경찰청에서 지난 1월부터 3월까지 개인정보 침해사범 특별단속을
실시한 결과 개인정보 1억1680만 건이 적발됐다.
A씨 등 2명은 파일공유사이트를 운영하면서 쿠폰등록 사이트인 것처럼 속여
5386명의 개인정보를 불법수집했다. 이들은 사이트 계정을 생성하고
휴대전화 소액결제를 발생시켜 총 1173만원을 가로챈 혐의로 검거됐다.
광주 개인택시조합 총무부장 B씨는 업무상 알게 된 조합원 4797명의
개인정보를 조합임원 선거후보자·자동차 영업사원·가스충전소 등에 유출했다가 적발됐다.
의사협회, 한의사협회 등 보안이 취약한 225개 사이트를 해킹해 얻은 개인정보 1700만 건을
불법 유통한 피의자 7명과 중국 신종금융사기 조직과 공모해 파밍 수법으로
13명의 계좌에서 3억9000만원을 인출한 피의자 3명도 함께 검거됐다.
피싱·파밍을 막는 튼튼한 방어망
컴퓨터를 이용한 온라인금융거래가 보편화되면서 피싱(phishing)과 파밍(pharming)이 사회문제로 대두되고 있다. 지난 2월 24일 금융감독원이 발표한 피싱, 파밍에 의한 피해신고건수 자료에 따르면, 2011년 9월 이후 2013년 말까지 접수된 피해신고는 5만7465건이었다. 이 가운데 사기유형별로는 보이스피싱 60.6%(3만4806건), 피싱·파밍 39.4%(2만2659건)순이었다. 하지만 피싱·파밍 등 인터넷 기반의 신변종 수법의 비중이 지난해 1분기 58.7%, 2분기 57.9%, 3분기, 63.0%, 4분기 53.3%로 지난해 이후부터는 증가추세를 보여 절반 이상을 차지했다. 동시에 공격 기술도 매우 고도화 됨에 따라 이에 대한 대책 마련이 요구되고 있다. 이런 상황에서 피싱, 파밍 공격에 대응할 수 있는 ‘스마트채널3’ 기술이 안심 금융거래의 해법으로 기대를 모으고 있다.
* 피싱(phishing) : 금융기관 등의 웹사이트에서 보낸 e-mail로 위장하여 링크를 유도해 개인의 인증번호나 신용카드번호,
계좌정보 등을 빼내는 전자금융 사기
* 파밍(pharming) : 악성코드에 감염된 PC를 조작해 이용자가 인터넷 즐겨찾기 또는 포털사이트 검색을 통해 금융회사 등의
정상적인 홈페이지 주소로 접속해도 가짜 사이트로 유도되어 개인 금융 정보 등을 몰래 빼내는 전자
금융 사기
기존 기술을 뛰어넘는 보안성과 편리성
ETRI에서 개발한 ‘스마트채널3’ 기술은 스마트폰을 이용하여 웹 브라우저 주소창을 확인하고 로그인하는 방식으로, 안전한 인증 및 피싱·파밍 방지 기능을 제공하는 기술이다. PC, 스마트TV 등 어떠한 플랫폼의 어떤 브라우저에서도 스마트 단말기의 웹브라우저에서 별도의 플러그인 설치 없이 스마트폰을 이용해 간단하게 안전한 인증을 수행한다.
본 기술의 핵심은 사이트 URL을 카메라로 인식해 피싱 사이트인지 판별하는 검증기술과 변조 및 재사용을 방지하는 보안쿠키이다. 즉 사용자 웹브라우저에 표시된 웹서버의 HTTPS 주소를 스마트폰 카메라를 통해 인식해 피싱사이트 주소와의 일치 여부를 자동으로 검증한다. 더불어 화면의 문자처리 및 이미지 프로세싱 기술과 투 채널 보안 프로토콜을 적용, 사용자 PC와 스마트폰의 위치정보를 비교하여 피싱사이트 접속 여부를 검증하는 기술도 적용됐다.
사용자는 해당 금융기관의 사이트에 접속해 팝업으로 띄워진 QR코드를 스마트폰으로 인식시켜 금융기관의 서버와 내 PC, 스마트폰을 동시에 인증할 수 있다. 스마트폰에 인증정보를 입력하면 PC가 로그인 되고, 스마트폰으로 사진을 찍듯이 주소창을 찍으면 웹브라우저 주소가 진짜인지 확인도 가능하다. 이와 같은 본인 확인절차가 끝나면 최종 접속한 시간, 사용자 PC의 IP, 접속횟수 등도 스마트폰에 표시된다. 패스워드를 직접 전송하지 않고 상호인증을 수행하기 때문에 안전하게 피싱과 파밍 공격을 차단할 수 있다.
아울러 본 기술을 이용하면 한 번 인식된 사용자 PC는 보안쿠키가 설치되기 때문에, 번거롭게 사용할 때마다 일련의 절차를 거치지 않고도 보안쿠키를 검증하여 간편하게 사용할 수 있다.
기존에도 일부 SNS 계정에서 보안쿠키를 사용한 자동 로그인 기능을 지원했지만, 해커가 쿠키의 내용을 변조하거나 재사용하는 공격이 가능하다는 한계가 있었다. 하지만 ETRI의 보안쿠키는 PC에 특화된 정보를 내장하고 있으며, 스마트폰에서 매번 변경되는 일회용 보안키로 암호화 시켜 두었기 때문에 해커의 열람 및 변조가 불가능하다. 또한 보안쿠키를 이용하여 한번 사용자 PC로 등록한 경우에는 해당 쿠키를 스마트폰에서 매번 검증함으로써 해커가 쿠키를 탈취하여 재사용하는 공격도 차단해준다.
기술이전 통해 조만간 상용화될 예정한편 이번 기술은 보안업체에 기술이전 되었으며, 추가적인 이전도 협의 중에 있다. 향후 금융기관 및 공공기관과 협의하여 웹사이트에 피싱 방지 및 사용자 인증 강화를 위한 시범서비스 및 상용화도 추진할 계획이다.
또한 현재 금융권에서는 지정PC·투채널 인증·SSL인증서를 추진하고 있어, 이에 병행하여 스마트채널3 기술이 활용된다면 보안성과 편의성 모두 만족될 것으로 기대된다.