AR - Ⅵ - 2015-1 - 15 제4호 2016-02 전자금융과 금융보안 E-FINANCE AND FINANCIAL SECURITY Research 금융권 모바일 보안기능 현황과 전망 금융회사의 안전한 비대면 인증을 위한 연구 금융권의 웨어러블 기기 활용 및 보안 동향 Trend 머신러닝(Machine Learning) 개요 및 활용 동향 바이오정보 사고사례 및 대응방안 조사 핀테크 환경에서 금융권 특허 동향
본 연구지에 게재된 내용은 금융보안원의 공식 견해가 아니며 연구자 개개인의 견해임을 밝힙니다. 본 연구지 내용의 무단전재를 금하며, 가공 인용할 때에는 반드시 출처 및 집필자를 명시하여 주시기 바랍니다. 인터넷 홈페이지(www.fsec.or.kr)를 이용하시면 본 연구지에 게재된 자료를 보다 편리하게 보실 수 있습니다.
AR - Ⅵ - 2015-1 - 15 제4호 2016-02 전자금융과 금융보안 E-FINANCE AND FINANCIAL SECURITY Research 금융권 모바일 보안기능 현황과 전망 금융회사의 안전한 비대면 인증을 위한 연구 금융권의 웨어러블 기기 활용 및 보안 동향 Trend 머신러닝(Machine Learning) 개요 및 활용 동향 바이오정보 사고사례 및 대응방안 조사 핀테크 환경에서 금융권 특허 동향
Contents Research 금융권 모바일 보안기능 현황과 전망 3 금융회사의 안전한 비대면 인증을 위한 연구 33 금융권의 웨어러블 기기 활용 및 보안 동향 65 Trend 머신러닝(Machine Learning) 개요 및 활용 동향 107 바이오정보 사고사례 및 대응방안 조사 117 핀테크 환경에서 금융권 특허 동향 127
Research 금융권 모바일 보안기능 현황과 전망 금융회사의 안전한 비대면 인증을 위한 연구 금융권의 웨어러블 기기 활용 및 보안 동향
금융권 모바일 보안기능 현황과 전망 조 현 호* Ⅰ. 서 론 5 Ⅱ. 금융권 모바일 기반 서비스 현황 6 1. 금융업권별 서비스에 따른 분류 6 2. 기기 형태에 따른 분류 9 3. 운영체제에 따른 분류 11 4. 구현 형태에 따른 분류 14 Ⅲ. 금융권 모바일 보안 위협 16 1. 악성코드 16 2. 플랫폼 해킹 17 3. 앱 위변조 18 4. 역공학 19 5. 입력값 탈취 20 6. 메모리 해킹 21 Ⅳ. 모바일 보안 기능 발전 현황 22 1. 위협 예방 22 2. 앱 보호 25 3. 인증 보안 27 4. 데이터 보호 29 Ⅴ. 향후 전망 30 Ⅵ. 결 론 31 <참고문헌> 32 * 금융보안원 보안연구부 보안기술팀 (e-mail : hhcho@fsec.or.kr) 전자금융과 금융보안 2016. 4. 3
