금융보안원

제목 : 금융보안원, 해커의 관점에서 바라본 본인 인증 체계 심층 분석 인사이트 리포트 발간

- 금융권 비대면 본인인증 체계 낱낱이 파헤치다!

- 금융 서비스 설계-개발-운영의 모든 단계에서 보안성 확보 필요

□금융보안원(원장 박상원)은 간편 비밀번호·생체인증 등 다양한 금융 인증 체계를 해커의 관점에서 심층 분석한 ｢레드아이리스 인사이트 리포트 : Campaign Poltergeist*｣ 발간

   * 피해자 인지 없이 인증 수단을 발급받아 공격하는 방법이 마치 불가사의한 대상이 사물을 조종하는 심령현상(Poltergeist)과 같아 명명

□ 세계적인 최정예 화이트해커로 구성된 금융보안원 RED IRIS팀은 금융 서비스의 본인 인증 우회 취약점을 인증 수단 및 절차별로 분석하여 조치사항을 도출

  ① 전통적인 비밀번호 인증을 포함하여 간편인증, SMS, 공동인증서를 비롯한 다양한 비대면 인증 수단에서 인증정보 획득·요청 ·검증 등 절차별로 취약점을 발견

  ② 발견된 취약점을 활용, 가상의 시나리오를 설정하여 모의해킹을 수행한 결과 금융소비자의 계정 탈취, 금전 탈취 및 임의 계좌 개설 등 금융 범죄에 악용될 수 있는 가능성을 발견

  ③ 취약점 발생 원인에 대한 상세 분석을 통해 인증 절차에 대한 보안성 강화 방안*을 제안

   * 인증 과정에서 인증 대상 명의와 서비스 요청 대상 명의를 비교하여 검증하는 등 취약점별 대응 방안 및 유의 사항

□ 리포트 요약본은 금융보안원 홈페이지(자료마당 > RED IRIS 리포트)에서 열람이 가능하고, 세부 내용은 3월 12일 금융회사 대상 「취약점 분석·평가 정보공유 세미나」에서 발표될 예정

□ 금융보안원 박상원 원장은 “사용자 편의를 위한 간편 인증 절차가 범죄를 위한 간편 해킹 절차가 되지 않도록 금융회사는 서비스 설계-개발-운영의 모든 단계에서 고객 인증 절차에 대한 보안성 확보에 각별히 주의를 기울여야 한다”며,

  ㅇ “금융보안원은 앞으로도 금융 서비스에 잠재된 보안 위협을 제거해 나갈 수 있도록 적극적인 역할을 수행하겠다”고 밝힘. 끝.