스미싱, 파밍 등 인터넷뱅킹 사용자들을 노린 금융사기가 늘어나면서 이에 대한 대책으로 '투팩터(two factor)'가 아닌 '투채널(two channel)' 인증의 중요성이 부각되고 있다. 이미 일부 은행에서는 이 같은 방식을 도입해 보안성을 강화하고 있다.
9일 국내 주요 은행사이트를 확인해 본 결과 제1금융권 중 투채널 인증을 적용한 곳은 KB국민은행, 하나은행, 우리은행 등이다. 이들 사이트는 자동응답전화(ARS)를 활용하거나 스마트폰용 뱅킹앱에 인터넷뱅킹시 PC에서 받은 비밀번호를 입력하는 방식을 사용하고 있었다.
그 전까지는 주로 투팩터 인증 방식이 주를 이뤘다. 이는 이를 테면 ID/비밀번호 혹은 공인인증서를 통해 인터넷뱅킹 사이트에 로그인 한 뒤에 보안카드 번호를 입력하는 방식이다. 두 가지 요인으로 인증을 받는다는 점에서 투팩터로 불린다.
그러나 최근 발생한 신종파밍 사기는 이 방식마저도 보안에 취약하다는 점을 드러냈다. 사용자가 정상적으로 인터넷뱅킹을 하듯 은행 사이트에 로그인 한 뒤 보안카드 번호 두 자리를 입력하고 이체 등의 업무를 실행하면 보안카드 입력 에러가 난다는 메시지를 보여준다. 이와 동시에 금융사기범의 PC에서는 실제 사용자가 다른 계좌로 자금을 이체하도록 하는 것이다.
기존 파밍 수법이 일정 시간을 두고 공인인증서를 새로 발급받는 등의 방법으로 자금을 빼가기까지 수시간의 준비가 필요했다. 그러나 최근 수법은 실시간으로 정상거래를 신청해도 자금이 다른 곳으로 빠져나가도록 한다는 점에서 훨씬 심각하다. 이에 대한 대안으로 거론되고 있는 것이 투채널 인증이다.
ARS를 통해 본인이 인터넷뱅킹을 통해 이체한 것이 맞는지 여부를 확인하는 방식은 이미 수년전부터 알려졌다. 최근 금융권에서 도입하고 있는 것은 ARS 방식 외에도 인터넷뱅킹 전용앱을 통한 투채널 인증방식이다.
현재로서는 전용앱을 통한 방식은 사용률이 저조한 편이다. 투채널 인증 서비스가 유료로 제공되고 있는 것도 그 이유 중 하나다. ARS는 10초당 20원의 사용요금이 들고, 앱을 통한 추가 인증 방식 역시 월 1천원을 별도로 사용자가 부담해야 한다.
이에 대해 한근희 드림시큐리티 부사장은 기본적으로 사용자들의 선택에 달린 문제이나 은행 입장에서는 고객에게 부담 지우기를 어려워하고, 공공에서는 지원을 꺼리고, 사용자 입장에서는 이 마저도 부담되거나 불편해하는 문제가 있어 ARS 방식이 많이 쓰고 있는 실정이라고 밝혔다.
관련기사
- 안랩 "신종파밍, 특정 금융사 노린 원스톱 공격"2013.07.09
- 파밍용 IP 차단 우회...또 다른 공격수법 출현2013.07.09
- 내 돈 빼가는 '파밍' 막으려면...2013.07.09
- 파밍 사기, '그림인증'으로 막는다2013.07.09
기존에 인터넷뱅킹을 위한 가장 강력한 보안수단으로는 암호화된 공인인증서를 별도의 저장장치에 두는 보안토큰(HSM)을 사용하는 방식이다. 그러나 이 경우 별도로 구매해야 하는 HSM의 가격이 2만원~3만원대를 넘기 때문에 여전히 사용자들에게는 부담이 된다.
이 때문에 현재로서는 신종파밍 등 인터넷뱅킹 사기를 피하기 위한 현실적인 대안은 투채널 인증이다. 윤광택 시만텍 코리아 이사는 보안카드, 공인인증서, 일회용비밀번호(OTP)까지 뚫리는 시점에서는 결국 은행으로부터 직접 전화를 받아 거래 여부를 확인하거나 이체된 금액이 맞는지 등을 확인하기 위해 전화를 또 다른 매개체로 활용하는 방법이 활성화될 필요가 있다고 말했다. 이미 투채널 방식은 미국 등에서는 널리 보급된 이체 방식 중 하나라고 윤 이사는 덧붙였다.
