공인인증서 의무 사용 폐지 후 다양한 대체인증 수단이 도입된 것으로 나타났다. 이에 따른 대체인증 보안성 강화가 요구된다.
금융보안원(원장 허창언)은 `카드사 대체 인증기술 보안성 비교 분석`을 하고 공인인증서 의무 사용 폐지 후 6가지 인증기술이 도입됐다고 밝혔다. 계속되는 위협에서 이용자를 보호하려면 사전에 등록된 단말기 기반 인증 외에 이상거래탐지시스템(FDS)이나 거래연동 인증, 트러스티드 사용자환경(Trusted UI) 등을 적용하라고 권고했다.
현재 공인인증서 의무 사용 폐지와 온라인 간편 결제 활성화 대책 발표 후 나온 대체 기술은 △신용카드 △ARS/SMS △휴대폰 △폰OTP △IC태깅 △바이오 인증 등이다. 금융보안원은 공인인증서 대체 본인인증 서비스는 단말기와 운용체계(OS), 기능 등에 따라 제약이 있고 범용성과 보안성이 차이가 난다고 분석했다. 단말기나 IC카드 등 추가 수단에서 인증 정보를 생성하는 게 상대적으로 안전했다. 인증 정보 생성 위치가 단말기 내 보안영역이면 안전성이 높았다.
가장 편리한 방법은 신용카드 인증이다. 신용카드 인증은 카드번호, 유효기간, 비밀번호, CVC 정보를 입력해 본인이 소지했는지 확인하는 서비스다. 해당 방식은 노출 위험성이 높아 단독으로 쓰지 않고 다른 방식과 함께 이용한다.
ARS나 SMS로 이용자에게 전달하는 인증번호를 입력하는 방식도 많이 쓰인다. 이동통신사업자 서비스 이용여부로 본인을 인증한다. 통신사 부가서비스나 악성프로그램이 착신전환을 하면 본인 단말기 외에 기기에서 인증이 될 수 있다. 단말기가 악성코드에 감염되면 원격 제어 기능으로 임의 인증을 수행하거나 SMS를 탈취한다.
휴대폰 일회용비밀번호(OTP) 인증은 스마트폰 보안영역에서 OTP를 생성한다. 이용자는 보안영역 이용 여부를 알지 못해 절차가 추가되거나 번거롭지 않다. OTP 생성 위치가 스마트폰 일반영역이 아니라 상대적으로 보안성이 높다. 펌웨어나 커널 취약점을 이용해 보안 영역 데이터에 접근할 가능성은 여전하다.
IC태깅 인증은 IC카드에 등록된 사용자 식별 정보나 인증모듈(인증서, OTP)에서 생성된 정보를 NFC방식으로 모바일 기기에 전송한다. 실물 IC카드를 추가로 소지해야만 인증된다. IC칩이 복제되면 데이터 유출 위험성이 존재한다. 인증서버로 접촉 정보(태깅 값)를 전달할 때 통신 구간 취약점이나 노출된 암호화 통신키 값으로 전달되는 내용이 탈취될 수 있다.
최근 바이오 인증 도입이 급물살을 탔다.
지문, 홍채, 정맥, 목소리, 얼굴 등 이용자 생체나 행위 정보를 이용하는 인증 방식이다. 비밀번호 입력 절차가 없어 편리하다. 이용자 본인만 인증이 가능한 방식으로 복제가 쉽지 않다. 바이오 정보는 단말기 내부 보안영역에 저장돼 유출 위험이 낮다. 실리콘 지문이나 고해상도 사진 출력 등을 이용한 인증 우회 사고와 악용 사례가 지속 나타난다.
김인순 보안 전문기자 insoon@etnews.com