김현민 * 이진호 * Ⅰ. 서론 35 Ⅱ. 해외비대면인증현황 36 1. 해외비대면인증관련규제 37 2. 해외비대면인증적용현황 38 3. 해외비대면인증절차 39 Ⅲ. 국내비대면인증현황 41 1. 국내비대면인증관련규제 41 2. 국내비대면인증적용현황 43 3. 시사점 44 Ⅳ. 비대면인증기술보안성확보방안 45 1. 비대면인증절차 45 2. 대면인증기술별취약점분석 47 3. 비대면인증기술체크리스트 59 Ⅴ. 결론 62 < 참고문헌 > 63 * 금융보안원분석평가부보험공공평가팀 (e-mail : ezno@fsec.or.kr, secuholic@fsec.or.kr) 33
요약 비대면인증은기존에직접대면하여본인을인증하는오프라인방식이아닌전자적정보등의기술을사용하여사용자본인여부를확인및증명하는방식이다. PC, 스마트폰, ATM 등디지털채널을이용하여실명확인을수행하기때문에영업점을직접방문하지않고도계좌를신규로개설하거나대면이필수이던다양한금융거래를할수있게되었다. 현재다수의금융회사에서비대면인증을이용한금융거래를지원하고있으며특히, 2015년 2곳이예비인가를받아현재설립을준비중인인터넷전문은행은지점망을핵심채널로가지는일반은행에비해인터넷, 모바일을통한영업망을가지기때문에비대면인증의중요성은한층더강조되고있다. 하지만디지털채널등다양한실명확인방식을채널을이용한비대면인증은편리함이라는이면에해킹사고가발생했을시다수의대포통장개설가능성등의위협이존재한다. 디지털채널만으로인증을수행하기때문에인증과정에서의취약점으로인해보안사고가발생할경우다수의피해자가발생할수있어기존대면인증보다위험영향도가높을수밖에없다. 이러한위험을감소시키기위해인증기술자체나인증과정에서의우회의가능성을사전에제거하여야한다. 또한신분증촬영, 영상통화등기존의인증과는다른새로운방식의인증기술들이이용되기때문에기존의애플리케이션과는다른위협이존재할수있으므로사전에이러한인증기술에서발생할수있는취약점을파악해야한다. 본고에서는최근사용하고있는비대면인증기술에서발생가능한취약점을도출하고금융회사에서비대면인증을구현할때발생할수있는취약점의종류및특성을알아보았다. 34
Ⅰ. 서론 2015년인터넷전문은행 2개에대한예비인가가승인되고, 같은해 5월금융위원회에서는 계좌개설시실명확인방식합리화방안 을발표하여인터넷전문은행및기존금융회사에서의비대면인증을허용하였다. 비대면인증은기존에직접대면하여본인을인증하는틀을깬새로운방식의실명확인이다. PC, 스마트폰, ATM 등디지털채널 1) 을이용하여실명확인을수행하기때문에영업점을직접방문하지않고도계좌를신규로개설하거나대면이필수이던다양한금융거래를할수있게되었다. 현재다수의금융회사에서비대면인증을이용한신규계좌개설서비스를개시하였고, 특히지점망이취약한금융회사를중심으로공격적인영업을통해신규고객을확보하고자하고있다. 그러나비대면인증기반의계좌개설은금융회사에게고객확보를위한새로운채널인동시에고객의개인정보및금융자산에손실을입힐수있는새로운위협요인이되기도한다. 디지털채널등을이용한비대면인증은편리함이라는이면에해킹사고가발생했을시다수의대포통장개설가능성등의위협이존재한다. 디지털채널만으로인증을수행하기때문에인증과정에서의취약점으로인한보안사고가발생할경우다수의피해자를유발할수있어기존대면인증보다위험영향도가높을수밖에없다. 특히, 인터넷전문은행은다양한비대면확인방식을활용하여서비스가이루어지므로 IT의존도가매우높을수밖에없으며해킹에의한고객정보유출, 금전적사고가발생할경우직접적인금전손실은물론인터넷전문은행으로서의기업이미지와신뢰도에큰타격이생기므로기존금융기관보다보안이차지하는비중이크다. 이와같이디지털채널을통해실명확인이이루어질경우해킹을통한금융사고발생리스크가높기때문에비대면인증의고도화를통해위험을사전에예방할필요가있다. 본고에서는향후영업점을통한대면인증보다는비대면채널을이용한인증을금융고객가입이증가할것으로예상되는가운데, 해외및국내의비대면인증에대한규제, 적용현황및특징을분석하고, 각비대면인증기술의취약점을정리하였다. 1) 디지털신호를통해정보를처리하는통신채널로서, 본고에서는인터넷을기반으로전자금융관련업무를처리하기위한채널을뜻한다. 35
Ⅱ. 해외비대면인증현황 최근전자상거래의채널을분석하여보면, 모바일애플리케이션, 홈페이지를기반으로온 오프라인의구별없이제품을구매하는옴니채널 (Omni-Channel) 이활성화되어있는것이새로운트렌드이다. 온 오프라인의구분없이각각의장점을극대화하려는시대적흐름에맞추어, 기존금융서비스에대해서도영업점을방문하여계좌를개설하는대신디지털채널을통해금융서비스가입을원하는이용자의요구가증가하고있다. 미국의금융서비스이용자를대상으로조사한 Javelin Strategy & Research사의 2015년보고서 2) 에의하면 [ 그림 1] 과같이조사대상의 70% 가디지털채널을통해서신규계좌를개설할의향이있다고응답했으며, 신용카드개설은 80% 인것으로나타났다. 모바일애플리케이션기술의발전, 이용자의수요증가, 비대면인증을활용한계좌개설의이용자경험 (user experience) 이발달함에따라, 디지털채널의이용자가점점늘어날것으로전망되고있다. [ 그림 1] 미국의디지털채널을이용한가입시선호도 계좌개설시디지털채널을활용할의사가있는고객 70% 신용카드개설시디지털채널을활용할의사가있는고객 80% 비대면인증기술은인터넷전문은행의고객확보를위한중요기술이라고볼수있기때문에국내보다는앞서있는해외인터넷전문은행의사례분석이필요하다. 2015년인터넷전문은행예비인가가허가된국내와는달리미국에서는 1995년에최초의인터넷전문은행 Security First Network Bank 이설립되었다. 또한일본, 유럽에서도국내보다는앞서인터넷전문 36 2) Javelin @ Digital Banking report, 2015.9.
