금융IT

어도비 플래시 지원 종료, 막내리는 금융권 '그래픽 인증'

이상일
[디지털데일리 이상일기자] 지난해 12월 31일부로 어도비 플래시의 기술지원이 종료되면서 플래시 플레이어를 활용한 금융권의 인증서비스도 중단되고 있다.

26일 관련업계에 따르면 금융권의 인증서비스 중 하나인 ‘그래픽 인증’ 서비스가 순차적으로 중단되고 있는 것으로 알려졌다.

지난 2011년 우리은행을 시작으로 도입이 시작된 그래픽 인증 방식은 숫자, 영문자를 이미지화한 아이콘을 인터넷뱅킹 로그인 시 비밀번호로 사용한다.

뱅킹 앱 로그인 시 이미지를 통한 비밀번호 설정을 하면, 인터넷뱅킹 서비스를 이용할 때 로그인 이후 그래픽인증을 하게 된다. 만약 가짜 사이트일 경우에는 로그인 이후 바로 개인정보를 요구하기 때문에 바로 가짜 사이트라는 것을 알 수 있게 하는 한편 OTP 및 2채널 인증을 통해 강력한 보안이 가능했다. 튿히 기본적으로 이미지를 통한 인증이 이뤄지기 때문에 간편성과 접근성이 높다는 평가를 받아 왔다.

다수의 이미지 중 본인이 등록한 4-6개의 암호 이미지를 입력하도록 해 비밀번호를 직접 입력하지 않고, 암호 이미지를 정해진 룰에 의해 이동시키는 방식으로 암호를 입력함으로써 키보드 해킹에 대응할 수 있도록 했다.

허지만 그래픽 인증 서비스를 가장 먼저 서비스를 도입한 우리은행은 지난해 8월 공식적으로 서비스를 중단하고 로그인 2채널 인증서비스로 대체했다. 시기적으로는 신한은행이 2017년 5월 개인인터넷뱅킹 개편을 통해 그래픽 인증서비스를 종료했다.

최근에는 부산은행이 지난 12일 그래픽 인증서비스 로그인 서비스를 중단했다. 어도비(Adobe)의 어도비 플래시 플레이어 서비스 공식 중단에 따라 불가피한 서비스중단이라는 설명이다.

어도비 플래시는 웹 브라우저에서 다양한 콘텐츠를 구현하기 위해 쓰는 플러그인이다. 하지만 플래시 자체의 취약점을 이용한 사이버공격이 반복되면서 보안허점을 노출해 왔다.

이에 어도비는 2020년 12월 31일 어도비 플래시의 지원 중단에 나섰다. 이에 따라 취약점을 보완하는 패치 업데이트 역시 중단되며, 이후 최신 웹 브라우저를 사용하지 않거나 직접 플래시를 설치해 작동할 경우 보안 취약점을 악용한 신규 악성코드 감염, 해킹 등의 위협에 노출될 수 있다.

대부분 금융사들은 웹접근성 확보와 엑티브 엑스 퇴출 움직임에 따라 웹 서비스 개편을 진행한 바 있다. 크롬 등 웹 브라우저에서 어도비 플래시가 사실상 퇴출되면서 자연스럽게 어도비 플래시 관련 콘텐츠 역시 자연스럽게 사라졌다.

다만 인증분야의 경우 보안을 이유로 유지되다 어도비 지원종료를 계기로 보안 효용성도 떨어진 상황이다. 최근 들어 공인인증서의 법적 지위가 사라지고 다양한 사설 인증서는 물론 생체인증 등 인증기술의 진화로 인해 그래픽 인증의 효용성이 크게 떨어진 상황이다.
실제 과학기술정보통신부와 한국인터넷진흥원은 어도비 플래시의 기술지원 종료에 따라 플래시 취약점을 악용한 보안위협 대응을 위해 비상 대응 체계를 운영하고 있기도 하다.

과기정통부는 보안위협에 신속 대응하기 위해 어도비 플래시 관련 취약점에 대한 모니터링을 강화하고, 악성코드 출현 시 전용백신을 제작 및 배포하고 있다. 또한, 침해사고가 발생할 경우, 백신 개발사, 통신사 등과 비상 대응체계를 가동하는 등 피해 확산 방지에 총력을 다하겠다는 방침을 지난해 밝힌 바 있다.

<이상일 기자>2401@ddaily.co.kr

이상일
2401@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널