미국 금융서비스 산업의 인터넷 보안, 프라이버시 보호 및 부정행위 대책 동향

금융 관련 제품 및 온라인으로의 서비스 이행에 따라, 금융서비스 프로바이더는 나날이 변화하고 복잡해지는 보안/프라이버시/사기문제에 대응할 필요가 커지고 있습니다.

소비자 제품 시장조사의 선두로서 30년 이상의 실적을 지니고 있는 미국의 조사회사 Packaged Facts (본사 : 뉴욕 주) 에서는 미국의 가정용 안전기기 및 구급용품 시장 동향에 대하여 조사분석하여 정리한 보고서 “The U.S. Financial Services Internet Security, Privacy, and Fraud Report”를 2005년 10월에 발행했습니다.

이 보고서에서는 인터넷 상의 개인정보 도난 및 사기행위를 포함한 각종 부정행위의 원인, 이를 회피하기 위한 신기술 및 프로시저에 관한 최신 동향, 법규제, 사례 연구(케이스 스터디) 및 주요 참가 기업의 실적 등에 대하여 아래와 같이 전해드립니다.

1. 문제의 범위
• 서론
• 금융서비스 산업을 위협하고 있는 보안문제와 프라이버시 문제
  • 온라인 뱅킹에 대한 영향
  • 온라인 결제에 대한 영향
  • 걱정하면서도 온라인 뱅킹을 이용하는 많은 소비자
  • 데이터 피해에 의해 저해되는 온라인 뱅킹 보급
  • 초이스 포인트(Choice Point)
  • 기타 대규모 피해
  • MasterCard 의 피해
• 소비자 인식
  • 금융기관에 대한 소비자의 높은 기대
  • 소비자의 커다란 우려
  • 웹 채널에 대한 영향
  • 옵션으로서의 구좌이동
  • 고객 로열티 / 고객 충성도에 영향을 미칠 가능성이 있는 보안 서비스
  • 보안 향상에 의해 발생하는 편리성의 문제
• 주요사항
• 개인정보 도난 발생범위와 건수
  • 개인정보 도난의 정의
  • 개인정보 도난 발생건수
  • 피해자의 1/3이 신규 구좌 개설 피해를 입음
  • 2004년에 개인정보 도난 피해를 입은 인터넷 사용자수는 200만명
  • 2004년의 사기 및 개인정보 도난 신고동향
  • 사기
  • 개인정보 도난
  • 피해자 정보의 부정이용방법
• 지역차
  • 주(州), 도시 지역
• 사기 건수
  • 결제사기와 감시에 관한 조사
  • 주요 조사 결과
  • 사기 발생 건수
  • 사기 방지책 도입 동향
  • 카드 사기 건수
  • 위조카드 사기
  • 신용카드 부정기술 솔루션
  • 수표 사기 발생건수
  • 부정한 구좌이체의 증가
• 인터넷 사기 건수
  • 12%를 점하는 컴퓨터 이용 사기 건수
  • 2004년에 사기에 의한 온라인 쇼핑몰의 피해 총액은 26억 달러
  • 잠재수익 손실 : 사기 위협에 의한 거부
• 개인정보 도난/온라인 사기에 의한 경제적 영향
• 개인정보 도난 수법
  • 피싱
  • 피싱 공격에 의한 피해자수
  • 피싱 공격에 관한 동향조사 결과
  • 피싱에 이용된 브랜드수
  • 피싱 사이트를 호스팅하고 있는 나라
  • 피싱 위협의 확대
  • 피싱의 코스트
• 악의적인 코드 파괴공작 소프트
  • 피싱에서 파괴공작 소프트로 : 인적요소 배제
  • 악의적인 코드
  • 파밍(Pharming)
  • 키로거(Keyloggers)
  • 악의적인 코드와 기밀정보 노출
  • 백도어 서버 프로그램
  • 트로이목마 (Trojan horse)
  • 스크린 스크래핑 (Screen Scraping)
  • 빈번한 대규모 공격을 받고 있는 금융서비스 부문
  • 빈번히 타깃이 되는 금융서비스 산업