은행을도입하여운영하고있다. 때문에, 인터넷전문은행을선도하는국가의비대면인증사례와보안성확보방안이모범사례가될수있을것이다. 참고로사례조사과정에서해외인터넷전문은행의경우해당국가에서만계좌를개설할수있는제약으로인해실계좌개설이곤란하여홈페이지에게시된내용을기반으로비대면인증사례를조사하였다. 1. 해외비대면인증관련규제 가. 미국 1970년제정된 Bank Secrecy Act 에서비대면계좌개설의허용여부는보안요건충족시허용하도록명시하고있다. 또한, 비대면인증및본인확인을위한가이드라인으로는미국연방금융기관검사협의회 (FFIEC, Federal Financial Institutions Examination Council) 의 Authentication in an Internet Banking Environment 3) 이있다. 동가이드라인에서는인터넷뱅킹환경에서 3가지인증방식을제안하고있다. 첫번째방식은최소요구사항만규정에명시, 두번째방식은특정인증방식을의무화하지는않으나비대면거래등위험도가높은경우자금세탁방지 (AML, Anti-Money Laundering) 를위해높은보안강도를요구, 마지막으로신규계좌개설시의고객인증방식으로적극적확인 (Positive Verification) 과논리적확인 (Logical Verification), 부정적확인 (Negative Verification) 수행을권고하고있다. 4) 나. 일본 2007년제정된 범죄로인한수익의이전방지에관한법률 ( 범죄수익이전방지법 ) 에고객확인절차시비대면계좌개설을허용할수있도록명시되어있다. 실명확인절차는 1신분증사본수신, 2우편확인, 3거래목적과직업의확인으로되어있다. 비대면인증을위한가이드라인으로 고객확인절차 (Conduct Customer Identification) 가있으며두가지방식을 3) Authentication in an Internet Banking Environment, FFIEC, 2011.6. 4) 적극적확인 (Positive Verification) : 신뢰할수있는제 3 자제공정보와고객제공정보의일치여부확인논리적확인 (Logical Verification) : 전화번호, 우편번호, 주소정보등이논리적일관성이있는지확인부정적확인 (Negative Verification) : 이전의사기행위와연관이있는지확인 37
제시하고있다. 개인의경우는신분증이나사본의수신하고거래목적 직업정보수신 (2013년신설 )+ 우편확인 ( 비밀번호송부 ) 해야한다. 기업의경우, 사업등록증수신 + 거래목적 비즈니스모델 실질소유자정보수신 (2013년신설 )+ 대표자신분증이나사본수신 + 사업자및대표자우편확인이필요하다. 5) 다. 유럽 영국은추가인증시비대면계좌개설을할수있도록 Money Laundering Regulations 에규정하고있다. 인증방식으로는전화연락, 우편송부, 신원보증서수취등의추가인증이있으며이는의무적으로수행해야한다. 독일을제외한대부분의유럽국가에서는비대면확인방법으로우편송부등을통한추가인증을구체적으로제시하고있다. 2. 해외비대면인증적용현황 가. 미국 미국의비대면인증적용현황을보면특정인증방식을의무화하지않으며, 규제의장벽을쌓기보다는최소한의규제를통해각금융회사별로다양한인증방식을활용하고있다. 우편을이용한신원증명서류제출을실시하는금융기관에서부터, 모바일애플리케이션을바탕으로비대면인증을실시하는등다양한인증방식이공존하고있다. 나. 일본 일본의비대면인증을적용한서비스가입절차를보면우선홈페이지에서신청서를작성하고신분증명서류를제출한다음, 우편으로수령한현금카드와토큰을다시등록한후에야계좌개설이가능하다신분증명을위해신분증을접수하는방식은각금융회사별로다양한방식을채택하고있다. 신분증명서류제출을위한전용애플리케이션을사용하거나, 홈페이지에 38 5) 한국형인터넷전문은행도입방안, 한국금융연구원, 2015.4.
별도의신분증명서류를파일업로드하거나, 금융회사측에서우편으로만신분증명서류를 접수받는등다양한방식을활용하고있다. 다. 유럽 유럽에서는신원증명 (Proof of Identity) 후, 가입자의주소로추가인증을위한우편물을전달하는방식을채택하고있다. 홈페이지에계좌개설양식및회원가입양식을작성하여제출후스마트폰이나홈페이지에서관련증명서류를업로드하는방식으로진행하며, 우편으로신용카드와접속코드 (Access code) 가전달된다. 이때사용하는신원증명서류로는이름이등록된신원을확인할수있는서류, 주소증명, 서명, 수입증명서류가가능하다. 스마트디바이스기반의모바일뱅킹, 인터넷홈페이지에서증명서류를제출할수있다. 제약사항으로는자국내거주중인고객만인터넷전문은행계좌개설이가능한특징을보이고있으며, 추가인증수단을전달하기위한주소를국내로제한하고있기때문에타국에있는이용자는가입할수없다. 3. 해외비대면인증절차 국내보다비대면인증을먼저도입한해외인터넷전문은행의사례를조사한결과, 비대면 인증을이용하여신규계좌를개설하는단계는 [ 표 1] 과같이 1 시작 2 신청 3 심사 4 계좌개설 5 종료의 5 단계로나눌수있다. [ 표 1] 비대면인증을이용한계좌개설단계 단계주요내용방식 1 시작 - 가입자의금융회사선택및비대면인증절차시작 - 가입자가금융회사및비대면인증방식선택 2 신청 - 가입자정보수집및인증수행 - 우편을통한증명서류제출 - 실명확인을위한증명서류를디지털채널로전송 - 생체인증실시 - 해당금융회사의기존계좌개설여부확인 39
