폰OTP, 휴대폰인증 등 탈취 및 조작 위험성 존재
다양한 위협에 FDS나 거래연동 등 추가방식 고려
휴대폰 단말기나 IC카드 등 추가 인증수단을 통해 인증정보를 생성하는 것은 기존 ARS나 SMS인증에 비해 상대적으로 안전하지만 인증이 생성되는 위치에 따라 보안성이나 위험성이 달라진다.
금융보안원은 대체인증기술의 보안성을 비교 분석하기 위해 현재 국내 카드사에서 일반 사용자에게 제공중인 보안인증서비스를 모두 테스트했다(2016년 4월 기준).
그 결과 카드사 중에서는 신한카드가 공인인증서, ARS인증(인바운드), 폰OTP, IC태깅 등 4가지 인증방식을 도입해 가장 다양한 대체인증서비스를 제공하고 있는 것으로 나타났다.
KB국민카드는 공인인증서, ARS인증(아웃바운드), 휴대폰인증(앱안심인증) 등 3가지 방식을 제공 중이며 삼성, 롯데, 현대, 비씨카드를 비롯해 대부분의 은행계 카드사에서 공인인증서와 ARS인증 및 SMS인증을 제공하고 있었다.
ARS나 SMS 인증은 이용자에게 전달되는 인증번호를 입력해 본인을 증명하는 일반적인 인증 방식이다. 하지만 이 방식은 통신사 부가서비스(착신전환 등)나 악성코드(원격 제어, SMS 탈취) 등을 통해 인증정보를 다른 사용자가 탈취할 위협이 존재하고 착신전환으로 타인의 단말기에서 인증 수행이 가능하다.
신한카드에서 세계 최초로 선보인 폰OTP 인증은 스마트폰의 보안영역에서 일회용비밀번호(OTP)를 생성해 인증하는 방식으로 현재 트러스트존(TrustZone)을 지원하는 안드로이드 기반 스마트폰에서만 사용이 가능하다.
보안영역에서 일회용 비밀번호 값을 생성하기 때문에 상대적으로 높은 보안성을 제공하지만 데이터 유출의 위험성을 배제할 수 없으며 펌웨어, 커널 등의 취약점을 통해 보안영역의 데이터에 접근하는 등 악용사례가 보고되고 있다.
또 생성된 인증 값을 인증서버로 전달하기 위해 일반영역을 거쳐 인증서버와 암호화 통신을 하기때문에 취약점이나 키 값이 노출될 경우 인증 값이 탈취될 가능성도 존재한다.
신한카드에서 적용중인 IC태깅 인증은 IC카드에 등록된 사용자 식별정보를 NFC를 통해 모바일 기기로 전송하는 방식으로 실물 IC카드를 추가로 소지해야만 인증이 가능하다.
이 방식도 ARS나 SMS에 비해 보안성이 강화된 기술이지만 IC칩 복제, 메모리덤프, 중간자공격 등을 통한 데이터 유출 위험성이 존재하고 특수 복제장비를 이용해 IC칩 복제 가능성도 있다.
KB국민카드에서 제공중인 휴대폰 인증(앱안심인증)은 ARS나 SMS인증보다 보안을 강화한 기술로 이동통신사에 등록된 기기를 확인해 본인 명의의 휴대폰 여부를 확인한다.
개인정보 입력이 필요 없고 이동통신사에 등록된 기기를 확인하는 과정을 통해 등록된 기기 이외에는 인증이 불가능하도록 인증을 강화했다.
단 이 기술도 원격제어 기능을 악용해 임의 인증을 수행할 수 있으며 인증 메시지 생성 알고리즘의 생성 규칙을 파악할 경우 다른 기기에서도 발신번호를 조작해 타인이 인증을 대신할 수 있다는 위협이 존재한다.
이 외에 블록체인 및 바이오인증 등 다양한 인증기술이 상반기 출시를 기다리고 있다.
KB국민카드는 블록체인 기반의 본인인증서비스를 상반기 중 서비스할 예정이며 비씨카드는 스마트폰에 저장된 사용자의 목소리를 식별해 개인인증을 하는 화자인증 서비스를 내놓을 계획이다. 하나카드도 지문과 얼굴 인식을 결합한 생체인증 서비스 출시를 준비중이다.
금융보안원 보안기술팀 관계자는 “카드사들은 지속적으로 발생되는 위협에서 이용자를 보호하기 위해서는 사전에 등록된 단말기 기반 인증 이외에 FDS, 거래연동 인증, TUI 등 추가적인 보안 방식 적용을 고려해야 한다”고 조언했다.