요 약 스마트폰 이용의 급격한 증가로 인해, 최근 몇 년간 모바일 애플리케이션 시장이 빠르게 성장하였다. 많은 금융회사들이 PC 기반으로 제공하던 기존 서비스들을 앞다투어 모바일에서도 이용할 수 있도록 출시하여 현재는 대부분의 서비스를 모바일로 이용하고 있다. 모바일 보안 위협은 악성코드, 플랫폼 해킹, 앱 위변조, 역공학 등 다양한 형태로 존재하며 기존 PC 기반의 보안 위협이 모바일에서 동일하게 발생하고 있다. 특히 모바일 기기는 전원이 항상 켜져 있고 민감한 정보가 많이 저장되어 있기 때문에 보안 위협은 지속적으로 증가하고 있다. 모바일 보안 기능은 위협 예방을 위한 백신, 플랫폼 해킹 탐지, 앱 보호를 위한 역공학 방지, 앱 위변조 방지 등 이용자의 안전한 모바일 기반 서비스 이용을 위해 나날이 발전 하고 있다. 하지만 향후 운영체제 및 서비스 다양화로 보안 위협이 계속 증가할 것이며, 이에 대응하기 위해 보안 기능이 담당하는 역할도 더욱 커질 것이다. 다양한 모바일 기반 서비스가 출시되고 보안 위협이 증가하고 있으며, 그로 인해 사고 발생의 위협도 높아지고 있다. 보안사고가 발생하면 고객의 금전적인 피해 및 금융회사의 이미지 실추 등 관련된 모두에게 부정적인 영향이 발생하기 때문에 보안사고가 발생하지 않도록 금융회사 및 이용자의 다양한 활동을 통해 보안 수준이 높아져야 할 것이다. 4
금융권 모바일 보안기능 현황과 전망 Ⅰ. 서 론 스마트폰 이용의 급격한 증가로 인해, 최근 몇 년간 모바일 애플리케이션 시장이 빠르게 성장하였다. 미래창조과학부의 무선통신가입자 현황에 따르면 2016년 1월 기준 이동전화 가입자는 5,900만 명에 달하고 있어, 국민 한명 당 1개 또는 2개 이상의 모바일 기기를 소유하고 있는 것으로 나타났다. 이러한 폭발적인 이용자 증가로, 많은 금융회사들이 PC 기반으로 제공하던 기존 서비스들을 앞 다투어 모바일에서도 이용할 수 있도록 출시하여 이용자 확보를 위해 노력한 결과, 현재는 기존 PC 기반 서비스 대부분을 모바일로도 이용할 수 있게 되었으며, 최근에는 모바일 전용 서비스도 출시되고 있다. 모바일 기기는 24시간 전원이 켜져 있고 연락처, 문자, 메신저 대화, 사진 등 개인적인 정보가 다양하기 때문에 악성코드 감염으로 인한 피해가 상당한 수준이다. 특히 비밀번호나 보안카드를 촬영하여 저장하는 사용자 부주의로 인한 금융 정보의 유출은 다른 개인 정보에 비해서 직접적인 금전손실이 즉시 발생할 수 있기 때문에 각별한 주의가 필요하다. 이처럼 이용자 증가와 함께 보안 위협 또한 증가함에 따라 위협에 대응하기 위해 다양한 보안 기능이 출시되었다. 악성코드 위협에 대응하기 위한 모바일 백신이나 임의로 기존 앱을 변조하여 금융 정보를 탈취하는 위협에 대응하기 위한 앱 위 변조 방지 기능 등 다양한 보안 기능들이 이용자의 안전한 모바일 금융 서비스 이용을 위해 적용되고 있다. 이에 본고에서는 ios 및 안드로이드를 중심으로 금융권 모바일 기반 서비스 현황과 보안 위협, 이에 대응하기 위한 다양한 보안 기능에 대해 설명한다. 그리고 모바일 보안 기능의 향후 전망에 대해 알아보고자 한다. 전자금융과 금융보안 2016. 4. 5