3 심사 - 금융회사의가입자자격요건확인 - 가입자가전달한정보진위여부확인 - 거주지역및연봉정보, 연령등자격확인 - 신원정보확인 4 계좌개설 - 필요시추가인증실시 - 우편으로전달된접근코드입력및보안카드입력 5 종료 - 비대면인증종료및계좌개설완료 - 계좌개설완료 1 시작단계에서는가입하고자하는인터넷전문은행을선택하고비대면인증방식을선택한다. 미국의경우는정형화된비대면인증절차가규정하지아니하고금융회사의자율성을인정하고있다. 2 신청단계에서는해당인터넷전문은행의가입신청서를작성하여제출하고가입신청자의비대면인증을진행한다. 이때, 증명서류제출, 생체인증, 기존계좌개설여부등다양한방식이있을수있다. 3 심사단계에서는계좌개설을신청한이용자의신청정보와비대면디지털채널을통해실명확인을위한데이터가금융회사에전달되고, 금융회사는증명서류의진위여부와가입조건을만족하고있는지확인한다. 4 계좌개설단계에서는 2신청단계에이어필요한추가인증을실시하는데, 해외에서대표적으로실시하는추가인증방식으로우편확인을통한실명확인이있다. 5 종료단계에서는이용자가선택하였던비대면인증의모든단계가성공적으로종료후계좌가개설되면비대면인증절차를완료하게된다. 40
Ⅲ. 국내비대면인증현황 1. 국내비대면인증관련규제 국내에서는금융실명법및전자금융거래법에의해 2015년 5월이전까지직접대면을통한실명확인만이인정되었으며, 이로인해인터넷전문은행및비대면인증관련업무를수행할수없었다. 2015년 5월 18일금융위원회금융개혁회의를통해 계좌개설시실명확인방식합리화방안 이발표되면서비대면 (Non Face-To-Face) 인증을이용한실명확인방식이허용되었다. 기존의금융실명법및전자금융거래법에대한실무적확대해석을통해직접대면방식뿐만아니라, 비대면방식까지허용된것이다. 계좌개설시실명확인방식합리화방안 에서는해외비대면인증현황및사례를분석하고국내환경을고려하여해외비대면인증방식중정확도가높다고판단되는 5가지방식이우선허용하였으며, 각인증방식은 [ 표 2] 와같다. [ 표 2] 국내허용비대면인증방식 분류필수여부설명 실명확인증표사본제출 사진촬영및스캔후신분증진위확인서비스를이용하여확인 영상통화 고객과영상통화를실시하여신분증표사진과대조 접근매체전달시확인 기존계좌활용 필수 ( 택 2) 현금카드, 보안카드, OTP 등접근매체전달시실명확인수행 기존에금융거래에사용하던계좌를이용하여소액을이체하도록하여실명확인수행 기타이에준하는방법 지문인식, 정맥인증등바이오인증처럼필수인증기술에준하는신뢰도확보가가능한인증기술을적용 다수의개인정보검증 타기관확인결과활용 권고 고객이제공하는개인정보와신용정보사가보유한정보를대조하여실명확인수행 공인인증서, 핸드폰, 아이핀등타인증기관에서신분확인후발급된결과활용 자료 : 금융위원회, 계좌개설시실명확인방식합리화방안 41
금융회사에서는 [ 표 2] 에서 필수 로분류된비대면인증방식중 2가지를필수도입해야하며, 권고 로분류된방식중 1가지를추가도입할것을권고하고있다. 이에따라각금융회사에서는각인증기술의특징및장 단점을고려하여금융회사별환경에부합하는인증기술을선택하여적용할수있게되었다. 각비대면인증방식에대한장 단점은 [ 표 3] 과같다. [ 표 3] 필수비대면인증기술장 단점 분류장점단점 실명확인증표사본제출 실명증표를기반으로 PC 및스마트폰등을활용하여편리하게비대면인증진행가능 해당증표명의인과고객이일치하는지알기어렵고발급기관을통한진위확인이어려운증표 ( 여권등 ) 도있음 영상통화 영상을통해고객과증표를육안으로대조할수있으므로신뢰성이높음 성형등으로인해외모의변화가있을경우증표와고객의실제일치여부를판단하기어려울수있어추가인증및안면인식솔루션도입의필요성이제기되고있음 영상통화를통한고객확인진행을위한직원의필요로인해영업시간에만비대면인증을실시할수있는제약이발생 고객의영상장비보유필요 접근매체전달시확인 전달업체직원을통해대면확인이가능및가입자주소일치여부확인가능 실물전달에상대적으로오랜기간이필요 기존계좌활용 활용범위가넓으며적용이간단함 명의도용, 복수계좌개설등부작용가능성 기타이에준하는방법 바이오인증등신기술적용이가능함 안정성검증의어려움및허용범위선정의어려움존재 다수의개인정보검증 고객입장에서사용이간편하고금융회사적용이쉬움 개인정보관리ㅣ의어려움및사고유출시리스크존재 타기관확인결과활용 인증서, 휴대폰등이미사용되는기술을활용가능하므로편의성및범용성이높음 휴대폰분실등타인에게유출가능성존재 사고발생시책임소재분쟁이슈 자료 : 금융위원회, 계좌개설시실명확인방식합리화방안 42
2. 국내비대면인증적용현황 2016년 3월을기준으로은행및증권업계대부분에서는비대면인증을통한계좌개설이가능해졌으며, 대부분웹과모바일애플리케이션을이용한비대면인증방식을채택하고있다. 2015년 12월금융위원회는금융실명제도입이후대면방식으로시행되던실명확인을정부의핀테크산업활성화를위해복수의방법을통한비대면방식으로할수있도록허용했다. 그리고 2016년 2월 22일부터는제 2금융권으로확대적용했다. 금융위가제안한실명확인방식의유권해석은생체인증을추가로인정하고있다. 국내금융회사별비대면인증방식채택현황은 [ 표 4] 와같다. 비대면인증을적용한일부금융회사의데이터를살펴보면, 주로실명확인증표사본제출및기존계좌활용, 영상통화를사용하고있으며, SMS 및공인인증서등의타기관확인결과를추가로활용하고있었다. [ 표 4] 국내일부금융회사별비대면인증기술적용현황 비대면인증기술 분류 실명확인증표사본제출 영상통화 기존계좌활용 접근매체전달시확인 기타이에준하는방법 다수의개인정보검증 타기관확인결과활용 SMS 공인인증서 A 은행 B C D E A 증권 B C D E 43
