오픈 뱅킹에서 데이터를 보호하기 위한 FDX API 보안

최근 열린 FDX 글로벌 서밋 2021 봄 에 저는 Cequence Security와 Mastercard-Nudata의 다른 패널리스트들과 함께 F5를 대표하는 패널리스트로 참여했습니다. 우리는 데이터 공유를 위한 안전하고 개방적인 뱅킹 표준을 정의하기 위해 금융 기관, 통합기관, 보안 공급업체가 함께 협력하는 FDX API 보안 워킹 그룹의 업무에 대해 논의했습니다.

금융 데이터 교환(FDX)은 공통적인 상호 운용 가능한 데이터 표준을 만들기 위해 FDX API(애플리케이션 프로그래밍 인터페이스) 표준을 개발하는 데 주력하는 비영리 조직입니다. 이를 통해 소비자와 기업은 안정적이고 안전하게 금융 데이터에 접근할 수 있으며, 미국과 캐나다의 오픈 뱅킹에 대한 벤치마크가 마련될 것입니다.

오픈 뱅킹은 금융 서비스 산업에서 더 큰 혁신과 협업을 위한 흥미로운 기회를 제공합니다. FinTech 기업과 기타 허가받은 제3자가 소비자 금융 정보를 사용하여 혁신하고 부가가치 서비스를 제공할 수 있도록 해줍니다. 오픈 뱅킹 표준은 소비자에게 특정 금융 소비자 데이터(예: 잔액, 거래) 및 기능(예: 지불)에 대한 제3자의 안전하고 세부적인 접근에 동의하고 이를 허용하는 기능을 제공합니다. 제3자와 FinTech 기업이 다음을 포함한 부가가치 서비스를 제공할 수 있는 흥미로운 가능성이 있습니다.

• 여러 기관의 계정/서비스를 한곳에 모아서 제공
• 결제 개시
• 금융상품 비교
• 기관에서 아직 제공하지 않는 은행 서비스 제공
• 신원 확인, 신용 평가 등 재무 데이터를 기반으로 한 의사결정/통찰력을 제공합니다.

F5는 전 세계 금융 서비스 고객과 긴밀히 협력하여 오픈 뱅킹 API를 구현하고 보안을 강화해 왔습니다. F5와 Twimbit은 오픈 뱅킹의 전세계적 동향에 대한 연구 결과를 발표하기 위해 협력했습니다.

소비자 금융 정보의 내재적 가치

소비자 금융 정보는 다크넷 시장에서 35달러(잔액이 적어 다른 사기에 사용할 수 있는 계좌)에서 150달러(잔액이 더 많은 계좌) 이상에 거래되는 상품입니다. 소비자 금융 정보의 거래 가치가 상대적으로 낮은 것은 침해된 계좌와 자격 증명이 엄청나게 많기 때문입니다. 따라서 적대 세력은 자동화(API)를 활용해 운영을 확장했고, 이를 통해 수천 개의 도용된 계좌를 거래했습니다. 따라서 금융 API는 보호해야 할 주요 위협 요소가 되었습니다.

공격자는 오픈 뱅킹의 API에 집중

최근 들어 금융 서비스 분야를 노리는 사이버 범죄자들은 애플리케이션 프로그래밍 인터페이스(API)에 대한 공격을 더욱 집중적으로 실시하기 시작했습니다. 애플리케이션은 API를 연결 지점으로 사용하여 점점 더 분산되고 분산된 모델로 전환되었습니다. 최근 F5 연구에 따르면 API 보안 사고 건수는 매년 증가하고 있으며, 지난 2년 동안의 API 사고의 대부분은 도구의 확산으로 인해 발생하는 보안 성숙도 수준이 낮아서 발생했습니다. 다양한 애플리케이션을 개발하는 여러 개발팀은 종종 서로 다른 도구 세트를 사용합니다. 즉, 기존 보안팀은 보안을 시행할 중앙 제어 지점을 소유하지 못할 수도 있습니다. 이를 위해서는 API 개발 및 관리 프로세스에 올바른 제어 기능을 내장할 수 있는 표준 도구 세트가 필요합니다.

진화 - OFX 및 스크린 스크래핑

API는 주의가 필요한 유일한 위협 표면이 아닙니다. 전통적으로 소비자 데이터에 대한 액세스가 필요한 제3자 및 금융 집계자는 두 가지 메커니즘을 활용했습니다.

• OFX(Open Financial eXchange)는 원래 소비자 금융 애플리케이션(예: MS Money, Intuit QuickBooks)을 사용자의 금융 기관에 연결하기 위해 구축되었습니다.
• 스크린 스크래핑은 소비자가 제3자에게 은행 자격 증명을 제공하고, 제3자가 금융 서비스 웹 채널에 로그인하여 해당 정보를 스크래핑하는 방식입니다.

OFX는 적대자가 대규모 자격 증명 채우기/계정 검증 및 인수를 수행하는 채널로 활용될 수 있습니다. 직접 또는 금융 집계자를 통해:

• F5는 OFX가 적대 세력이 대규모 신임장 정보 입력/계정 검증 및 인수를 위한 채널로 활용되는 것을 정기적으로 관찰합니다. 이는 직접적으로나 금융 집계자를 통해 모두 이루어집니다.
• 스크린 스크래핑을 위해 제3자에게 자격 증명을 제공하면 해당 자격 증명이 제3자의 보안 태세에 노출됩니다.
• 이러한 메커니즘은 소비자에게 세부적인 동의와 제3자가 접근할 수 있는 정보에 대한 통제권을 제공하지 않아 개인정보 침해가 발생합니다.

OFX는 FDX에 가입하여 궁극적으로 통합 표준으로 통합될 예정이며, 이를 통해 보안 제어를 현대화하고 과거의 보안 과제를 해결할 수 있는 기회가 마련될 것입니다. 스크린 스크래핑 기반 접근 방식은 금융 기관에 계속해서 과제로 남아 있습니다.

보안 개선을 위한 권장 사항

FDX는 소비자 계좌 정보 및 서비스 무결성을 위협 및 위험으로부터 보호하기 위해 구현해야 할 통제에 대한 포괄적인 조언을 발표했습니다. 이러한 제어에는 다음이 포함됩니다.

• 소프트웨어 보안 - OWASP 상위 10개 및 기타 소프트웨어 취약점에 대한 제어 - 웹 애플리케이션 방화벽(WAF) 배포 포함
• 네트워크 및 시스템 보안
• 운영 보안
• 물리적 보안
• 비즈니스 연속성 및 재해 복구
• 공급업체 보안
• 자격 증명 채우기 에 대한 컨트롤을 포함한 authN/authZ에 대한 디자인 패턴
• API 게이트웨이에 내장된 API 보안 제어를 포함한 보안 게이트웨이 아키텍처(SGA) 패턴

마지막으로 F5 오픈 뱅킹 솔루션 가이드는 오픈 뱅킹을 위한 F5 솔루션에 대한 포괄적인 접근 방식을 제공합니다.