침해사고/위협동향

고도화되는 파밍‧피싱 위협…금융권, 다양한 방법으로 대응에 나서

이민형 기자
[디지털데일리 이민형기자] 파밍, 피싱 등 지능화된 전자금융사기에 대응하기 위한 금융권의 움직임이 빨라지고 있다. 지난 7월 발표된 ‘금융전산 보안강화 종합대책’과 오는 23일부터 시행되는 전자금융거래법 개정안에 대한 대응책 마련이 시급하기 때문이다.

21일 보안업계에 따르면, 주요 은행들이 보안강화를 위해 2채널인증, 국제인증서 도입 등을 검토하고 있다.

일반적으로 2채널인증은 인터넷뱅킹 등 서비스를 사용할 때 PC 이외의 수단을 사용하는 것을 뜻한다. 보안카드, 일회용비밀번호생성기(OTP) 등 사용자들이 직접 소지하며 사용되는 방식이 널리 알려져 있다.

금융회사들은 여기에서 한발 더 나아가 2채널인증을 인터넷뱅킹 시스템과 통합해 구축한다는 계획이다. 구축 방법으로는 그래픽인증, 모바일 애플리케이션 인증, QR코드 인증, ARS 인증 등이 거론되고 있다.

우선 우리은행과 신한은행, 부산은행은 그래픽 인증 솔루션을 도입했다. 그래픽 인증 솔루션은 개인정보입력 이전 사용자가 설정한 이미지를 통해 정상 사이트 여부를 알 수 있도록 해 파밍, 피싱 공격에 의한 피해를 방지할 수 있다.

금융회사들은 모바일 앱을 통한 2차 인증 방식도 고민하고 있다. 인터넷뱅킹에서 1차로 인증을 하고, QR코드나 애플리케이션 등을 통해 2차로 인증을 하는 방식이다. 이같은 방식은 PC가 악성코드에 감염되더라도 인증 정보가 탈취되지 않는다는 강점이 있다.

해당 솔루션을 보유한 소프트포럼, 이지서티 등은 은행들을 대상으로 적극적인 영업에 나서고 있다. 소프트포럼 관계자는 “일부 은행들이 해당 솔루션을 도입해 서비스하고 있으나 유료라는 측면에서 아직 널리 활성화되진 않고 있다”며 “하지만 솔루션을 도입한 은행들의 예방 효과가 탁월해 앞으로 지속적인 주목을 받을 것으로 예상된다”고 전했다.

이어 “특히 최근 SMS를 탈취하는 악성 앱의 등장으로 SMS 인증 방식에도 빨간불이 들어왔다. 새로운 형태의 2채널인증이 필요한 시기”라고 덧붙였다. 현재 국민은행, 하나은행, 우리은행 등이 이 서비스를 유료로 제공하고 있다.

피싱 예방을 위해 국제서버인증서(EV SSL)를 도입하는 은행들도 늘고 있다. 이 인증서는 웹브라우저와 웹서버간의 암호화 통신 과정에서 정상적인 통신이라면 주소 창을 녹색으로 변화시킨다. 인터넷 주소창이 녹색으로 변했다면 정상 홈페이지로 볼 수 있다. 현재 KB국민은행과 KDB산업은행 등이 이를 도입했다.

이니텍, 안랩 등 보안업체들은 사용자 PC에 설치하는 형태의 솔루션을 제공하고 있다. 향후 인터넷뱅킹 통합 보안 솔루션으로 통합될 가능성도 예견된다.

우선 이니텍은 ‘이니서비스 팜프리(INIService PharmFree)’를 선보였다. PC에 설치되면 부팅과 함께 상시 구동되며, 정책 서버를 통해 보호 대상 도메인과 보호 범위를 수신 받아 불법적으로 위조된 사이트에 의한 파밍 공격을 탐지 및 방어하는 기능을 수행한다.

또한 설치한 프로그램에는 무력화 방지 기술이 적용되어 있어 외부 공격에도 파밍 보안 서비스의 연속성을 보장해 준다.

안랩은 실시간 웹보안 프로그램 ‘사이트가드’를 무료로 공개했다. 사이트가드는 악성코드 감염의 80% 이상이 웹사이트 접속을 통한 감염이라는 것을 인지하고, 웹페이지에 접속할 때마다 악성코드 삽입 여부를 검사해준다.

해킹을 원천적으로 차단할 수 있는 기술이 나오지 않는 한, 멀티팩터 인증 방식은 앞으로도  인기를 끌 것으로 기대된다.

<이민형 기자>kiku@ddaily.co.kr
이민형 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널