3. 시사점 해외의비대면인증현황을살펴본결과, 유럽과일본의경우우편을통해신분증사본을금융회사에제출하거나, 실명확인후보안카드, OTP 등의접근매체를우편을통해가입자에게전달하는 접근매체전달시확인 방식을주로채택하고있었다. 반면, 우리나라의경우 [ 표 4] 와같이디지털채널을통한비대면인증방식을선호하고있으며, 이는인터넷및모바일뱅킹사용률이높은국내의특성을반영한결과로분석된다. 실제로, 한국은행의조사결과에따르면 2015년 3/4분기기준국내인터넷뱅킹서비스등록고객 ( 모바일뱅킹포함 ) 은 1억 1,529만명이며, 이용건수 ( 일평균 ) 는 7,766만건으로, 지속적으로증가하고있음을확인할수있다 ([ 그림 2], [ 그림 3]). 6) 현재국내금융회사에서새로이도입한비대면인증방식중대다수가디지털채널을기반으로하는이유도이러한국내환경이반영된것이라볼수있다. 따라서향후비대면인증도입예정인국내금융회사및설립진행중인인터넷전문은행또한디지털채널기반의비대면인증방식을주로활용것으로예상된다. [ 그림 2] 인터넷뱅킹이용실적추이 [ 그림 3] 인터넷뱅킹등록고객수추이 90,000 80,000 ( 단위 : 천건 ) ( 단위 : 천명 ) 인터넷뱅킹전체모바일뱅킹 PC 기반인터넷뱅킹인터넷뱅킹전체모바일뱅킹 PC 기반인터넷뱅킹 120,000 70,000 60,000 50,000 40,000 30,000 20,000 10,000 0 100,000 80,000 60,000 40,000 20,000 0 1/4 2/4 3/4 4/4 1/4 2/4 3/4 4/4 1/4 2/4 3/4 4/4 1/4 2/4 3/4 4/4 1/4 2/4 3/4 1/4 2/4 3/4 4/4 1/4 2/4 3/4 4/4 1/42/4 3/4 4/4 1/4 2/4 3/4 4/4 1/4 2/4 3/4 2011 2012 2013 2014 2015 2011 2012 2013 2014 2015 ( 일평균, 이용건수기준 ) 자료 : 한국은행, 2015 년 3/4 분기국내인터넷뱅킹서비스이용현황 44 6) 2015 년 3/4 분기국내인터넷뱅킹서비스이용현황, 한국은행, 2015.11.
Ⅳ. 비대면인증기술보안성확보방안 금융위원회의 계좌개설시실명확인방식합리화방안 에따르면비대면확인방식의실명확인정확도확보를위하여 2중확인을의무화하고, 다중확인 (Multi-Check) 을권고사항으로운영하도록하고있다. 7) 미국의 FFIEC의 인터넷뱅킹환경의인증가이드라인 에서도인터넷기반의환경에서보안을향상시키기위한방안으로다계층보안을사용할것을권고하고있다. 2중확인및다중확인을통한실명확인의정확도를확보하기위해서는각실명확인단계의올바른구현이전제되어야한다. 각비대면인증기술은구현상의오류, 잘못된설계및인증시스템의운영등으로인해우회의가능성이존재한다. 더욱이디지털채널기반의비대면인증은온라인에서이루어진다는특성상우회취약점이발견되면대량의대포통장개설등큰피해가발생할가능성이높기때문에각인증에대하여정확한구현이필요하다. 이를위해각비대면인증기술들을분석하여구현상의오류등으로인해발생할수있는취약점을도출하고, 이에대한조치방안과금융회사에서확인하기위한진단항목을제시하고자한다. 1. 비대면인증절차 해외의비대면인증계좌개설절차 ([ 표 1]) 와같이, 국내비대면인증계좌개설절차또한크게 5 단계 ( 시작, 신청, 심사, 계좌개설, 종료 ) 로구분할수있다. 금융회사는각단계중 신청단계 와 계좌개설단계 에서이용자인증을수행하게되고, 이를위해필수인증방식두가지와권고인증방식중한가지를선택해서진행해야한다. 이러한비대면인증절차를예를들어나타내면 [ 그림 4] 와같다. 7) 계좌개설시실명확인방식합리화방안, 금융위원회 2015.5. 45
[ 그림 4] 비대면인증계좌개설절차 신청단계심사단계계좌개설단계 시작 신청 신분증및입력정보심사 정보입력 계좌개설완료 YES 신청자격확인 심사승인여부 계정 / 비밀번호설정 YES NO 휴대폰인증 종료 기존계좌에서신규계좌로소액입금 휴대폰인증성공여부 입급정보확인 YES 신분증표제출 YES YES 접근매체등록 (OTP/ 보안카드 ) NO 신분증제출완료 YES 기존계좌검증 기존계좌검증완료 종료 46
2. 비대면인증기술별취약점분석 가. 실명확인증표사본제출 실명확인증표확인은일반적으로스마트폰을이용하여주민등록증혹은운전면허증등의실명확인증표를촬영한사본을제출하는방식으로이루어진다. 실명확인증표는주민등록번호, 주소, 지문등매우민감한개인정보가포함되어있기때문에촬영을한직후서버에저장후인증이완료되는순간까지취급에주의해야한다. 비대면인증진행중이용자의실명확인증표사본 ( 사진등 ) 이유출되어도용될경우 2차, 3차피해가발생할가능성이크기때문에각세부단계별검증이필요하다. 실명확인증표사본제출 방식의프로세스를예를들어나타내면 [ 그림 5] 와같다. 그리고웹애플리케이션기반의제출방식을이용할경우, 업로드하기위한실명확인증표의사본파일이유출될가능성이내포되어있으므로웹기반의실명확인증표사본제출은지양해야한다. [ 그림 5] 실명확인증표사본제출프로세스 1 실명확인증표사본제출 2 정보판독및사용자검증 3 네트워크전송 4 실명확인증표저장 1) 주민등록번호메모리정보노출 1 실명확인증표사본제출 과정에서실명확인증표에 OCR( 광학문자인식, Optical character recognition) 기술을적용하는경우가있다. 이러한정보판독과정에서주민등록 번호등실명확인증표에존재하는민감정보가메모리에저장되는경우, 공격자가메모리의 47
