한국전자통신연구원(ETRI)과 케이사인(대표 최승락)이 공동연구를 통해 스마트폰으로 안전하게 전자정부나 인터넷 뱅킹을 이용할 수 있도록 하는 보안기술을 개발했다고 23일 밝혔다.
두 기관이 공동개발한 '스마트채널2' 기술은 올해 초에 개발한 '스마트채널'을 고도화한 것으로 스마트폰을 통한 사용자 인증, 피싱방지 기능에 초점을 맞췄다.
서비스 사용자가 자신의 스마트폰을 이용해 웹브라우저 상의 로그인 QR코드를 인식하면, 스마트폰 내 미리 설정된 보안정보를 이용해 서버와 스마트폰 간의 상호인증을 수행하는 방식을 적용했다.
ETRI는 이 기술이 패스워드를 직접 전송하지 않고 상호인증을 수행하기 때문에 피싱이나 파밍 공격을 차단할 수 있다고 설명했다. 또한 지능화된 액티브 피싱 공격을 대비해 스마트폰의 GPS 위치 및 로그인 이력과 웹브라우저의 IP 주소를 비교한 뒤 피싱 여부를 탐지할 수 있게 했다.
현재의 대부분 피싱 및 파밍 사이트의 경우 과도한 개인정보를 요구하며 기존과 다른 화면이 보이도록 유도한다. 최근에 등장하고 있는 액티브 피싱은 피싱사이트가 서버와 사용자 사이에 위치해 이용자가 입력한 정보를 서버에 대신 전달하도록 한다. 때문에 원본 사이트와 구분이 어렵다는 문제가 생긴다.
이를 방지하기 위해 일회용 비밀번호(OTP), 공인인증서, 암호화 인증(SSL), 피싱방지 솔루션 등이 도입되고 있지만 피싱사이트는 해커가 임의로 변조해 이러한 보안솔루션을 쉽게 무력화시킬 수 있다고 ETRI는 지적했다.
미국 보안 솔루션업체인 RSA시큐리티에 따르면 OTP만으로는 액티브피싱과 같은 고도화된 공격에 취약하다고 발표한 바 있다. 또 ETRI연구팀에서도 현재 서비스 중인 한 대형은행의 인터넷뱅킹의 경우 OTP, SSL, 가상키보드, 백신, 피싱방지 솔루션 등을 모두 적용했지만 액티브피싱을 통해 쉽게 우회할 수 있다는 사실을 확인했다고 설명했다.
메사츄세츠 공대(MIT)와 하버드대는 사용자가 피싱방지 이미지의 위•변조의 경우 4%, SSL의 존재 여부는 아무도 인식못한다는 연구결과를 발표했었다.
이를 두고 진승헌 ETRI 인증기술연구팀장은 피싱 사이트를 막기 위해 사용자에게 확인을 요구하는 것은 현실적으로 불가능하며, 액티브피싱과 같은 고도화된 피싱 기술에 매번 대응하기도 어렵다면서 새로 개발한 기술은 QR코드를 인식해 서비스에 로그인한다는 개념만 인식하면 되기 때문에 매우 현실적이고 효과적인 피싱 방지 솔루션이라고 밝혔다.
관련기사
- 피싱 방법, 나라마다 각양각색2012.10.23
- 가짜 은행사이트 피싱 대응법은?2012.10.23
- “피싱 꼼짝마”…정부, 내년 ‘피싱대응센터’ 설치2012.10.23
- 문자메시지도 조심...신종피싱 ‘스미싱’ 경보2012.10.23
조현숙 ETRI 사이버융합보안연구단장도 해외에서 이슈가 된 고도화 피싱 공격이 국내에도 조만간 등장할 전망이라며 현재 금융권에서 인증 방식의 고도화와 피싱방지 솔루션에 비용을 투자하고 있지만, 이 역시 액티브피싱 공격에는 취약점을 보여 선제적인 대응기술로 스마트채널 기술이 금융서비스 분야에서 특히 고려돼야 된다고 말했다.
이 기술은 지식경제부 산업융합원천기술개발사업의 연구결과물로, 현재 이지서티, SGA 등 관련 정보보안회사로 기술 이전이 추진되고 있다. 또한 금융기관과 공공기관의 웹사이트 피싱 방지 및 사용자 인증 강화를 위한 시험서비스 도입을 관련기관과 협의 중이다.