Ⅱ. 금융권 모바일 기반 서비스 현황 1. 금융업권별 서비스에 따른 분류 가. 은행 은행권역의 대표적인 모바일 기반 서비스는 모바일 뱅킹을 꼽을 수 있다. 2009년 12월 아이폰용 모바일 뱅킹이 가장 먼저 출시되었으며, 안드로이드용 모바일 뱅킹이 뒤이어 출시되었다. 많은 은행들이 자사의 모바일 뱅킹 서비스를 출시하여, 모바일 뱅킹 이용자가 급격히 증가하는 계기가 되었다. 한국은행의 2015년 3분기 국내 인터넷뱅킹서비스 이용 현황 에 따르면, 모바일 뱅킹 이용자가 6,000만 명을 돌파하는 등 모바일 기반 서비스 중에서 가장 많은 이용자 규모를 이루고 있다. [그림 1] 스마트폰 기반 모바일 뱅킹 등록 고객수 추이 70,000 60,000 50,000 40,000 30,000 20,000 10,000 0 2013 1Q 2013 2Q 2013 3Q 2013 4Q 2014 1Q 2014 2Q 2014 3Q 2014 4Q 2015 1Q 2015 2Q 2015 3Q 자료 : 한국은행 모바일 뱅킹 이용자는 지속적으로 증가하고 있으며, 서비스 형태 또한 조회. 이체 등 단순 거래 위주의 서비스를 넘어 재무설계, 상품 추천 등 고객 맞춤형 서비스로 성장하고 있다. 6
금융권 모바일 보안기능 현황과 전망 나. 증권 증권권역의 대표적인 모바일 기반 서비스는 모바일 트레이딩 시스템(Mobile Trading System, 이하 MTS)이다. HTS(Home Trading System)는 회사나 집의 컴퓨터에 설치하여 이용하기 때문에 장소적 제약이 존재하는 반면, MTS는 이러한 제약 없이 서비스를 이용할 수 있기 때문에 시급성이 가장 중요한 주식 거래에서 MTS 이용자는 지속적으로 증가하고 있다. 실제 MTS에 의한 주식거래 비중은 스마트폰 보급 초창기인 2010년 3%대에서 2014년 20%대로 급증했다. 최초의 MTS 출시로는 2010년 1월 아이폰용 MTS 어플리케이션 이었으며, 현재는 증권업계의 필수적인 서비스로 자리 잡았다. [그림 2] HTS, MTS 이용자 증감 추이 100% MTS HTS 80% 60% 40% 20% 0% 2010년 2011년 2012년 2013년 2014년 자료 : 한국거래소 다. 카드 카드권역은 자신의 카드 이용내역을 조회할 수 있는 고객센터, 간편결제를 위한 모바일 신용카드(앱카드), 다양한 카드를 관리할 수 있는 모바일 월렛 등을 출시하여 서비스하고 있다. 특히 간편결제는 공인인증서 또는 카드정보 입력 등 기존에 불편했던 결제 방법을 개선하여 결제 비밀번호, 보안패턴, 그래픽 인증 등 다양한 방법으로 간단하게 인증을 수행하여 전자금융과 금융보안 2016. 4. 7
결제를 할 수 있는 서비스이다. 최근 몇 년 사이 전자상거래 시 불편했던 결제 시스템을 대체하기 위해 카드사를 포함하여 통신사, PG(Payment Gate) 사 등이 경쟁적으로 출시하고 있으며 많은 서비스들이 모바일 기기를 기반으로 하고 있다. [그림 3] 앱카드 서비스 라. 보험 8 보험권역도 모바일 기기를 이용하여 보험에 가입하거나 상품 조회, 보험 청구 등 대부분의 PC 기반 서비스들을 모바일로 구현하여 서비스하고 있다. 초기에는 자신의 계약 정보를 조회하는 수준에 불과하였지만, 현재는 모바일에서 보험 상품을 조회하고 가입하는 등 업무 범위가 다양해지고 있다. 또한, 모바일영업지원시스템을 구축하여 보험계약을 전자문서로 처리하는 등 모바일 기기를 활용하여 업무 프로세스를 단축하고 비용을 절감하는 효과를 거두고 있다.