데이터에접근함으로써이용자의중요정보가유출될가능성이존재한다. 이를방지하기위해, 2 정보판독및사용자검증 과정에서주민등록번호사용후할당했던메모리를해제하거나 다른값으로덮어씌워메모리상에주민등록번호가남아있지않도록조치해야한다. 2) 악성앱호출가능성존재 또한, 1 실명확인증표사본제출 과정을모바일앱을통해진행하는경우실명확인증표촬영을위해금융앱에내장된촬영기능이아닌, 외부의촬영전용앱을호출하는경우가있다. 이러한경우공격자는촬영전용앱과동일한패키지명을가진악성앱을미리설치하여촬영앱호출시악성앱이실행되도록할수있다. 이러한악성행위를방지하기위해외부앱호출시앱의해시 (hash) 값확인, 위변조방지솔루션적용등과같은다양한방법이있다. 3) 메모리덤프후실명확인증표사진복원 스마트폰을사용하여실명확인증표사본을제출하는경우미리스캔한실명확인증표파일을제출하는방식이아닌카메라를사용해서즉시제출하여진행가능하다. 실명확인증표를촬영한직후에메모리상에는해당이미지가존재하며, 공격자는이메모리에접근하여촬영사진을복원할수있다. 이러한메모리사진복원공격을막기위해실명확인증표사진은반드시촬영즉시암호화하여보관및전송해야한다. 또한 3 네트워크전송 이완료된이후에는메모리내에서삭제하도록한다. 4) 캡처및백그라운드스크린샷을통한정보유출방지 1 실명확인증표사본제출 시사진촬영직후대부분의앱에서는확인을목적으로실명확인증표사진을화면에보여주는데, 이때캡처방지기능이적용되어있지않은경우화면캡처기능을통해신분확인증표가유출될수있다. 또한 ios의경우앱이백그라운드로진입시, 진입직전의화면을스크린샷으로저장하므로실명확인을진행중인화면의이미지파일이 snapshots 폴더에저장되어실명확인증표의이미지가유출될가능성이존재한다. 이를 48
방지하기위해화면캡처방지기능을적용하고, ios 의경우백그라운드진입시스냅샷화면을 교체혹은삭제해야한다. 5) 네트워크평문전송 실명확인증표사진및 OCR 로인식한실명확인증표상의개인정보를평문으로전송하는 경우네트워크상에서트래픽캡처등에의해유출될수있으므로 3 네트워크로전송 시반드시 SSL 등과같은통신구간암호화기술을적용해야하며, 중요정보는 E2E 적용을권장한다. 6) 타이용자신분확인증표노출 실명확인증표전송후이미지를보여주기위해 4 실명확인증표저장 과정에서서버의특정식별번호로실명증표이미지를로드하도록구현한경우식별번호파라미터변조를통해, 타이용자가업로드한실명증표이미지파일및정보가유출될수있다. 이를방지하기위해이용자가직접 URL을통해이미지에접근할수없도록해야하며, 업무상반드시필요한경우타이용자의신분증표가노출되지않도록이용자검증절차를수행해야한다. 또한비대면인증이완료된이용자의실명확인증표사본은일정기간이지나면반드시삭제해야한다. 7) 파일업로드기능을통한웹쉘업로드가능 이미지파일업로드시파일확장자검증을수행하지않는경우공격자는명령실행및파일열람등이가능한웹쉘 8) 을업로드하여서버를장악할수있다. 웹쉘이업로드되면공격자는웹페이지변조, 데이터베이스접근, 악성코드삽입등모든공격이가능하므로반드시업로드파일에대한확장자를검증하여, 이미지파일만업로드할수있도록해야한다. 화이트리스트기반으로허용하는파일확장자를정한뒤이외의확장자에대해서는업로드를차단해야한다. 또한업로드된파일은웹을통해직접접근이불가능하도록웹루트디렉터리보다상위디렉터리에저장하도록해야한다. 8) 공격자가원격에서웹서버에명령을수행할수있도록작성한웹스크립트 (asp, php, jsp, cgi 등 ) 파일 49
8) 대용량파일업로드를통한디스크자원고갈 이미지파일업로드시파일크기에대한제한을두지않는경우대용량의파일을지속적으로업로드하여서버의디스크자원낭비를유도할수있다. 서버의디스크를가득채워타이용자의정상적인이미지파일업로드가불가능하도록하여서비스거부공격을수행할수있다. 이를방지하기위해서버설정및업로드파일사이즈를서버측에서검증해야한다. 나. 영상통화 영상통화를이용한실명확인은금융회사직원이고객과영상통화를하면서육안및안면인식기술을통해제출한실명확인증표의사진과고객얼굴을대조하는방식이다. 이와같이영상통화방식은금융회사직원이직접고객을확인할수있어신뢰성이높다는것이가장큰장점이다. 하지만영상통화는금융회사영업시간에영상통화가가능한디바이스를보유한고객을대상으로담당직원이직접인증을진행해야한다는제약사항이존재하기때문에아직많은금융회사에서도입을하지않고있다. 하지만향후관련인프라가갖춰질경우강력한인증을수행할수있을것으로예상된다. 미국경우, 스마트폰에는영상통화가가능한카메라가부착되어있고, 음성통화가바로가능하다는장점으로인해스마트폰기반의영상통화방식이모바일뱅킹의인증방식으로채택이되고있다. 1) 영상통화전유의사항및진행절차안내 영상통화의경우기술적보안보다직원이영상통화를통해서본인여부를확인하는업무처리절차가중요하다. 따라서원활한업무처리를위해영상통화가진행되기이전에진행절차의안내를제공하는것이중요하다. 영상통화는는육안식별이가능해야하므로영상통화절차시얼굴식별에방해가되는모자, 선글라스등피해야하며, 얼굴이충분히보일수있는밝은장소에서진행되어야한다. 이러한최소한의요건을 [ 표 5] 과같이, 고객에게공지하여식별이용이한환경에서영상통화가진행될수있도록해야한다. 또한실명확인을위한영상통화시에는고객정보, 비밀번호등을묻지않음을사전에고객에게안내하여영상통화를가장한피싱 (Phishing) 을방지해야한다. 50
