금융 해킹기술이 고도화되면서 보안기술도 한층 진화한다. 고객정보 저장 방식을 분산시키는 것에서 일회용 인증보안 솔루션까지 신개념 보안 솔루션이 시장에 등장하고 있다.
정보보안 부문 벤처기업 와임은 고객 데이터를 은행, 개인 등이 분할 보관하는 방식 보안플랫폼을 개발하고 있다.
‘달걀을 한 바구니에 담지 말라’는 모토 아래 개인정보를 암호화해 의뢰한 금융업체와 보안업체가 분할해서 보관하는 방식이다. 한쪽 기관 보안정보가 유출되더라도 완전한 형태의 보안정보가 아니기 때문에 쓸모없어지도록 만든 설계다.
와임은 정보 주체는 정보제공자라는 기본적인 전제에서 각각 분할된 정보를 결합할 때 필요한 키를 정보제공자에게 보관하는 방식도 채택하고 있다. 정보 주체인 개인 동의가 없으면 어떤 암호도 풀 수 없는 3중 보안체계다.
보안회사인 코리아엑스퍼트는 랜덤ID를 이용해 인증솔루션 보안을 강화하는 것을 검토하고 있다. 인터넷으로 금융거래를 할 때 보안 강화를 위한 일회용비밀번호(OTP)를 사용하는 것처럼 매번 새로운 고객 ID가 부여되는 방식이다. 매번 ID가 바뀌기 때문에 도용, 유출 우려가 대폭 낮아진다. 고객은 사이트마다 달리 설정해놓은 ID와 비밀번호를 따로 외울 필요가 없어 편의성도 높다.
‘아이루키’로 불리는 이 보안솔루션은 스마트폰 아이루키 앱에 접속하려는 금융사이트, 그룹웨어 등을 선택하면 등장하는 일회용 ID와 비밀번호를 해당 웹사이트에 입력하는 방식이다.
고객은 금융거래 시 스마트폰 아이루키 전용 앱에 접속해 거래하려는 사이트, 그룹웨어 등을 선택한다. 그리고 화면에 표시되는 숫자, 영어 대소문자, 특수문자 등으로 이뤄진 일회용 ID와 비밀번호를 입력해 로그인한다.
코리아엑스퍼트는 특허를 등록한 알고리즘을 이용해 ID와 비밀번호 랜덤 값을 생성하고 해당 정보를 입력받는 서버에서도 이 둘 값을 비교하고 일치 여부를 가려 고객인지를 확인해 보안성을 높였다.
이노티움은 논액티브엑스(Non-ActiveX) 기반의 모바일, PC 일회용 인증 보안솔루션을 개발해 금융회사와 연계 방안을 강구하고 있다.
각 운용체계 및 멀티 브라우저 환경에서 ID와 패스워드를 동시에 일회용 랜덤 값으로 인증하는 핀테크 솔루션 ‘아이오서티’를 통해서다.
아이오서티는 고객이 일회용 보안 로그인을 할 때 스마트폰을 사용하거나 PC에 인증 프로그램을 설치하지 않고도 ID와 패스워드를 인증하는 간편 보안 인증 솔루션이다.
윈도10 환경에서도 키보드 후킹이나 API 후킹, 메모리 해킹, 패킹 후킹에서 ID와 패스워드를 보호할 수 있다. 로그인할 때마다 ID와 비밀번호를 변경하거나 별도 인증용 스마트폰 및 인증 프로그램도 불필요해 간편성과 보안성을 두루 갖췄다는 설명이다.
박소라기자 srpark@etnews.com