블로그

오픈 뱅킹은 혁신을 주도하고 금융 기관에 위험을 초래합니다.

앤젤 그랜트 썸네일
엔젤 그랜트
2021년 10월 27일 게시

단 몇 년 만에 오픈 뱅킹(제3자가 은행, 보험 회사 및 기타 금융 기관의 서비스를 기반으로 제품과 서비스를 구축할 수 있도록 하는 개방형 API 사용)이 금융 서비스 환경을 변화시켰습니다.

기존 금융 서비스 상품을 활용해 대출, 지불, 보험 등의 분야에서 새로운 상품을 구축할 수 있게 되면서 소비자가 거래를 완료하고, 재정 생활을 관리하고, 개인 데이터를 제어하기가 훨씬 간편해졌습니다. 동시에, 오픈 API 프로토콜은 금융 서비스 전반에 걸쳐 혁신을 주도하고 금융 기관에 상당한 수익원을 창출하고 있습니다. API 보안, 상호 운용성, 성능에 대한 표준을 체계화한 FDX API 5.0이 새롭게 출시되고 유럽 연합에서 PSD2 강력한 고객 인증(SCA) 기한이 다가오면서 더 많은 혁신과 새로운 수익 기회가 반드시 생길 것입니다.

하지만 보상이 있는 곳에는 언제나 위험이 따릅니다. 본질적으로 개방형 API는 내부 데이터와 고객 데이터를 제3자에게 노출시키므로, 악의적인 행위자가 해당 데이터에 액세스할 가능성이 커집니다. 이는 Mint와 Plaid와 같이 소비자에게 현대적인 금융 서비스를 제공하는 계좌 대행사와 관련하여 특히 우려되는 사항입니다. 악의적인 행위자들이 어떻게 애그리게이터를 사용해 은행, 보험 회사 및 기타 금융 기관을 공격하고 사기를 저지르는지 알아보세요.

위험 가속화: 집계자와 제3자 결제 제공자가 자격 증명 채우기 및 계정 인수를 가능하게 하는 방법

금융 계좌 통합 웹사이트는 소비자에게 단일 화면에서 자신의 금융 생활을 확인할 수 있는 기능을 제공함으로써 소비자에게 실질적인 가치를 더할 수 있습니다. 또한, 이는 거래 마찰을 줄이고 새로운 수익원을 창출함으로써 금융 기관에도 이익을 줍니다. 그렇기 때문에 많은 금융 기관이 애그리게이터에 연결할 때 보안 절차를 완화합니다. 하지만 수억 개 계정의 데이터를 저장할 수 있기 때문에, 애그리게이터는 악의적인 행위자들에게 매력적인 표적이 됩니다. 특히, 기존 업체보다 자금과 보안 수준이 떨어질 수 있는 소규모 애그리게이터의 경우 더욱 그렇습니다.

한편, 악의적인 행위자들이 이용할 수 있는 도난된 계정 데이터가 증가함에 따라 자동화된 자격 증명 채우기 공격이 증가하고 있습니다. 이는 악의적인 행위자들이 봇넷과 도난된 자격 증명을 사용하여 계정에 액세스하려고 시도하는 공격입니다. 이러한 공격은 금융 기관에 큰 문제로 다가왔고, 상당한 데이터 침해와 상당한 재정적 손실을 초래했습니다. 최근 FBI가 신임장 정보 유출로 인한 위협에 관해 미국 금융 부문에 공식 경고를 내렸을 정도입니다.

자격 증명 채우기가 증가함에 따라 가장 우려되는 결과는 계정 인수(ATO)의 증가입니다. 이는 공격자가 접근한 계정을 장악한 뒤 해당 계정의 자금을 사기성으로 빼내는 공격입니다. Javelin Strategy and Research가 실시한 2021년 신원 사기 연구 에 따르면 ATO 사기로 인해 2020년 총 손실액이 60억 달러가 넘습니다.

이 조사에서는 신임장 정보 유출 공격의 평균 비용을 계산했는데, 놀랍게도 이 비용이 월간 활성 사용자로부터 발생하는 수익의 6배가 넘을 수 있다는 사실을 발견했습니다.

위험은 거기서 끝나지 않으며, 불행히도 일부 사람들이 생각하는 것보다 훨씬 심각합니다. 악의적인 행위자들은 집계자 트래픽이 차단될 가능성이 낮다는 것을 알고 있으므로 이를 금융 기관에 대한 백도어로 사용하려고 합니다. 예를 들어 2019년에 금융 서비스 거대 기업인 NCR Corp.는 일련의 자동 계좌 인수가 발생하자 일부 애그리게이터가 자사 디지털 뱅킹 플랫폼에 접근하는 것을 일시적으로 차단해야 했습니다 .

금융 기관이 API를 집계자에게 공개하면 트래픽 급증을 유발하거나 이에 기여하여 시스템 성능 위험이 증가합니다. 이는 부분적으로 애그리게이터가 오픈 뱅킹 API를 가장 많이 사용하는 사용자 중 하나이기 때문으로, 일반 은행 트래픽의 20%를 생성합니다. FBI에 따르면 또 다른 요인은 자격 증명 채우기 공격이 금융 기관의 인증 시스템에 큰 부담을 주어 해당 기관이 서비스 거부 공격을 받고 있다고 확신하게 될 수 있다는 것입니다.

결론은 오픈 뱅킹으로 인해 금융 기관이 심각하고 광범위한 위험에 노출된다는 것입니다. 이것이 바로 F5에서 금융 기관이 오픈 뱅킹 API를 관리하고 보호할 수 있도록 돕기 위해 전략적 접근 방식을 취하는 이유입니다.

금융 기관이 오픈 뱅킹을 안전하게 도입하도록 지원

F5는 이미 올인원 솔루션으로 API 관리, 고성능 API 게이트웨이, 고급 보안 제어 기능을 제공하는 분야에서 선두주자로, 도구의 확산을 줄이고 구조적 복잡성을 제한합니다.

F5는 금융 기관 계정에 대한 로그인 시도를 실시간으로 모니터링하여 금융 기관이 실제 사용자, 봇 및 자동화와 수동(인간이 주도하는) 사기 시도를 구별할 수 있도록 돕습니다. 우리는 그것이 상위 15개 미국 상업 은행이 모두 F5 솔루션을 사용하는 이유 중 하나라고 생각하고 싶습니다. 이제 저희는 솔루션 세트를 확장하고 오픈 뱅킹에 대한 보다 포괄적인 지원을 제공하기 위해 혁신을 거듭하고 있습니다.

앞으로 몇 달 동안 F5에서 오픈 뱅킹을 중심으로 더 많은 것을 볼 수 있을 것입니다. 여기에는 애그리게이터의 트래픽을 보다 효과적으로 관리하고 API 공격으로부터 보호하는 등의 주제에 초점을 맞춥니다.

한 가지 예가 Aggregator Management 제품입니다. 이 제품은 오픈 뱅킹 커뮤니티의 F5 고객에게 API 트래픽에 대한 더 큰 가시성, 자격 증명 채우기의 자동 감지, 비정상 트래픽 감지, 애그리게이터의 콘텐츠 액세스 권한을 제한하는 기능을 제공합니다. 금융 기관의 경우, 이는 집계자에 대한 보다 세부적인 제어, 소비자 계정을 사기로부터 보다 효과적으로 보호, 더 나은 앱 가용성 및 감소된 위험을 의미합니다.

기대해주세요! 그동안 오픈 뱅킹의 위험과 이를 방지하는 방법에 대해 자세히 알아보세요.