우즈베키스탄을 포함한 전 세계 금융 서비스는 디지털 기술의 급속한 확산으로 인해 제공 방식이 근본적으로 변화하고 있다. 우즈베키스탄의 국가 전략인 “디지털 우즈베키스탄 2030(Digital Uzbekistan 2030)”은 디지털화를 경제 현대화와 금융 포용의 핵심 동력으로 규정하며, 그 과정에서 모바일 뱅킹은 지점 방문 없이도 송금, 공과금 납부, 계좌 조회 및 금융상품 이용을 가능하게 하는 일상적 금융 접점으로 빠르게 자리 잡았다. 그러나 모바일 채널에 대한 의존도가 높아질수록 피싱(phishing), 스푸핑 전화(spoofed calls), 위·변조 모바일 애플리케이션(fake mobile applications), SIM 스와핑(SIM swapping), 계정 탈취(account takeover) 등 진화하는 사이버 위협에 노출될 가능성도 함께 증가한다. 이러한 위험은 개인의 자산을 직접적으로 위협할 뿐만 아니라 디지털 금융에 대한 신뢰를 약화시키고, 국가 차원의 디지털 경제 목표 달성 속도에도 부정적 영향을 미칠 수 있다.
본 논문은 우즈베키스탄의 제도적·기술적 환경을 고려한 다층 보안 프레임워크인 Secure Mobile Banking Framework(SMBF)를 제안한다. 제안 프레임워크는 상호 연계된 세 개의 계층으로 구성된다. 첫째, 사용자 계층(User Layer)은 안전한 온보딩, 다중요소 인증(MFA) 및 위험 기반 인증(risk based authentication), 그리고 지속적 보안 인식 제고를 중심으로 사용자 측 공격면을 축소하는 것을 목표로 한다. 둘째, 애플리케이션 계층(Application Layer)은 안전한 아키텍처 설계, 강력한 암호기술 적용, 보안 중심 소프트웨어 개발(SSDLC) 실천, 그리고 이상 징후 기반(anomaly based) 사기 탐지를 통해 모바일 뱅킹 시스템의 기술적·운영적 안전성을 강화한다. 셋째, 규제 계층(Regulatory Layer)은 최소 보안 요구사항의 정립, 위험 기반 감독(risk based supervision), 체계적 사고 보고(incident reporting) 및 감독기관·금융기관의 역량 강화(capacity building)를 통해 제도적 거버넌스를 보완한다. 본 연구는 먼저 우즈베키스탄의 디지털 금융 생태계, 관련 법·제도, 현행 보안 관행을 검토한 뒤, 주요 위협·취약점·기관적 공백을 식별하고 이를 제안 프레임워크의 세 계층에 체계적으로 매핑하였다.
프레임워크의 잠재적 효과를 검토하기 위해, 본 논문은 시나리오 기반 평가를 적용하여 세 가지 경우를 비교하였다. 즉, (1) 현행 관행을 반영한 기준(baseline) 시나리오, (2) 핵심 통제 수단을 우선 적용하는 부분 도입(partial adoption) 시나리오, (3) 사용자·기술·규제 요소를 포괄적으로 정렬하는 전면 도입(full adoption) 시나리오를 설정하였다. 각 시나리오에 대해 보안 위험 수준, 사용자 신뢰, 운영 성숙도(operational maturity), 규제 정합성(regulatory alignment)의 변화를 정성적 및 준정량적 지표를 이용해 평가하였다. 또한, 우즈베키스탄의 중견 규모 은행을 가정한 파일럿 사례 연구(illustrative pilot case study)를 구성하여 프레임워크의 일부 요소가 실제 조직 환경에서 어떻게 단계적으로 구현될 수 있는지를 제시하였다.
분석 결과, 프레임워크의 부분 도입만으로도 모바일 채널에서 빈번히 발생하는 사이버 위험을 감소시키고, 이상 징후 탐지 및 사고 대응 역량을 향상시키며, 사용자 신뢰를 강화할 수 있음을 확인하였다. 전면 도입과 지속적 개선(continuous improvement)이 병행될 경우, 국가 차원의 사이버 회복탄력성(cyber resilience)을 실질적으로 제고하고, 금융 포용 확대를 지원하며, 우즈베키스탄 금융 부문의 보안 수준을 국제적 보안 기준 및 국가 디지털 전략과 보다 긴밀하게 정렬할 수 있다. 제안된 SMBF는 고정된 설계도가 아니라, 기술·위협·규제가 변화하는 환경에서 상황에 맞게 조정 가능한 맥락 민감형(context sensitive) 가이드로서 활용될 수 있다.
