결제에서 신원 확인까지… 디지털 월렛 국내외 보안 표준화 시동 | 종합

25.12.21 548 읽음

결제에서 신원 확인까지… 디지털 월렛 국내외 보안 표준화 시동

IT조선

전자지갑 서비스 디지털 월렛(Digital Wallet)이 단순 결제 수단을 넘어 신원 확인과 인증을 위한 핵심 플랫폼으로 역할이 커지면서, 월렛 자체의 보안 수준이 곧 서비스 신뢰도를 좌우할 수 있는 환경이 되고 있다. 이에 따라 국내외에서 디지털 월렛 보안 표준을 체계화하고, 나아가 이를 하나로 통합하려는 움직임이 본격화하고 있다.

디지털 월렛은 신용카드·직불카드·멤버십카드·쿠폰 등 각종 결제 및 금융정보를 스마트폰이나 기기에 안전하게 저장해 실물 카드 없이 결제·관리를 가능하게 하는 전자지갑 서비스를 일컫는다. 여기에 최근에는 신분증·학생증과 정부·공공기관 전자문서, 암호화폐 보관과 송금·이체 등까지 다양한 기능들이 빠르게 확장되고 있다.

금융보안원, 금융권 특화 ‘디지털 월렛 보안 기준’ 제시

국내에서는 금융보안원이 금융권에 특화된 디지털 월렛 보안 기준을 이달 15일 발표하며 제도적 대응에 나섰다. 디지털 자산의 제도권 편입 논의가 본격화되고 가상자산 월렛 해킹 사고가 잇따르면서 보안 중요성이 높아졌기 때문이다. 금융사가 디지털 월렛 서비스를 안전하게 설계·운영할 수 있도록 돕는 '금융권 디지털 월렛 보안 프레임워크'가 이번에 제시된 기준의 핵심이다.

프레임워크는 디지털 월렛을 ▲서비스·응용 ▲데이터·통신 ▲인프라·관리체계의 3개 계층으로 구분하고, 설계·개발·운영 전 과정에서 고려해야 할 구체적 보안 요구사항을 제시한다. 개인키 생성·저장·접근 통제·백업·폐기 등 개인키 보호를 핵심 보안 요소로 명시하고, 이용자 영역과 제공자 영역에서 발생할 수 있는 주요 공격 시나리오를 함께 정리한 점이 특징이다.

금융보안원 관계자는 "금융회사가 디지털 월렛 서비스를 도입·운영하는 과정에서 실무적으로 활용할 수 있는 기준을 제시하는 데 목적이 있다"며 "기술 환경 변화에 맞춰 프레임워크를 지속적으로 고도화할 계획"이라고 밝혔다.

FIDO 얼라이언스 “디지털 월렛 보안 표준 정립” 선언

글로벌 차원에서는 FIDO 얼라이언스(Fast IDentity Online Alliance)가 디지털 월렛 보안 표준을 통합하기 위해 본격적인 움직임을 시작했다. 그동안 '패스키(passkey)'를 중심으로 비밀번호 없는 로그인 환경과 관련 표준을 주도해온 FIDO 얼라이언스는 앞으로 디지털 월렛과 디지털 크리덴셜(Credential·신원증명) 영역까지 영향력을 확장한다는 계획이다.

이를 위해 FIDO 얼라이언스는 이달 초 도쿄에서 개최한 세미나에서 '디지털 크리덴셜 이니셔티브(Digital Credentials Initiative)'를 출범하고, 디지털 월렛 환경에서 안전하고 상호 운용 가능한 보안 표준을 논의할 신규 워킹그룹을 구성했다고 발표했다. 즉 인증 이후 단계에서 활용되는 신분증·자격증명·증명서가 디지털 월렛에 저장·제시되는 구조까지 표준 정립 범위를 넓히겠다는 구상이다.

이번 발표는 최근 전세계 각 국가에서 다양한 형태의 디지털 월렛이 등장하는 가운데 플랫폼과 국가, 서비스가 달라도 동일한 보안 수준과 신뢰를 유지해야 한다는 문제의식 아래 이뤄졌다.

앤드류 시키어(Andrew Shikiar) FIDO 얼라이언스 CEO는 "디지털 월렛과 디지털 크리덴셜이 확산되는 환경에서는 보안과 상호운용성이 동시에 확보돼야 한다"며 "FIDO가 비밀번호 없는 로그인에서 입증한 협력 모델을 디지털 월렛 생태계에도 적용해, 더 안전하고 프라이버시를 보호할 수 있는 구조를 만들겠다"고 말했다.

“디지털 월렛 보안 표준, 글로벌과 소통하며 맞춰가야”

보안 전문가들은 기존의 단순 신용카드 결제 기능을 넘어 디지털 신분증과 전자 증명서 확산이 본격화될수록 디지털 월렛 보안 표준의 중요성도 빠르게 커질 것으로 전망한다. 개인의 신원과 자산을 동시에 보호해야 하는 상황 속에서 이를 노리는 해커들의 공격을 방어하기 위해서는 빈틈 없이 체계적으로 정립된 글로벌 수준의 표준 보안 기술이 반드시 필요하기 때문이다.

한 보안 업계 관계자는 "디지털 월렛은 인증·결제·신원 정보가 한곳에 모이는 구조"라며 "국내에서는 금융보안원이 가상자산 이용 확대 흐름에 따라 금융권 위주의 기준을 제시했고, 글로벌 차원에서는 FIDO가 난립하는 시장 상황을 정리하고자 영향력을 확장한다고 발표한 만큼 향후 두 흐름이 어떻게 맞물릴지 주목할 필요가 있다"고 말했다. 이어 그는 "그동안 국내 표준이 글로벌 표준과 동떨어져 발전한 사례가 여러 분야에서 있었던 만큼, 디지털 월렛 보안 표준은 글로벌 커뮤니티와 긴밀하게 소통하며 함께 맞춰가길 기대해본다"고 덧붙였다.

박상원 금융보안원장은 "디지털 자산 전담 조직을 기반으로 디지털 월렛의 안정적 활용을 지원하고, 국외에서도 상호운용이 가능하도록 표준화 체계 마련에도 지속적으로 힘쓰겠다"고 밝혔다.

정종길 기자

jk2@chosunbiz.com