챗봇(Chatbot)을 이용한 금융서비스가 피싱과 정보 유출 등 위협을 안고 있어 검증이 요구된다. 금융보안원(원장 허창언)은 국내외 금융권에서 챗봇 서비스 도입 논의가 시작됐는데 피싱과 개인정보 유출 등 보안 위협을 사전에 고려해 서비스해야 한다고 5일 밝혔다.
최근 금융권은 고객이 챗봇과 대화하며 금융업무를 처리하는 서비스 개발에 한창이다. 신한은행이 챗봇 서비스를 준비하며 인공지능 기술 보유 업체를 모집했다. 우리은행도 챗봇 서비스 논의에 들어갔다. 인터넷전문은행 카카오뱅크도 자동이체 내역이나 공과금 납부 일정 조회 등을 비롯해 상품을 추천하는 서비스를 준비 중이다. 핀테크기업 8퍼센트는 챗봇을 P2P 대출 이용안내에 활용한다.
금융보안원은 금융 챗봇으로 위장한 악성 챗봇이 나타나 고객 계좌정보, 카드번호, 비밀번호 등을 탈취하는 피싱 공격이 가능하다고 분석했다. 중간자 공격으로 금융거래정보가 유출이나 변조되는 것을 방지하기 위한 보호대책도 필요하다.
챗봇 서비스는 국내보다 해외에서 활발하다. 미국 핀테크 기업 빌고(BillGo), 디지트(Digit), 아베(Abe) 등이 페이스북 메신저나 협업에 특화한 슬랙(Slack) 등을 이용해 챗봇 금융 서비스를 한다. 뱅크오브아메리카와 아메리칸 익스프레스도 페이스북 메신저 기반 서비스가 있다. 영국 AJ 벨(Bell)은 챗봇 주식거래를 한다.
챗봇 서비스는 이용 시 금융거래정보 유출과 부정거래 등을 방지하기 위해 서비스 단계별 보안 기능을 제공한다. 고객은 챗봇 서비스와 인증을 수행한다. 외부메신저를 이용하는 경우는 고객 계정정보와 페이스북 메신저 등 계정정보를 비교해 인증을 수행한다. 서비스에 따라 일회용 인증코드를 사용해 추가 인증한다. 자체 앱에 포함된 메신저는 앱 로그인으로 대체한다.
이후 고객은 금융서비스를 요청하고 처리 결과를 확인한다. 챗봇 서비스는 계좌번호, 카드번호 등 중요 정보는 요구하지 않는다. 챗봇 서비스 제공자는 금융회사가 제공한 오픈 API를 이용해 고객 금융정보를 요청한다.
인가된 서비스 제공자인지를 `OAuth` 방식으로 확인한다. OAuth는 제3의 서비스 제공자가 이용자를 대신해 기업에서 제공한 서비스를 요청할 수 있도록 자원에 대한 접근 권한을 위임하는 방법이다. 예를 들어 핀테크 기업이 고객을 대신해 금융회사에 계좌조회, 이체 등을 요청하게 권한을 위임하는 것이다.
금융보안원은 “금융회사 등은 핀테크 기업에 거래정보 제공 시 보안성을 점검해 서비스에 필요한 보안수준과 관련 규제 충족 여부를 사전에 확인해 사고를 예방해야 한다”면서 “챗봇은 새로운 서비스 형태로 세부적인 보안 위협과 대응방안이 제시되지 않아 지속 점검해야 한다”고 강조했다.
김인순 보안 전문기자 insoon@etnews.com
