를 해킹하다면 큰일이 발생할 수 있다.
보일러도 누군가 우리집 온도를 확 높히면,,,, 불이 날 수도 있다.
따라서 앞으로 보안은 정말 정말 중요한 요소가 될 것이다.
앞으로 생체이식형 인증이 생체인증보다 각광받을 수 있을 것이라고 하셨다.
생체인증은 바꿀 수 없지만 생체이식형은 칩을 몸에 내장시키기 때문에 폐기나 복구가 용이하다는 것이 큰 장점이다.
핀테크 보안과 관련된 창업을 하셨을 때 장애에 대해 여쭤보았는데
기득권이나 카르텔 세력이 많을 뿐만 아니라 규제가 너무 많아서 금융회사가 수락 안하는 경우가 많다고 한다.
국내 시장이 작은 것도 큰 문제라고 한다.
5시부터 6시는 NSB의 CEO인 서원일 대표님께서 보안과 핀테크에 관해 강의해주셨다.
강의 중간중간마다 재밌는 이야기를 해주셨다. 강의를 정말 잘 하신다ㅎㅎㅎ
대표님께서는 핀테크는 IT와 금융의 결합이 아닌 소프트웨어 관점에서 바라보는 기존 금융의 혁신이라고 하셨다.
은행은 이제 오프라인인 지점을 없애고, 온라인화하고 모바일화 할 것이다.
나는 앞으로 은행은 은행만이 가지고 있는 API를 통해서 수익을 창출할 것이라 생각된다.
TRUSTED ZONE은 정말 신기했다.
이는 하드웨어랑 소프트웨어를 결합시킨 것이다.
이와 관련된 기사를 몇 개 스크랩하겠다.
http://byline.network/2016/07/1-260/
http://www.etnews.com/20161103000322
http://www.elec4.co.kr/article/articleView.asp?idx=4337
위의 기사를 보면 2013년에 나온 것도 있다...
근데 지금 알다니,,,,,
열심히 시대 상황을 인식하고 내가 먼저 선구자가 되기 위해 반성과 노력을 해야겠다!!!!!!!!!!!!ㅎㅎㅎㅎㅎㅎ
솔직히 2시간 동안 많은 이야기를 들었지만 전문적인 내용이 섞여있어서 이해 못한 것도 많다.
따라서 열심히 공부해야겠다ㅎㅎㅎ
이런 강연도 많이 다녀야지!!!ㅎㅎㅎㅎ