스마트폰 등 개인 디바이스 이용한 투팩터 인증 필요성 제기   은행별 맞춤형 스미싱, 악성코드 기승...이용자 각별히 주의해야!
[보안뉴스 김태형] 은행에서 금융보안 강화 및 금융사기를 막기 위해 시행 중인 휴대전화 ARS인증을 우회할 수 있는 것으로 알려졌다. 그러나 아직 피해사례가 없고, 가장 안전한 방법이라는 주장도 제기되고 있는 등 이에 대한 논란이 커지고 있다.    

은행권에서는 금융거래 보안을 강화하기 위해 휴대전화로 본인을 재확인하는 2차 인증 수단인 ARS인증이 가장 적절한 방법이라고 판단하고 시행했지만 ARS인증 보안도 해커가 마음만 먹으면 쉽게 우회해서 뚫을 수 있다는 주장이 나오고 있는 것이다.  

지난해부터 시행된 ARS인증 서비스는 일일누적 이체금액이 3백만원 이상일 경우에 해당이 됐지만, 최근 카드사 정보유출 사고 여파로 인해 지난 1월 28일부터 일일누적 백만원 이상일 경우, ARS인증을 받도록 변경 시행되고 있다.

한 보안전문가는 “공격자가 악성코드를 이용해서 ARS인증 수단을 무력화하거나 우회하는 수법을 충분히 이용할 수 있다. 특히 각 은행별로 맟춤형 스미싱이 가능한 상황이어서 더 이상 안심할 수 없는 상태”라고 설명했다.

공격자는 이용자 PC를 대상으로 파밍이나 악성코드를 이용해 이용자 금융정보를 먼저 입수하고 휴대폰 문자메시지를 통해 이용자 스마트폰에 악성앱을 설치하도록 유도한 다음, 이용자들이 인터넷뱅킹을 통해 100만원 이상의 자금이체를 실행하면 고객의 전화로 들어와야 하는 ARS인증 전화가 엉뚱한 휴대전화로 들어오도록 한다.

그리고 공격자가 이 전화를 받아 ARS본인 인증 번호를 누루자 마자 다른 계좌로 돈이 빠져나가도록 악성앱을 이용해 ARS인증 전화를 강제로 착신전환하는 것이다. 이러한 방법은 원래 이용자의 전화기에는 문자나 전화가 오지 않아 언제 돈이 빠져나갔는지도 알 수 없는 상황이 된다는 것.

이 보안전문가는 “이와 같이 각 은행에 특화된 여러 종류의 악성코드가 있어 이들이 각각 다른 방법으로 작동한다. 또 다른 방법은 특정 번호에 반응하는 스마트폰 악성 앱이 설치된 경우, 이 악성앱이 특정 은행의 ARS전화 번호를 감지해 자동수신하고 입력값까지 응답해주면 다른 계좌로 돈을 빼낼 수 있다”면서 “이와 같은 방법은 이용자나 금융권에서도 막을 수 있는 방안이 없다”고 강조했다.

이렇게 ARS인증 전화를 강제로 착신전환하는 방법을 통해 다른 계좌로 돈을 빼가는 것을 막기 위해서는 이통사들과의 협조를 통해 은행의 본인확인 ARS인증 전화의 착신전환을 차단하는 방법이 있다. 하지만 이는 이통사와 업무 협조가 필요한 상황이다.

이에 금감원 측은 ARS인증 전에 본인확인 과정을 좀더 복잡하게 해서 본인만 아는 비밀번호를 입력하는 방안을 검토 중이다. 하지만 악성코드를 이용하면 공격자들은 이 비밀번호도 충분히 알아낼 수 있다는 것이 보안전문가의 설명이다.

가장 효과적인 대응방법은 2팩터 방식의 다른 인증 수단을 강구해야 한다는 것. 그는 “이용자가 인터넷 뱅킹 시 PC에서 본인 확인 및 인증을 하고 개인 스마트폰으로 암호화된 QR코드를 이용해 본인인증을 하는 2팩터 인증 방법을 이용하면 좀더 강화된 보안인증을 구현할 수 있다”고 말했다.

이에 대해 금융위원회 측은 “금융회사들이 불법자금 이체방지를 위해 전자금융사기 예방서비스를 지난해 9월 26일부터 전면 시행하고 있다. 이는 기존 보안수단(인증수단)에 추가해 본인확인을 하는 서비스로서, 동 서비스 시행 이후 전자금융사기는 절반 이하로 감소했다”라고 말했다.

또한 금융위 측은 “현재까지 구체적인 ARS인증사기 피해는 없었으며 피해 주장사례가 있었으나 사실이 아닌 것으로 확인됐다. ARS 인증의 경우 피해사례 없이 안전하게 적용되고 있다. ARS인증과 관련해 취약한 부분은 비밀번호 등을 입력하는 등 좀더 복잡하게 하는 방안을 검토 중”이라고 밝혔다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>