안전한 본인확인 수단으로는 인증서를 들 수 있다. 하지만 단말에 저장되는 인증서는 유출되기 쉽다. 스마트폰 USIM에 인증서를 보관하는 방법이 안전성이 높은 것으로 주목되고 있지만, 지난해 드러난 앱카드 해킹처럼, 인증서를 새로 발급받는 과정에서 해커가 해당 정보를 훔친다면 보호받지 못한다.
SMS를 이용한 인증은 사용자가 소지하고 있는 휴대전화로 인증번호를 보내기 때문에 투채널 인증이 가능하다. 그러나 스마트폰에 악성코드를 설치해 SMS 문자를 공격자가 중간에 가로챌 수 있다. ARS를 통한 인증 역시 공격자가 착신전화번호를 바꿔 공격자에게 인증전화가 오도록 만든다는 문제가 있다.
공인인증서가 채택하고 있는 PKI 기반 인증서와 지문인식을 결합하면 보다 확실한 본인확인이 될 수 있다. 지문을 PKI 인증서 암호화 키로 사용해 실제 사용자의 지문이 있어야만 본인확인과 전자서명이 가능하도록 하는 방식이다.
완벽한 인증기술 없다 … 멀티팩터·멀티채널 인증 필요
ID/PW, 인증서 외에 가장 많이 사용하는 인증 기술이 OTP이다. 사용자가 소지하고 있는 매체를 이용해 일회용 비밀번호를 생성시키는 방식은 투팩터·투채널 인증 요건을 갖추고 있으며 사용이 편리해 범용적으로 사용된다.
국내 OTP 시장에서는 미래테크놀로지가 70% 이상을 차지하고 있으며, EMC RSA, CA, 세이프넷 등이 OTP를 공급하고 있다. 미래테크놀로지는 일반 OTP 뿐 아니라 신용카드에 장착하는 OTP, NFC 기능을 가진 스마트폰이나 OTP 단말과 신용카드를 접촉시켰을 때 일회용 비밀번호가 생성되도록 하는 기능, 거래연동 OTP, 신용카드 OTP 등 다양한 형태의 OTP 제품을 생산하고 있다.
EMC RSA는 세계 시장 점유율 1위를 기록하고 있는 대표적인 OTP 제품으로, 뛰어난 안정성과 내구성을 갖췄다. 또한 EMC는 다양한 인증 팩터를 이용해 인증할 수 있는 ‘VIA’ 제품을 새롭게 출시한다. 스마트폰의 NFC 기능과 OTP 혹은 신용카드 등 다른 매체를 결합시켜 인증을 수행할 대, 스마트폰을 흔들거나 일정한 방향으로 틀어줘야 인증이 되는 등의 방법을 이용해 사용자가 실제로 인증을 수행하고자 하는 의도가 있을 때에만 정확하게 인증을 받을 수 있도록 하는 기능이 포함된다.
한편 EMC RSA 보안사업부는 온라인 사기방지를 위해 ‘프러드액션’, ‘어댑티브 어센티케이션(AA)’ ‘웹 위협 탐지(WTD)’의 세단계로 사기에 대응한다. OTP가 포함된 EMC RSA AA는 위험정도에 따라 추가인증을 요청하는 위험기반 인증 정책을 적용해 사용자 편의성을 개선하는 인증 솔루션이다. 전 세계에서 수집한 사기정보를 분석하는 ‘RSA 이프러드네트워크’를 통해 대응하며, PC·모바일 등 모든 시스템에서 로그인한 후 행위를 분석한다.
이준희 한국EMC 부장은 “인증 절차가 강화될수록 사용자의 불편함은 높아진다. EMC의 위험기반 인증 정책은 정상거래는 ID/PW만으로 간편하게 거래가 이뤄지도록 하지만, 이상거래는 정상거래와 어느정도 다른지 수준을 파악해 그에 맞는 인증절차를 다시 거치도록 한다. 이를 통해 정상거래의 편의성을 보장하면서 비정상거래의 승인을 차단한다”고 설명했다.
EMC RSA WTD는 웹사이트에 접근하는 사용자의 행위를 분석해 정상 사용자인지, 공격자 혹은 공격을 위한 봇의 활동인지 탐지하고 차단한다. 프러드액션은 사이버 범죄 집단의 행위를 모니터링하며, 피싱·트로이잔 공격을 탐지하고 악성 모바일 앱을 차단한다.
전 세계 사기 정보를 수집·분석하는 ‘이프러드네트워크’를 통해 사기 행위와 사기범에 대응하며, 온라인 침해에 대한 사전 모니터링 체계(AFCC)를 통해 악성코드·피싱 사이트 등에 대응한다.
