모바일 / 보안

진화하는 온라인 거래 위협, 스마트폰으로 막는다

Julie Sartain  | Network World 2012.02.21
스마트폰이 온라인 금융 서비스의 핵심적인 대역 외 인증 수단으로 떠오르고 있다. 
 
빠른 속도로 진화하는 보안 위협들로부터 온라인 뱅킹과 기타 웹기반의 금융 트랜잭션들을 보호하기 위해 새로운 다중 인증 구상이 설계되고 있으며, 그 안에서 신뢰도 높은 전화기가 핵심 요소로 부상하고 있다. 
 
지난달 발효한 새로운 미국 연방지침은 기존의 아이디/비밀번호 외에도 다중등급 보안을 추천하고 있으며, 특히 대역외 인증 수단들을 지지하고 있다. 
 
미국 연방금융기관 검사협의회(Federal Financial Institutions Examination Council, FFIEC)의 규정은 은행, 신용조합, 모기지 대출기관(mortgage lender), 저축대부조합(savings and loans)에만 적용되지만, 앞으로 쇼핑 포털(shopping portal)들이나 신용카드업체들, 청구서 전자결제 등 온라인 금융거래를 취급하는 모든 기관이 영향을 받게 된다. 
 
정교해진 공격, 사기 탐지와 트랜잭션 검증으로 막아라 
오늘날 해커들이 사용하는 주무기 가운데 하나는 비밀번호 피싱(phishing)이다. 해커들은 피싱 이메일을 이용, 온라인 뱅킹 신원을 훔치고 사용자 계정에 침입한다. 
 
인증업체 폰팩터(PhoneFactor) 제품관리 부사장 사라 펜더에 따르면 은행 및 기타 금융기관들은 이에 대응해 장치식별, 질의응답, 일회용패스워드(OTP) 토큰 등 몇 가지 기술들을 배치했다. 
 
포레스터 애널리스트 안드라스 체르는 로그인 ID와 비밀번호로는 더이상 소용이 없다고 강조했다. 체르는 미리 선택해놓은 이미지, 질의응답, 장치 정보, 장치 평판 등이 전부 효과적인 2차 인증요소가 되고 있다고 전했다. 
 
그러나 펜더는 이런 '대역 내' 인증 방법 가운데 많은 것들이 장치 자체가 악성코드로 감염됐을지도 모른다는 한 가지 문제를 안고 있다고 지적했다.
 
게다가 키로거(keyloggers), 맨 인 더 브라우저(Man in the Browser, MITB), 중간자 공격(Man in the Middle, MITM) 등 더욱 향상된 위협들은 훨씬 정교한 보안 조치들을 필요로 한다. 
 
가트너 애널리스트 안트 앨런은 "사실상 모든 인증 기술을 침해하거나 우회해갈 수 있다. 확실히 예전의 비밀번호보다 인증은 피싱 같이 '빠르고 더러운' 공격들에서 오는 위험을 최소화한다. 하지만 직접적으로 침해하기 어렵도록 보장 수준이 더 높은 수단을 찾는 데에는 한계가 있다"고 설명했다. 앨런은 "언젠가는 공격자들이 MITM 공격으로 옮겨갈 것이다. 그들은 이미 인증된 세션을 하이재킹해 인증을 효과적으로 피해가고, 트랜잭션의 상세정보들을 조작하거나 가짜 트랜잭션들을 삽입하고 있다"고 경고했다.
 
앨런은 현재의 공격자 무리들을 막아낼 두 가지 효과적인 첨단기술들이 있다고 전했다. 바로 온라인 사기 탐지(Web Fraud Detection)과 트랜잭션 검증(Transaction Verification)이다. 
 
그에 따르면 온라인 사기 탐지는 사용자의 연결성(엔드포인트 인증, 지리적 위치 등)에 관한 상황맥락적 정보들을 평가하고 이상한 트랜잭션 행위를 찾아낸다(고객의 이전 기록이나 다른 고객들과 비교해봄으로써 말이다. 예컨대 여러 명의 고객들이 새로 생긴 동일한 계정에 돈을 보내고 있다면?). 
 
트랜잭션 검증은 여러 기술들을 이용해 은행이 고객으로부터 받은 트랜잭션 상세정보가 고객이 의도했던 것인지를 확인한다. FFIEC 지침에서 개략적으로 제시하듯 대역외 수단을 통한 상호적인 트랜잭션 검증은 데스크톱 브라우저 세션들에 효과적이며 아마 가장 그럴듯해 보일 것이다. 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.