2. 솔루션
• 서론
  • 하나의 비밀번호로는 불충분 : 기기인증/이중인증/이중요소사용자인증(Two Factor Authentication)의 필요성
  • 온라인 사기건수를 줄이기 위한 단계
  • 과제
  • 기관에 의한 대책
  • 카드 유효화
  • 카드 서명
  • VISA 에 의한 카드 소유자 정보 보호 프로그램
  • VISA 에 의한 조회
  • MasterCard 의 SecureCode
  • Discover 의 DeskTop 온라인 쇼핑 툴
  • PIN 입력 디바이스
• 피싱 방지와 경감
  • 파괴공작 소프트 방지와 경감
• 고객용 소프트웨어 다운로드
  • 한발 앞서 대책을 취하고 있는 인터넷 회사
  • 뒤따르는 은행
  • Wachovia
  • National City
  • 피싱 / 파밍의 1/2 공격
  • 예 : PSECU 에 의한 FraudAction 채용
  • 온라인 사용자 기반 확대
  • 예 : HBOS 에 의한 80%의 사기건수 경감
  • Cyota 의 파밍 솔루션
• FDIC 에 의한 피싱 경감전략
  • 스캔 툴
  • 스캔 소프트웨어
  • 서버로그 분석 소프트웨어
  • 이메일 인증 (발신자 ID)
• 사용자 인증
  • 싱글 팩터 인증(Single Factor Authentication)
  • 기기인증/이중인증/이중요소사용자인증
  • 소비자에 의한 기기인증/이중인증/이중요소사용자인증의 수용
  • 기기인증/이중인증/이중요소사용자인증은 불충분한가?
  • 기기인증/이중인증/이중요소사용자인증의 발전
• 백그라운드 시스템
  • 컨텐츠 필터링
  • 백그라운드 인증과 사기 시스템
  • 트랜잭션 솔루션(Transaction Solutions)
  • 행동 패턴 검출 솔루션
  • 디바이스 인증솔루션
  • 투 팩터 리스크 기반 인증(Two Factor Risk Base Authentication)
  • 제품의 전개
  • 예 : Stanford FCU
  • 예 : Bank of America 의 SiteKey 서비스
  • 사전인쇄인증카드

3. 토큰과 스마트 카드
• 서론
• 기기인증/이중인증/이중요소사용자인증토큰
  • 뿌리내리기 시작한, 강력한 기기인증/이중인증/이중요소사용자인증토큰
  • USB 토큰 디바이스의 개요
  • 정의와 기능
  • 비밀번호 생성 토큰의 개요
  • 투 팩터 토큰(Two Factor Token)의 과제
  • 오픈스탠다드(Open Standard)
  • 도입에 관한 견해
• 토큰의 전개
  • 유럽
  • 미국
  • E-Trade OTP Consumer Token
  • American Bank OTP Consumer Token
  • Stonebridge OTP Consumer Token
  • AOL OTP Consumer Token
  • Bank of America 에 의한 전개
  • Wachovia OTP Consumer Token 의 시험전개
  • U.S. Bank USB Consumer 의 시험전개
  • 모바일시장의 소프트 토큰 인증
• 토큰의 코스트
  • 중요한 요소로서의 TCO
  • 바이오메트릭스의 토큰
• 강력한 인증토큰시장의 규모와 성장률
  • 하드웨어 토큰시장의 규모와 성장률
  • Vasco
  • 보급률
  • 미국에서의 매상
  • RSA 보안
  • RSA 의 시장보급률
  • 컨수머 시장에서의 가능성
  • 미국 금융서비스 시장
• 스마트 카드
  • 스마트 카드 : 정의와 기능
  • 효과와 보호
  • 사용 편리성과 요건
  • 스마트 카드의 회피 키로거(Keyloggers)
  • 예 : USB AG Bank
  • 예 : Axalto Smart Card
  • 스마트 카드의 보안 기능을 보유하고 있는 유럽과 아시아
  • EMV 의 신뢰성 기준
  • ActivCard 4TRESS 인증 서버에 의한 MasterCard 칩 인증 프로그램 용 백 엔드 서포트의 제공
  • 토큰으로서의 스마트 카드 이용
  • 유럽에서의 현상
  • 일본에서의 스마트 ATM 카드의 전개
  • 미국에서의 금융서비스 기반 스마트 카드의 보급
  • 비(非) EMV 지역에서의 사기 위험
  • 기능
  • 선두를 달리는 PIN / TAN

