스미싱을 통한 휴대전화 문자메시지(SMS) 인증번호 탈취를 100% 차단하고 스미싱 해킹을 무력화하는 새로운 결제 인증수단(이하 스마트인증)이 순수 국내 독자 기술로 개발됐다. 위장된 SMS와 위·변조 여부까지 검출할 수 있어 확산되고 있는 스미싱 금융사기를 차단하는 데 큰 도움이 될 것으로 보인다.
11일 금융권에 따르면 신한카드는 이동통신 전화망과 인터넷망을 결합한 모바일 2채널 인증방식을 적용한 금융서비스를 국내에서는 처음으로 선보인다.
이 인증기술은 국내 핀테크기업 시루정보(대표 류창화)가 개발한 방식으로, 전화망 외에 무선인터넷망을 활용한 ‘스마트 인증서버’를 통해 투채널로 SMS를 인증하는 것이어서 스미싱 금융사기 차단에 획기적이다. 신한카드에 이어 KB국민카드와 국민은행도 기술 도입을 위한 협의에 들어갔다.
기존 SMS인증은 고객 휴대폰으로 인증번호를 발송하면 SMS번호를 앱이나 웹사이트에 단순 입력하는 원채널 구조다. 하지만 이 방식은 해커가 스미싱을 통해 SMS를 중간에서 탈취하거나 인증번호만 빼돌려 부정거래하는 금융사기를 막을 수 없었다. 이 때문에 최근 SMS스미싱 사기가 급증하고 있다.
시루정보가 개발한 스마트인증 기술은 SMS 인증번호를 앱에서 발생시켜 스마트인증 서버를 거쳐 두 번에 걸쳐 인증하는 방식이다.
무선인터넷을 활용해 인증코드를 생성할 때 사용했던 휴대폰 정보를 암호화, 이를 인증서버로 보내면 이통사의 전화망 외에 또 한 번의 본인인증을 검증하게 된다.
스마트 인증서버는 △발신자 정보확인과 위장 발신자 검출 △스마트폰 소지 인증 △위장 SMS 검출 △장치정보 위·변조 검출 △통신사 가입자 인증 여부를 확인해 스미싱에 의한 SMS 탈취를 원천 방지한다. 고객과 발신자의 단말정보를 통신사와 연동해 비교함으로써 SMS이 위장 발송됐는지도 파악이 가능하다. iOS와 안드로이드 단말 식별 방식을 통한 OS 크로스 해킹 기법도 모두 무력화할 수 있다.
류창화 시루정보 사장은 “이 기술을 적용하면 누가 중간에서 인증번호를 가로채 악용하더라도 무선인터넷 채널을 해킹할 수 없기 때문에 인증 자체가 되지 않는다”며 “기존 SMS 채널과 무선인터넷 채널에서 본인이 맞는지를 검증받아야 하기 때문에 스미싱 피해를 획기적으로 줄일 수 있다”고 설명했다.
인증기술은 안드로이드 이외에 iOS에도 적용이 가능해 모든 휴대폰에 적용할 수 있다.
길재식기자 osolgil@etnews.com
-
길재식 기자기사 더보기