Q. 인터넷뱅킹 시 OTP 및 공인인증서, 보안카드를 사용하고 있다. 최근 전자금융사기 예방서비스 시행으로 추가로 2차 인증에 대한 요구가 높아지고 있는데, 이의 종류와 이를 통한 안전성 강화방안에 대해 알고 싶다.

A-1. 전자금융사기 예방서비스는 보이스피싱 등을 통한 피해를 예방하기 위해 도입한 서비스로 2013년 9월 26일부터 의무화됐다. 추가 인증절차가 필요한 경우는 공인인증서의 발급 및 재발급, 타기관의 공인인증서를 등록하는 경우, 인터넷뱅킹 이용 시 300만원 이상 이체하는 경우(1일 누적 기준) 등이다.

추가 인증방법의 종류에는 지정된 단말기 이용, 휴대폰 SMS 인증, ARS를 통한 전화인증(2채널 인증) 및 금융회사의 영업점을 방문하여 1회용 비밀번호(OTP)를 부여받아 입력하면 된다.

단, OTP(One Time Password) 이용고객의 경우 인터넷뱅킹을 통한 자금 이체 시 본인확인을 위한 추가인증은 금융 회사에서 선택해 적용가능하다.

(금융보안연구원)

A-2. 현재 국내외 주요 웹사이트에서는 아이디와 비밀번호를 기반으로 한 지식기반 인증과 함께 보안카드, OTP, 공인인증서, USIM(Universal Subscriber Identity Module) 등의 소유기반 인증을 추가로 도입해 사용하고 있다.

먼저 금융거래 시 가장 많이 접하게 되는 OTP는 다양한 인증 방식을 사용하고 있다. 가장 기본적으로 OTP 서버가 임의의 난수를 생성해 OTP 토큰(단말기)에 입력하는 방식이 있고 OTP 서버와 토큰(단말기) 간의 시간 동기를 통해 동일한 입력값을 생성하는 시간동기화 방식, 특정 이벤트 값을 이용한 이벤트 동기화 방식, 여러 가지 방식을 혼용하는 방식 등으로 구분 지을 수 있다.

이러한 OTP 인증 방식은 새로운 형태의 공격 기법 및 취약점에 따라 다양하게 발전하고 있고, 근래 이슈가 되고 있는 파밍에 대한 방지책으로 본인만 아는 이미지 를 화면에 등록하여 인증하는 등의 새로운 대응방법도 도입되고 있지만 가장 중요한 것은 개인 PC 보안이다.

금융권에서 2차 인증 방식의 다양화를 통해 보안 강화를 한다 하더라도 개인 PC가 악성코드에 감염되면 각종 스푸핑 또는 변조 공격에 노출될 수 있기 때문에 개인의 보안의식이 가장 중요하다.

(왕재윤 한국산업기술보호협회 관제운영팀 연구원 /jywang@kaits.or.kr)

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>