주요어: 모바일 뱅킹, 금융 사이버보안, 우즈베키스탄 디지털 경제, 다중요소 인증, 이상 징후 및 사기 탐지, 디지털 금융 규제

The rapid expansion of digital technologies has fundamentally changed the delivery of financial services worldwide. In Uzbekistan, the national strategy “Digital Uzbekistan 2030” positions digitalization as a key driver of economic modernization and financial inclusion. Within this agenda, mobile banking has become one of the most important channels for everyday financial interaction, enabling users to transfer funds, pay bills, and access banking products without visiting a branch. At the same time, the growing dependence on mobile channels exposes users and institutions to evolving cyber threats, including phishing, spoofed calls, fake mobile applications, SIM-swapping and account takeovers. These risks not only endanger individual assets, but also undermine confidence in digital finance and may slow progress toward national digital economy goals.
This thesis proposes a multi-layered Secure Mobile Banking Framework (SMBF) tailored to the specific conditions of Uzbekistan. The framework is organized into three interlinked layers: a User Layer, focusing on secure onboarding, multi-factor and risk-based authentication, and sustained user awareness; an Application Layer, emphasizing secure architecture, strong cryptography, secure software development practices and anomaly-based fraud detection; and a Regulatory Layer, dealing with minimum security requirements, risk-based supervision, structured incident reporting and capacity building for regulators and institutions. The study first reviews the current digital finance ecosystem, relevant legislation and existing security practices. It then identifies major threats, vulnerabilities and institutional gaps and maps them onto the three layers of the proposed framework.
To explore the potential impact of the framework, the thesis employs a scenario-based evaluation with three cases: a baseline scenario reflecting current practices, a partial adoption scenario and a full adoption scenario. For each scenario, expected changes in security risk, user trust, operational maturity and regulatory alignment are assessed using qualitative and semi-quantitative indicators. In addition, an illustrative pilot case study of a medium-sized Uzbek bank is constructed to show how selected elements of the framework could be implemented in practice.
The analysis indicates that even partial adoption of the framework can reduce common cyber risks, improve detection and response capabilities and strengthen user confidence in mobile channels. Full adoption, combined with continuous improvement, can substantially enhance national cyber resilience, support broader financial inclusion and align Uzbekistan’s financial sector more closely with international security standards and its own digital economy strategy. The proposed framework is not a fixed blueprint but a context-sensitive guide that can be adapted as technologies, threats and regulations evolve.
Keywords: mobile banking; cyber security in finance; Uzbekistan’s digital economy; multi-factor authentication; anomaly and fraud detection; digital financial regulation.