금융권 모바일 보안기능 현황과 전망 2. 기기 형태에 따른 분류 가. 스마트폰 최근 몇 년간 모바일 기반 전자금융서비스가 생기고 발전하게 된 계기는 스마트폰 이용자의 폭발적인 증가라고 해도 과언이 아니다. 그래서 모바일 기반 전자금융 서비스는 대부분 스마트폰을 중심으로 먼저 제공되고 있다. 스마트폰을 이용하여 자금 이체, 주식 거래 등 금융 서비스를 언제 어디서나 이용할 수 있게 되었고, 최근에는 스마트폰에 내장된 지문인증 센서를 이용하여 본인인증을 하거나 스마트 OTP와 같이 기존 보안 매체가 스마트폰으로도 대체되고 있다. [그림 4] 스마트폰 기반 전자금융 서비스 나. 태블릿PC 태블릿PC는 대형화면을 가진다는 점에서 스마트폰과 다르지만 탑재되는 운영체제나 내부 구조는 기본적으로 동일하다. 그러나 기존 스마트폰 기반으로 구현된 모바일 뱅킹, 모바일 전자금융과 금융보안 2016. 4. 9
트레이딩 시스템의 가독성과 시인성을 위해 태블릿 전용으로 많이 개발하고 있다. 특히, 금융권에서는 태블릿 PC를 ODS(Out Door Sales)를 위해 현재 활용하고 있으며 태블릿 PC가 시스템의 기반이 되고 있다. 또한, 계좌를 개설하거나 대출, 펀드와 같은 금융서비스 가입을 위해 고객이 영업점에 방문하지 않더라도 영업직원이 직접 방문하여 업무를 처리할 수 있다. 전자문서시스템 구축을 통해 보험 계약 시 금융회사 직원이 태블릿PC를 이용하여 계약서 작성 및 고객의 서명을 전자적으로 처리함으로써 업무 효율성을 높이고 있다. [그림 5] 태블릿PC 기반 전자금융 서비스 다. 스마트워치 최근 스마트워치 이용자의 증가로 일부 은행, 증권에서도 스마트 워치 기반의 전자금융 서비스를 제공하고 있다. 다만 잔액, 거래내역 조회 기능만 제공하거나 이체 시 최대 송금 금액을 제한하여 제공하는 등 스마트폰, 태블릿 기반 서비스와는 차이점이 있다. 은행에서 출시한 NH워치뱅킹, 우리워치뱅킹은 스마트워치에서 공인인증서나 보안카드 없이 핀번호만으로 송금하거나 워치 뱅킹을 이용해 ATM 출금 서비스를 이용하는 등 웨어러블 기기의 특징을 활용한 서비스를 제공하고 있다. 일부 증권사에서도 종목, 시세 조회, 입출금 알람 등을 스마트워치를 통해 이용할 수 있는 서비스를 제공하고 있다. 10
금융권 모바일 보안기능 현황과 전망 [그림 6] 스마트워치 기반 전자금융 서비스 3. 운영체제에 따른 분류 가. 안드로이드 구글의 안드로이드는 리눅스(Linux) 커널을 기반으로 만들어져 있으며 소스 코드가 공개되어 있는 개방형 운영체제이다. 금융 앱을 안드로이드용으로 개발하는 경우 구글 플레이스토어 또는 통신사가 제공하는 앱 스토어에 등록하여 배포한다. 그러나 일부 금융회사는 앱 스토어에 등록하지 않고 자체 홈페이지를 통해 직접 배포하는 경우도 있다. 안드로이드 운영체제의 업데이트가 매년 발생하기 때문에 기술의 변화가 빠르다는 것이 이용자 입장에서는 장점으로 볼 수 있지만 금융회사는 제공 중인 서비스를 운영체제의 변화에 맞춰야 하기 때문에 부담도 적지 않다. 전자금융과 금융보안 2016. 4. 11
[표 1] 안드로이드 운영체제 버전별 특징 로고 발표일 코드네임 버전 특징 2009.4.30 Cupcake 1.5 가상 키보드, 라이브 폴더, 음성 인식 지원, 풀 스크린 위젯, 홈 스크린 기능이 추가 2009.9.15 Donut 1.6 WVGA 등 다양한 스크린 사이즈가 지원 Text-To-Speech 엔진 기능 추가 통합 검색 기능이 추가 2009.10.26 Eclair 2.0~2.1 여러 개의 구글 계정을 동시에 등록하여 사용 블루투스 2.1, 멀티터치 지원 HTML5를 지원하며 카메라 지원 기능과 