4. 바이오메트릭스
• 서론
• 바이오메트릭 시스템의 기능
  • 바이오메트릭스란
  • 주요한 특징
  • 2단계 솔루션
  • 등록
  • 등록시 사기 방지의 중요성
  • 조회
  • 조회 과정에 대한 상세
  • 조회의 통계적 프로세스
  • 인증과 신상확인
  • 인증 : 1 대 1 조회
  • 신상확인 : 1 대 다 조회
• 바이오메트릭스 도입의 저해 요인
  • 코스트
  • 코스트 문제
  • 비용편익 트레이드오프(trade off)
  • 유럽의 코스트 비교
  • 기술 성숙도
  • 정밀도에 관한 문제
  • 일치판정과 비일치판정
  • 배경
  • 인증 및 특정 시스템에 대한 서로 다른 영향
  • 등록 실패
  • 상호운용성과 표준화
  • 표준기술의 부재
• 일반적인 수용
  • 오용
  • 바이오메트릭스의 수용
  • 편리성
  • 시스템 인터그리티(system integrity)
• 금융부문 도입의 저해 요인
  • 저코스트화 및 개인정보 도난건수 권한을 위한 바이오메트릭 기술도입의 저해 요인
  • 개인정보도난의 코스트와 발생률
  • 바이오메트릭 평가
  • 사기에 근거한 신규구좌 개설방지
  • 신용카드 분야의 바이오메트릭 기술도입 포기
  • 국가적인 개인정보확인기술의 제안
  • 데이터 기반 전략의 중요성
• 정부에 의한 바이오메트릭 기술도입
  • 국토안전 이니셔티브 : US-VISIT & TWIC 프로그램
  • 국토안전에 관한 대통령 지령
  • 얼굴 인증을 채택한 국제민간항공기관
  • 얼굴 인증 이용이 추진되고 있는 교통부
  • 정부 투자에 의한 사업 기회 창출
• 금융 거래에서의 바이오메트릭 솔루션 이용
  • 물리적 억세스와 논리 억세스
  • 고객 인증
  • 수표 교환
  • ATM 과 소매 POS
• 바이오메트릭스 시장규모, 시장점유율 및 성장률
  • 금융서비스 시장에서의 바이오메트릭 인증 보급률
  • 소매업에서의 바이오메트릭스 보급
• 바이오메트릭 기술의 카테고리별 평가
  • 지문 인식
  • 지문 기술의 용도
  • 종업원 인증
  • 온사이트(On sight)에서의 고객의 지문 인증
  • United Banker’s Bank
  • Bank of America
  • 지문 인식 키오스크
  • Purdue Employees Federal Credit Union
  • 소매 POS 의 지문 인식
  • 바이오메트릭 POS 시장 규모와 성장률
  • POS 에 있어서의 지문 인식의 기능
  • 소매업자에 대한 코스트 사항
  • 제품 코스트
  • 제품 전개
  • 예 : Cub Foods
  • 예 : Piggly Wiggly
  • 온라인 인증용 컴퓨터 기반 지문 인식 제품
  • 음성 인증 및 인식
  • 문제범위
  • 시장 규모와 성장률
  • 음성 인증
  • 생리적, 행동적 행동에의 의존
  • 기능
  • 텍스트 의존 대 비텍스트 의존 시스템
  • 하드웨어 / 소프트웨어솔루션
  • 음성인증과 음성인식
  • 음성인식
  • 음성 바이오메트릭 제품의 전개
  • PIN 용 온라인 사용자 인증
  • 온라인 인증
  • 손바닥 인증
  • 고객 인증 도입사례
  • 얼굴 인증
  • 서명 스캔과 키스트록(key stroke) 인증
  • 키스트록(key stroke) 인증제품의 전개
  • 홍채인식

5. 개인정보 도난에 대한 법적 대응 및 규제환경
• 개인정보도난보험
  • 예 : PNC
  • 예 : Citibank
• 개인정보도난에 대한 법적 대응, 규제기관의 대응
  • 정보 보호 규정
  • 벌칙 증가와 법규제 툴
  • 정보 공개법의 동향
  • 정부에 의한 정보 공개 동향
  • 2005년 7월의 의회에 의한 보안 관리 및 데이터 통지 법안 제출
  • 예외
  • 뱅킹 위원회
  • Feinstein 의원에 의한 엄격한 개인정보도난법안 제출
  • 보안 침해에 대한 공청회
  • 연방정부기관에 의한 커스터머 보안 침해 통신에 관한 가이던스
  • 주(州) 규제
  • 상업부문의 최근 동향

부록 : 벤더 디렉토리