• LIST OF TABLES VII
• LIST OF FIGURES VIII
• LIST OF ABBREVIATIONS IX
• ACKNOWLEDGEMENTS X
• 1. Introduction and Literature Review 1
• 1.1 Background 1
• 1.2 Problem Statement 1
• 1.3.1 General Objective 1
• 1.3.2 Specific Objectives 1
• 1.4 Research Questions 1
• 1.5 Scope and Limitations 2
• 2. Analysis of Uzbekistan's Digital Finance and Mobile Banking Ecosystem 3
• 2.1 Overview of Uzbekistan’s Digital Economy 3
• 2.2 Development of Mobile Banking in Uzbekistan 4
• 2.2.1 Rise of Mobile Banking Applications and Super-Apps 4
• 2.2.2 Key statistics on digital payments in Uzbekistan 4
• 2.2.3 Current Landscape of Mobile Banking Services 5
• 2.2.5 Remote banking users by bank (Central Bank open data) 5
• 2.2.6 Reported cyber fraud and cybercrime incidents in Uzbekistan 6
• 2.3 Key Actors in the Mobile Banking Ecosystem 7
• 2.4 Regulatory and Institutional Framework 7
• 2.5 Security Challenges in Uzbekistan’s Mobile Banking Environment 8
• 2.5.1 Vulnerabilities in Application Design and Integration 8
• 2.5.2 Organizational and Process-Related Gaps 8
• 2.5.3 User Awareness and Behavioral Risks 8
• 2.6 Opportunities for Strengthening Secure Mobile Banking 9
• 2.6.1 Alignment with National Digital Strategies 9
• 2.6.2 Adoption of Advanced Security Technologies 9
• 2.7 Summary 10
• 3. Secure Mobile Banking Framework for Uzbekistan's Digital Economy 10
• 3.1 Introduction 10
• 3.2 Design Principles of the Framework 11
• 3.2.1 Risk-Based and Context-Aware 11
• 3.2.2 Defence-in-Depth 11
• 3.2.3 User-Centric and Usability-Conscious 12
• 3.2.4 Compliance-Aligned and Future-Oriented 12
• 3.3 Multi-Layer Architecture of the Framework 13
• 3.3.1 Conceptual Overview 13
• 3.4 User Layer: Strengthening User Security and Digital Trust 14
• 3.4.1 Secure Digital Onboarding and Identity Proofing 14
• 3.4.2 Multi-Factor and Risk-Based Authentication 15
• 3.4.3 User Education and Awareness 15
• 3.4.4 Customer Support and Incident Handling 15
• 3.5 Application Layer: Technical and Operational Security 16
• 3.5.1 Encryption and Key Management 16
• 3.5.2 Authentication Mechanisms and Risk-Based Access 17
• 3.5.3 Secure Development Lifecycle (SSDLC) 17
• 3.5.4 Fraud Detection and Anomaly Monitoring 18
• 3.5.5 Secure Integration with External Systems 18
• 3.6 Regulatory Layer: Governance, Supervision, and Coordination 18
• 3.6.1 Minimum Security Requirements for Mobile Banking 18
• 3.6.2 Supervisory Processes and Risk-Based Oversight 19
• 3.6.3 Incident Reporting and Sector-Wide Response 19
• 3.6.4 Capacity Building and Guidance 20
• 3.7 Implementation Scenario for a Typical Commercial Bank in Uzbekistan 20
• 3.8 Roadmap for Implementing the Framework 20
• 3.8.1 Phase 1 – Rapid Baseline Improvements 20
• 3.8.2 Structural Reform and Continuous Improvement (SSDLC → Advanced Coordination) 21
• 3.9 Main Evaluation Indicators 21
• 3.9.1 Institutional KPIs (User + Application Layers) 21
• 3.9.2 Application Layer KPIs 21
• 4. Evaluation Results and Discussion 22
• 4.1 Introduction 22
• 4.2 Evaluation Approach 22
• 4.2.1 Scenario-Based Evaluation 22
• 4.2.2 Indicators and Dimensions 23
• 4.2.3 Quantitative Indicator: Fraud Cases per 10 000 Remote Banking Users 23
• 4.2.4 Confusion Matrix Analysis 24
• 4.3 Scenario A – Baseline 26
• 4.3.1 Security and Risk Profile 26
• 4.3.2 User Trust and Adoption Patterns 27
• 4.3.3 Operational and Regulatory Challenges 28
• 4.4 Scenario B – Partial Adoption of the Framework 29
• 4.4.1 Security and Risk Profile 29
• 4.4.2 User Trust and Adoption 30
• 4.4.3 Operational and Institutional Changes 30
• 4.5 Scenario C – Full Adoption of the Framework 31
• 4.5.1 Security and Resilience 32
• 4.5.2 User Trust and Financial Inclusion 33
• 4.5.3 Regulatory and Ecosystem-Level Outcomes 33
• 4.6 Attack Scenario: SIM-Swap Fraud 34
• 4.6.1 Baseline situation without the framework 34
• 4.6.2 Situation with the proposed framework 34
• 4.7 Comparative Discussion of Scenario Outcomes 35
• 4.8 Limitations of the Evaluation 37
• 4.9 Summary 37
• 5.Conclusion and Future Work 38
• REFERENCES 40
• ABSTRACT 43
• 국문 요약 45