네트워크 단에서는 포렌식·SIEM 기능을 탑재한 ‘시큐리티 어낼리틱스(SA)’를 통해 이상행위를 탐지한다. SA는 모든 패킷을 수집·분석해 비정상 트래픽을 찾아내며, 전체 IT 시스템에서 생성되는 정보와 상관분석을 통해 은밀하게 진행되는 공격을 탐지할 수 있다.
이준희 부장은 “현재 국내 금융권의 FDS는 로그분석 수준으로, 이상행위를 정확하게 분석하는데 한계가 있다. 또한 모든 이용자를 편하게 만들거나 불편하게 만드는 방식의 FDS가 구축된다는 점도 문제”라며 “EMC 사기방지 제품군은 정상적인 이용자는 편하게 하되, 일부의 경우 추가인증을 요구하고, 사기범은 차단할 수 있도록 단계별 시스템을 제안한다. 이러한 장점은 시간이 지나면 국내 금융기관들도 받아들이게 될 것”이라고 설명했다.
위험기반 인증 솔루션으로 안전성·정확성 제고
CA도 위험기반 사기방지 제품군 ‘리스크 어센티피케이션’을 통해 FDS 시장을 적극 드라이브한다. 이 제품은 계정도용을 막아주며, 의심스러운 활동을 발견해 사기를 차단할 수 있도록 한다. 합법적인 사용자는 간편하게 로그인하고, 의심스러운 접속에 대해서는 추가인증을 요구해 사기번죄를 차단한다. 웹 포털, 애플리케이션을 통한 온라인 쇼핑시 계정과 정보를 보호한다.
인증 솔루션 ‘어드밴스드 어센티케이션’은 모든 엔드포인트에서 사용자 접근을 보호한다. 암호가 저장되지 않아 파일 도난 위험이 없으며, 애플리케이션에 액세스하는 디바이스를 확인해 지문확인하는 기능을 제공한다.
하봉문 한국CA 상무는 “CA 위험기반 인증 제품군을 빅데이터 솔루션 기업과 함께 FDS를 구성해 고객에게 제안한다. 위험기반 인증 시스템은 높은 안전성과 정확성을 갖고 있어 FDS 요건에 정확하게 맞출 수 있다. 특히 비액티브X 기술을 검토하는 곳에 적합하다”며 “상반기 중 의미있는 레퍼런스를 확보하면서 시장 확장에 더욱 박차를 가하겠다”고 말했다.
간편하고 안전한 인증기술 주목
간편결제가 활기를 띄면서 사기거래 방지와 편의성을 강화할 수 있는 다양한 인증방식이 속속 모습을 드러내고 있다. 사용자단에서 편의성과 보안성을 동시에 만족시킬 수 있는 방법으로, 사용자가 항상 소지하고 있는 매체를 이용한 방식이 제안된다.
예를 들면 스마트폰과 신용카드를 가까이 대면 일회용 비밀번호가 생성되는 기능으로, 비밀번호를 자동으로 입력할 수 있도록 하는 기능도 제공해 사용자 편의성을 높인다. 신용카드에 OTP 기능을 탑재한 방법도 주목된다. 씽크풀, 스마트이노베이션 등이 이와 관련된 솔루션을 제공한다.
사용자 비밀번호를 간편한 방식으로 안전하게 처리하는 기술도 눈에 띈다. 오렌지테크 계열사인 오렌지SNC가 유통하는 ‘에스핀패드(S-PINPAD)’는 사용자가 입력하는 비밀번호를 복잡한 해쉬값으로 변경시켜 암호화 전송하는 방식으로 비밀번호를 안전하게 보호한다.
가장 확실한 본인확인 수단은 생체인식으로, 생체인식 중 지문인식이 일상적으로 사용되고 있다. 최신 스마트폰은 대부분 지문인식 기능을 갖고 있으며, 출입통제 시스템 등에서도 사용된다.
생체인식 기술은 디바이스가 생체 정보를 암호화해 갖고 있으며, 해당 생체정보가 암호화 키값으로 사용되기 때문에 디바이스가 해킹을 당한다 해도 암호화된 생체정보를 공격자가 불법적으로 이용하지 못한다고 강조한다.
그러나 만일 보안이 약한 암호화 기술을 사용하거나 제대로 관리되지 않은 프로세스로 암호화되지 않은 생체정보가 유출된다면 대단히 심각한 사태로 번질 수 있다. 생체정보는 다른 비밀번호처럼 변경할 수 없기 때문이다.
이러한 위험성에도 불구하고 생체인식 기술은 새로운 IT 융합기술의 하나로 주목되면서 빠르게 성장하고 있다. 생체인식 기술을 이용한 간편결제 기술로 지문을 통한 본인확인과 전자서명을 지원하는 방법이 널리 사용되고 있다.