[ 표 5] 안내문구예시 영상통화시유의사항 - 영상통화시충분히밝은장소에서실시해야합니다. - 얼굴을가리는모자, 선글라스등으로인하여육안식별이어려운경우신청이거절될수있습니다. - 영상통화시절대 OTP, 비밀번호등의정보를묻지않습니다. 이러한정보를요구하는경우피싱일확률이높으니유의하시기바랍니다. - 실제소유여부와실명증표의실물여부를확인하기위해촬영한실명증표를영상으로추가확인을진행합니다. 영상통화에한정되지않지만일본의 Sony bank 홈페이지에는 [ 그림 6] 과같이이용자의 금융사기예방을위한보안강좌페이지가존재하며, 이를통해피싱등의사회공학적인공격을 예방하기위한안내문을공지하고있다. [ 그림 6] Sony bank 홈페이지의피싱방지안내 51
2) 영상통화실시중추가인증적용 영상통화자체로도강력한인증수단이지만, 보안수준향상을위해추가인증을실시해야한다. 이러한추가인증은다양한기술을토대로시도되고있는추세이다. Wells Fargo 은행의계좌개설앱인 CEO Mobile에서는주요거래이용시영상통화와함께생체인증의한종류인음성인증을추가로실시중이다. 또한, 신한은행에서도입한디지털키오스크 (Kiosk) 의경우에도생체인증중정맥인증을추가실시하고있다. 이밖에도기존의 ARS인증, PIN번호입력등의추가인증방식도고려해볼수있다. 3) 인증단계우회 영상통화이전에다른인증방식을이용하여 2채널인증을수행할경우에도성공유무를서버측에서확인하지않을경우, 2채널인증을우회할수있는취약점이존재한다. 영상통화도마찬가지로이러한인증의유무에대한검증을클라이언트측에서실시할경우, 스크립트조작, 액티비티호출, 뷰호출등의기술을이용하여인증의우회가가능하다. 따라서영상통화를통한이용자인증의성공여부를서버세션에저장을하고, 이용자가영상통화를통한인증을수행했는지검증해야한다. 다. 타기관확인결과활용 타기관확인결과를활용한실명확인방식은일반적으로사용되고있는휴대폰인증, 공인인증서, 아이핀등의다양한타기관인증수단을활용하는방식이다. 휴대폰기반인증은대부분 SMS인증방식을채택하고있으며, 가입자본인소유의휴대폰으로 4~6자리임의의숫자를발송하고이용자가인증번호를앱에서입력하는방식이다. 공인인증서인증은기존의금융거래에사용하던공인인증서를이용하여본인임을인증하는방식이다. 2015년 3월 8일 전자금융감독규정 개정안에따라, 전자금융거래에서공인인증서의사용의무가폐지되었지만공인인증서는여전히전자금융거래시인증수단으로다수의금융기관에서사용중이며, 기존방식을선호하는이용자의경우익숙한방식일수있다. 하지만대부분의이용자가인증서를보안이취약한 PC 하드디스크에저장하므로기존에공인인증서의문제점으로제기되었던인증서의안전한보관에대한문제점과함께, 공인 52
인증서를활용한인증절차구현의오류로인해인증과정을우회할수있는취약점이존재할 수있다. [ 그림 7] 타기관확인결과활용프로세스 1 식별정보입력 ( 휴대폰번호, 인증서, ipin 등 ) 2 식별정보전송 3 타기관인증 4 인증결과전송 5 인증결과저장 6 인증결과전달 1) 인증단계우회 일반적으로인증성공후 6 인증결과전달 과정을거쳐다음단계인증화면을호출하도록되어있으나, 동적디버깅툴을이용하거나스크립트코드를강제로실행하여다음단계화면을강제로호출할수있다. 또한 6 인증결과전달 단계를 Ajax로구현하여결과값만클라이언트에저장하고자바스크립트를통해성공유무를확인하는경우에도간단한스크립트조작을통해검증우회가가능하다. 이러한검증절차우회를방지하기위해서반드시각인증절차별로성공유무를서버세션에저장하고이전단계검증유무를확인해야한다. 2) 타이용자정보로인증가능 1 식별정보입력 단계에서휴대폰인증을위하여본인소유의휴대폰번호를입력한후 SMS 의인증번호를입력하도록되어있는경우본인소유가아닌타인의휴대폰번호를 입력하여인증을시도할수있다. 이때, 단순히인증번호만을검증하는경우우회가가능하다. 53
휴대폰인증시에는반드시인증을시도하는휴대폰번호가본인소유인지검증을수행하여야한다. 마찬가지로, 공인인증서의경우본인인증을위한인증서서명임에도불구하고단순히인증서비밀번호만확인하고전송된인증서내의정보와로그인혹은인증진행중인이용자와의일치여부를검증하지않는경우가존재한다. 이러한경우타이용자의공인인증서로서명하여본인인증을우회할수있다. 3) 식별정보네트워크노출 2 식별정보전송 단계에서휴대폰인증의경우인증번호요청을하면일반적으로서버측에서인증번호를생성및보관하여야하나, 구현상의실수로생성혹은검증과정을클라이언트에서수행하는경우인증문자가노출될가능성이존재한다. 인증정보를클라이언트에서생성하여서버로전송한뒤해당인증번호를 SMS로보내는방식으로잘못구현된경우, 2 식별정보전송 단계에서네트워크상에서노출된인증번호를확인하여실제 SMS를확인하지않고도인증에성공할수있다. 또한, 인증번호검증을클라이언트에서수행하기위해클라이언트로인증번호를전송해주는경우가있는데이러한경우에도클라이언트에서네트워크패킷을확인하여실제 SMS를확인하지않고도인증에성공할수있다. 4) 식별정보재사용 3 타기관인증 ~ 5 인증결과저장 단계에서발생할수있는취약점으로, 이용자에게입력받은식별정보를검증하는전반적인과정에서발생할수있다. 휴대폰인증의경우서버에서생성한인증문자는일반적으로유효기간과일련번호가존재한다. 대부분 3~4분의유효기간을가지고있으나간혹구현상의실수로인해이러한시간검증을하지않는경우이미사용되었거나유효기간이지난인증문자를재사용할수있다. 유효기간을설정하지않을경우무작위대입공격을통한인증번호획득등의공격이가능하기때문에유효기간이지난인증번호는사용할수없도록조치해야한다. 또한일련번호를조작하여기존에검증에성공했거나사용되지않았던일련번호로조작하여인증문자를재사용하여검증에성공할수있는가능성도있다. 공인인증서를활용하는경우중간자공격을통해암호화된인증서전송패킷을획득한후패킷을재전송하여인증에성공할수있다. 이를방지하기위해인증정보의일회성을검증하기 54
