최근 열린 FDX 글로벌 서밋 2021 봄 에 저는 Cequence Security와 Mastercard-Nudata의 다른 패널리스트들과 함께 F5를 대표하는 패널리스트로 참여했습니다. 우리는 데이터 공유를 위한 안전하고 개방적인 뱅킹 표준을 정의하기 위해 금융 기관, 통합기관, 보안 공급업체가 함께 협력하는 FDX API 보안 워킹 그룹의 업무에 대해 논의했습니다.
금융 데이터 교환(FDX)은 공통적인 상호 운용 가능한 데이터 표준을 만들기 위해 FDX API(애플리케이션 프로그래밍 인터페이스) 표준을 개발하는 데 주력하는 비영리 조직입니다. 이를 통해 소비자와 기업은 안정적이고 안전하게 금융 데이터에 접근할 수 있으며, 미국과 캐나다의 오픈 뱅킹에 대한 벤치마크가 마련될 것입니다.
오픈 뱅킹은 금융 서비스 산업에서 더 큰 혁신과 협업을 위한 흥미로운 기회를 제공합니다. FinTech 기업과 기타 허가받은 제3자가 소비자 금융 정보를 사용하여 혁신하고 부가가치 서비스를 제공할 수 있도록 해줍니다. 오픈 뱅킹 표준은 소비자에게 특정 금융 소비자 데이터(예: 잔액, 거래) 및 기능(예: 지불)에 대한 제3자의 안전하고 세부적인 접근에 동의하고 이를 허용하는 기능을 제공합니다. 제3자와 FinTech 기업이 다음을 포함한 부가가치 서비스를 제공할 수 있는 흥미로운 가능성이 있습니다.
F5는 전 세계 금융 서비스 고객과 긴밀히 협력하여 오픈 뱅킹 API를 구현하고 보안을 강화해 왔습니다. F5와 Twimbit은 오픈 뱅킹의 전세계적 동향에 대한 연구 결과를 발표하기 위해 협력했습니다.
소비자 금융 정보는 다크넷 시장에서 35달러(잔액이 적어 다른 사기에 사용할 수 있는 계좌)에서 150달러(잔액이 더 많은 계좌) 이상에 거래되는 상품입니다. 소비자 금융 정보의 거래 가치가 상대적으로 낮은 것은 침해된 계좌와 자격 증명이 엄청나게 많기 때문입니다. 따라서 적대 세력은 자동화(API)를 활용해 운영을 확장했고, 이를 통해 수천 개의 도용된 계좌를 거래했습니다. 따라서 금융 API는 보호해야 할 주요 위협 요소가 되었습니다.
최근 들어 금융 서비스 분야를 노리는 사이버 범죄자들은 애플리케이션 프로그래밍 인터페이스(API)에 대한 공격을 더욱 집중적으로 실시하기 시작했습니다. 애플리케이션은 API를 연결 지점으로 사용하여 점점 더 분산되고 분산된 모델로 전환되었습니다. 최근 F5 연구에 따르면 API 보안 사고 건수는 매년 증가하고 있으며, 지난 2년 동안의 API 사고의 대부분은 도구의 확산으로 인해 발생하는 보안 성숙도 수준이 낮아서 발생했습니다. 다양한 애플리케이션을 개발하는 여러 개발팀은 종종 서로 다른 도구 세트를 사용합니다. 즉, 기존 보안팀은 보안을 시행할 중앙 제어 지점을 소유하지 못할 수도 있습니다. 이를 위해서는 API 개발 및 관리 프로세스에 올바른 제어 기능을 내장할 수 있는 표준 도구 세트가 필요합니다.
API는 주의가 필요한 유일한 위협 표면이 아닙니다. 전통적으로 소비자 데이터에 대한 액세스가 필요한 제3자 및 금융 집계자는 두 가지 메커니즘을 활용했습니다.
OFX는 적대자가 대규모 자격 증명 채우기/계정 검증 및 인수를 수행하는 채널로 활용될 수 있습니다. 직접 또는 금융 집계자를 통해:
OFX는 FDX에 가입하여 궁극적으로 통합 표준으로 통합될 예정이며, 이를 통해 보안 제어를 현대화하고 과거의 보안 과제를 해결할 수 있는 기회가 마련될 것입니다. 스크린 스크래핑 기반 접근 방식은 금융 기관에 계속해서 과제로 남아 있습니다.
FDX는 소비자 계좌 정보 및 서비스 무결성을 위협 및 위험으로부터 보호하기 위해 구현해야 할 통제에 대한 포괄적인 조언을 발표했습니다. 이러한 제어에는 다음이 포함됩니다.
마지막으로 F5 오픈 뱅킹 솔루션 가이드는 오픈 뱅킹을 위한 F5 솔루션에 대한 포괄적인 접근 방식을 제공합니다.
이 기사에 기여한 금융 서비스 팀 멤버들에게 특별히 감사드립니다. 벤 알프, 채드 데이비스, 앤디 프랭클린.