피싱-파밍 걱정없는 스마트폰 인증기술 개발

일반입력 :2014/01/23 16:01

손경호 기자

스마트폰만으로 간단하게 인터넷 뱅킹에 필요한 본인인증을 할 수 있는 기술이 개발됐다. 최근 사회적 문제가 되고 있는 피싱, 파밍 등에 대비해 쉽게 활용하면서도 보안성을 높인 것이 특징이다.

한국전자통신연구원(ETRI)는 전자정부, 인터넷 뱅킹 등 금융서비스에 활용할 수 있는 '스마트채널3' 기술을 개발해 국내 보안업체 케이사인에 기술이전했다고 23일 밝혔다.

이 기술은 기본적으로 인터넷 뱅킹시 스마트폰을 활용해 추가적인 인증을 받는 '투채널 인증' 방식을 선택하고 있다.

사용자는 인터넷 뱅킹 사이트에 접속하면 팝업창에 뜨는 QR코드를 스마트폰으로 스캔해 본인여부를 확인한다.

기존에 문제가 돼 온 파밍 수법은 악성코드에 감염시킨 PC에서 인터넷 뱅킹을 위해 은행사이트에 접속하면 가짜 사이트로 접속하도록 유도해 결제정보를 빼가거나 자금을 훔쳐내는 방법을 썼다.

ETRI측은 QR코드를 스마트폰으로 스캔하면 해당 정보가 인터넷 뱅킹용 서버로 전송돼 실제 사용자인지 여부를 확인한다고 설명했다. 이를 통해 본인확인절차가 끝나면 스마트폰에는 사용자 PC의 IP주소, 접속횟수 등이 표시돼 해킹을 통한 이체가 이뤄졌는지 여부를 확인할 수 있다.

이와 함께 특화된 기술은 사용자 PC, 스마트폰, 인터넷 뱅킹용 서버가 한번 인증을 거치면 관련 내용이 보안쿠키 형태로 PC에 저장된다. 다음에 접속할 때는 QR코드 스캔을 별도로 거치지 않아도되는 것이다.

보안쿠키는 국내 포털사이트, 소셜네트워크서비스(SNS)에 사용되는 자동로그인을 구현하는 정보를 담고 있다. 해당 사이트에 접속했을 때 필요한 아이디, 비밀번호를 쿠키형태로 PC에 저장해 다음에 자동으로 로그인하게 하는 것이다. 그러나 기존 보안쿠키는 해커가 해당 정보만 빼내서 마음대로 악용할 수 있다는 점이 문제로 지적됐다.

반면 스마트채널3에 적용된 보안쿠키는 스마트폰 내에 암호화된 형태로 내용을 저장하기 때문에 위험성이 훨씬 낮다. 해커 입장에서는 스마트폰 내에 저장된 보안쿠키를 복호화하고, QR코드 스캔 정보를 중간에서 가로채야 하는 등 기술적 어려움이 따르는 셈이다.

진승헌 ETRI 사이버보안기반연구부장은 스마트채널3 기술은 단순히 QR코드를 인식해 서비스에 로그인한다는 개념만 인식하면 되기 때문에 현실적이면서도 효과적인 피싱, 파밍 방지 솔루션이라고 밝혔다.

관련기사

이밖에도 스마트채널3는 스마트폰 카메라로 인터넷 뱅킹 사이트 URL 주소를 찍으면 피싱 사이트인지 여부를 검증해 주는 기능도 제공한다. 예를들어 'wooribank.co.kr'이라는 주소 대신 'woor1bank.co.kr'과 같은 피싱 사이트 주소인지 여부를 확인시켜 주는 것이다.

조현숙 ETRI 사이버보안연구본부장은 지난해 이후 피싱, 파밍 공격 기술이 매우 고도화됐다며 스마트채널3는 현재 금융권이 추진 중인 지정PC, 투채널 인증, SSL(암호화 통신) 등과 병행해서 활용될 수 있을 것이라고 봤다.