위한정보가필요하며고정된정보가아닌타임스탬프와같은일회성정보를추가하여인증 패킷의재사용을막을수있다. 5) 보안키패드및키보드보안미적용 공인인증서는일반금융거래및범용으로사용될수있으므로공인인증서를활용하여인증을수행하는경우비밀번호가노출되지않도록보호하는것이매우중요하다. 이를위해 OS에내장된키보드가아닌가상키패드와같은보안키패드를적용하거나키로깅 (key logging) 이어렵도록키보드보안모듈을적용해야한다. 라. 기존계좌활용 기존계좌를활용한인증은다른금융회사에서기존에사용중이던계좌를이용하여실명확인을수행하는것으로, 한번검증된계좌를이용하므로신뢰도와정확성이높다고볼수있다. 하지만이러한기존계좌활용방법역시구현상의오류등으로인해우회가능성이존재하므로기존계좌검증시발생할수있는취약점을사전에방지해야한다. [ 그림 8] 기존계좌를활용한검증프로세스 1 기존계좌입력 2 계좌정보전송 3 계좌소유주검증 4 인증결과전송 5 소액계좌이체 55
1) 타이용자계좌입력 1 기존계좌입력 단계에서입력된계좌가본인소유의계좌인지검증하는절차가미비한경우타이용자의계좌를입력했음에도불구하고검증을통과하여진행될수있다. 또한구현상의실수로계좌가존재하는지여부만검증하는경우에도우회의가능성이존재한다. 그러므로반드시비대면인증을진행하는대상자와이용자에게입력받은계좌소유주의일치여부를검증해야한다. 2) 검증단계우회 일반적으로기존계좌입력및검증성공후다음단계화면을호출하도록되어있으나, 동적디버깅툴을이용하거나스크립트코드를강제로실행하여다음단계화면을강제로호출할수있으며이를이용하여 1~4 단계의검증절차가우회될수있다. 이러한검증절차우회를방지하기위해서반드시각인증절차별로성공유무를서버세션에저장하고이전단계검증유무를확인해야한다. 3) 이체시본인계좌검증미비 5 소액계좌이체 단계는미리입력한본인의계좌에서소액을지정계좌로이체하여본인임을검증하는것이지만입금계좌검증을수행하지않는경우, 이체직전계좌번호를변조하여입력했던계좌번호가아닌다른이용자의계좌로입금을하여인증을우회할수있다. 계좌이체검증시반드시비대면인증과정을진행하는이용자본인소유이며미리입력된계좌임을검증해야한다. 마. 기타이에준하는방법 지금까지알아본비대면인증방식중에서 기타이에준하는방법 ( 생체인증 ) 을의무 사항중의선택가능한방안으로권고하고있다. 이중 생체인증 은지문, 얼굴, 홍채, 정맥 등의개인고유의생체정보를기반으로개인을식별하는방식이다. 최근해외에서는모바일 56
디바이스의발달로디바이스에서지원하는지문인식, 카메라를활용한얼굴인식등의생체인증기술을적용한인증방식을적용하는금융회사가늘어나는추세이다. 국내에서는생체인증을적용한모바일앱은아직소개되지않았지만, 높은스마트폰보급율과모바일뱅킹의이용빈도가증가하고있기때문에국내에서도생체인증을채택하는금융회사가곧등장할것으로예상된다. 1) 생체인증시추가인증적용 생체인증은다른인증기반보다신뢰도가높지만, 생체정보의조작사례가과거존재하였다. 독일의해커단체 CCC는독일국방부장관의기자회견사진등을이용해서 VeriFinger 소프트웨어를이용한지문복제를시연했으며, 또한러시아대통령푸틴의고해상도사진을출력하여홍채를복제하는 Print attack을선보였다. 생체인증자체로신뢰도가높지만이를우회하기위한방법이존재하기때문에추가인증을도입해야한다. 해외의생체인증도입사례를살펴보면, 미국의보험사 USAA는안면, 음성, Touch ID(Apple의지문인식솔루션 ) 인증을실시하고있으며, HSBC 은행에서는음성, Touch ID를이용한인증을실시하고있다. 2) 생체정보의안전한저장 생체정보는고유성과시간이지나도변하지않는불변성의특징이존재하기때문에, 유출 되었을경우지속적인악용이가능한단점이존재한다. 따라서생체정보의유출을방지하기 위해암호화저장, 보관및이용자를알수있는정보와논리적물리적분리가필요하다. 9) 바. 다수의개인정보검증 다수의개인정보검증은이름, 휴대폰번호, 주민등록번호등이용자에게다수의개인정보를 입력받고신용정보를가진기관을통해비교하여실명확인을수행하는방식이다. 이용자가 9) 바이오정보사고사례및대응방안조사, 금융보안원보안연구부, 2016.3. 57
이미알고있는본인의개인정보를입력하는방식이므로쉽고편리하나개인정보의특성상 유출되었을시위험도가크다는단점이존재한다. 따라서검증에필요한최소한의개인정보의 수집을실시해야한다. 1) 인증단계우회 다른인증방식과동일하게, 동적디버깅툴을이용하거나스크립트코드를강제로실행하여다음단계화면을강제로호출할수있으며이를이용하여검증절차가우회될수있는가능성이존재한다. 이러한검증절차우회를방지하기위해서반드시각인증절차별로성공유무를서버세션에저장하고이전단계검증유무를확인해야한다. 2) 타이용자개인정보를이용한우회 단순히입력된이용자가존재하는지여부만을검증하는경우다른이용자의개인정보를 입력하여인증에성공할수있다. 이를방지하기위해입력받은이용자의개인정보가비대면 인증을수행중인이용자의정보인지검증해야한다. 3) 개인정보네트워크노출 주민등록번호, 휴대폰번호등개인정보의경우유출되었을경우이용자의명의도용등다양한추가피해가발생할수있으므로민감한개인정보를입력받는경우반드시암호화하여전송해야한다. 평문으로전송하는경우네트워크패킷캡처등을통해개인정보가유출될수있다. 또한개인정보를저장해야할필요가있는경우개인정보보호법을준수하도록안전한암호화방식을적용하여저장해야한다. 58
4) 개인정보검증누락 다수의개인정보를입력받아검증을수행하는경우구현상의오류로일부의항목을누락하여 전송하여도인증에성공할수있으므로입력받은개인정보의모든항목에대하여검증을 수행하여야한다. 3. 비대면인증기술체크리스트 지금까지디지털채널을기반으로하는비대면인증시진단항목들을정리하였다. 국내금융회사들이디지털채널을통한비대면인증방식의도입을선호하고있으며, 접근매체전달방식은실명확인소요시간이상대적으로오래걸리며비용문제등으로인하여도입이많이이루어지지않고있다, 이러한단점에대한충분한논의가이루어진이후접근매체전달방식에대한향후도입을고려할수있지만, 본고에서현재적용사례를확인하지못하여접근매체전달방식을제외하고진단항목을정리하였고, 다음 [ 표 6] 과같다. [ 표 6] 비대면인증기술체크리스트 분류취약점설명 주민등록번호메모리정보노출 메모리에주민등록번호노출 악성앱호출가능성존재 촬영용외부패키지와동일한패키지명의악성앱호출가능 실명확인증표사본제출 메모리덤프후실명확인증표사진복원 캡처및백그라운드스크린샷을통한정보유출방지 실명증표촬영후메모리덤프를통해실명증표복원가능 캡처및백그라운드스크린샷을통해화면정보유출가능 네트워크평문전송 실명증표및관련정보전송시평문전송 타사용자신분증표노출 파라미터변조를통해타사용자의신분증표조회가능 59
분류취약점설명 실명확인증표사본제출 파일업로드기능을통한악성파일업로드가능 대용량파일업로드를통한디스크자원고갈 업로드가능확장자검증미실시로웹쉘등악성파일업로드가능 파일업로드사이즈제한미비로대용량파일업로드를통하여서비스거부공격가능 화상통화전유의사항및가이드라인제공 피싱예방을위한유의사항및가이드라인미제공 영상통화 화상통화실시중추가인증적용 화상통화중추가인증수단미적용 인증단계우회 스크립트및동적디버깅툴을이용한인증단계우회가능 타사용자정보로인증가능 타사용자의식별정보를입력하여인증가능 인증단계우회 스크립트및동적디버깅툴을이용한인증단계우회가능 타기관확인결과활용 식별정보네트워크노출 중요식별정보가평문으로전송되거나불필요하게네트워크로전송 식별정보재사용 식별정보및패킷을재사용하여인증가능 보안키패드및키보드보안미적용 키로거등에의해비밀번호등중요정보노출가능 타사용자계좌입력 타사용자의계좌를이용하여인증가능 기존계좌활용 검증단계우회 스크립트및동적디버깅툴을이용한인증단계우회가능 이체시본인계좌검증미비 미리입력된계좌가아닌타사용자의계좌로이체인증가능 60
분류취약점설명 기타이에준하는방법 생체인증시추가인증적용 바이오정보의안전한저장 생체인증시추가인증미실시 바이오정보의암호화저장미실시 인증단계우회 스크립트및동적디버깅툴을이용한인증단계우회가능 다수의개인정보검증 타사용자개인정보를이용한우회 개인정보네트워크노출 타사용자의개인정보를이용한인증가능 중요개인정보네트워크평문전송 개인정보검증누락 일부개인정보누락해도인증에성공 61
Ⅴ. 결론 금융거래를위한계좌개설시실명확인은 금융거래실명거래및비밀보장에관한법률 ( 약칭금융실명법 ) 에따라실지명의 ( 實地名義 ) 에의한금융거래를실시하고그비밀을보장하여금융거래의정상화를꾀하고자함에있다. 기존에는금융서비스이용을위해실지명의 ( 이름, 주민번호 ) 확인이주로대면을통한실명확인을통해계좌가개설하는관행이속되었던것이사실이다. 하지만핀테크등금융 IT분야의발달이라는기술개발추세에따라비대면방식을다양하게활용하고자하는글로벌동향과이에부합하는규제개선이이루어짐에따라, 바이오인증기술, 스마트폰등디지털채널, 증명서류 ( 실명증표사본등 ) 와같은다양한비대면채널을통한계좌개설이가능해졌고그비중이높아지는추세이다. 특히스마트폰이용자수의증가에따라모바일애플리케이션을활용한비대면인증을통한계좌개설의비중이증가하고있다. 모바일기반의비대면인증기술의발달은기존금융회사의영업방식등에있어많은변화를가져올것으로예상된다. 20여년넘게지속되었던금융관행의변경에따른실무혼선등부작용을최소화하고이로인한위협에대응하기위해서는그어떤것보다보안이우선되어야한다. 다가올온라인및모바일환경의전자금융서비스의실명인증정확성을향상시키기위해국내에서도 2중확인을의무화하고, 다중확인 (Multi-Check) 등정확한실명인증을수행하기위해다중인증권고하고있으나, 각실명확인절차의정확한구현이전제되어야목적을달성할수있다. 각각의인증절차별로기술적, 관리적우회가능성을제거하고확실한실명확인을통해안전한금융서비스를제공해야한다. 국내인터넷전문은행의등장과함께, 기존금융회사들또한새로운패러다임에대응하기위해빠른속도로경쟁에돌입하고있다. 자칫시장을선점하기위한과도한경쟁으로인해, 실명확인절차의안전성에소홀할경우금융회사에피해가발생할수있다. 본고에서알아본비대면인증과정에서발생할수있는취약점을사전에파악하여안전한비대면인증절차구현에기여할수있길바란다. 62
< 참고문헌 > [1] 2015년 3/4분기국내인터넷뱅킹서비스이용현황, 한국은행, 2015.11. [2] Digital Banking report, Javelin. 2015.9, [3] Authentication in an Internet Banking Environment, FFIEC, 2011.6. [4] 한국형인터넷전문은행도입방안, 한국금융연구원, 2015.4. [5] 계좌개설시실명확인방식합리화방안, 금융위원회 2015.5. [6] 바이오정보사고사례및대응방안조사, 금융보안원보안연구부, 2016.3. 63