멀티미디어 재생 기능이 향상 2010.5.20 Froyo 2.2 앱 속도 개선, 메모리 관리 개선 2010.12.6 Gingerbread 2.3 NFC 지원, 배터리 성능 강화 오디오 믹싱 지원, 복합 카메라 지원 등 2011.2.24 Honey Comb 3.0~3.2 태블릿 전용 버전 2011.10.19 Icecream sandwich 4.0 안면해제 잠금 해제 기능 탑재 Adobe Flash Player 제한 2012.6.28 JellyBean 4.1~4.3 프로젝트 버터 적용(화면 움직임 개선) HTML5와 자바스크립트 성능이 향상 2013.10.31 KitKat 4.4 ART(Android RunTime) 기능 추가 클라우드 프린팅 지원 12
금융권 모바일 보안기능 현황과 전망 2014.10.16 Lollipop 5.0~5.1 달빅 캐시(Dalvik cache)를 ART(Android RunTime)으로 완전히 변경 64비트 CPU 지원 삼성 녹스(Knox) 적용 2015.10.6 Marshmallow 6.0 앱 권한 설정 가능 안드로이드 페이 기능 추가 메모리 관리 기능 향상 자료 : 위키피디아 나. ios 애플의 ios는 다윈(Darwin) 커널 기반으로 만들어져 있다. ios는 소스 코드가 공개되어 있지 않는 폐쇄형 구조를 가지고 있고, 현재는 ios 9 까지 공개되어 있다. ios 앱의 경우 애플에서 제공하는 앱 스토어를 통해서만 배포가 가능하다. 특히 앱 스토어 심사가 까다롭기 때문에 앱 업데이트가 안드로이드에 비해 오래 걸린다는 단점이 있다. 다만 기업 내부에서 사용하는 용도로 앱을 개발하는 경우 별도의 기업용 인증서를 이용하여 URL 등을 통해 직접 배포가 가능하다. 까다로운 앱 심사를 통해 애플 앱 스토어에서 배포되는 앱은 안드로이드에 비해 악성코드와 같은 위협에 비교적 안전한 것으로 알려져 있다. [표 2] ios 운영체제 버전별 특징 버전 발표일 특징 ios 3 2009년 6월 17일 앱 권한 설정 가능 안드로이드 페이 기능 추가 ios 4 2010년 6월 1일 멀티태스킹 및 패스트 앱 스위칭 ios 5 ios 6 ios 7 ios 8 ios 9 2011년 10월 12일 2012년 9월 20일 2013년 6월 12일 2014년 9월 17일 2015년 6월 9일 icloud, imessage 기능 추가 카메라 앱 개선 Siri 한국어지원 페이스북 기본탑재 전체적인 UI 변경 멀티태스킹 강화 애플페이 기능 추가 앱 스토어 구매시 추가 승인기능 추가 Siri 기능 개선 보안 기능 향상 전자금융과 금융보안 2016. 4. 13
4. 구현 형태에 따른 분류 가. 네이티브 앱 네이티브 앱이란 특정 플랫폼에 맞게 작성된 앱을 말하며 안드로이드의 경우 Java, ios의 경우 Objective-C 언어로 개발된 앱이 이에 해당한다. 네이티브 앱으로 개발되면 실행 속도가 빠르고 안정적이며 NFC, Bluetooth, GPS 등 하드웨어 제어가 용이하여 단말기에 있는 모든 기능을 활용할 수 있다는 장점이 있다. 그러나 네이티브 앱을 업데이트해야 하는 경우 앱을 다시 다운로드 받아서 설치해야 한다는 불편함이 있다. 나. 웹 앱 웹 앱이란 크롬, 사파리 등 모바일 웹 브라우저 상에서 동작하도록 구현된 형태를 말한다. 웹 브라우저에서 동작하기 때문에 HTML, 자바스크립트, CSS 등을 이용하여 구현되며, 개발 속도가 빠르고 업데이트 시 서버 측에서만 반영하면 되기 때문에 업데이트가 용이하다는 장점이 있다. 그러나 웹 앱으로 구현되는 경우 카메라, 블루투스 등 단말기 하드웨어에 대한 제어가 불가능하다는 단점이 있다. 다. 하이브리드 앱 하이브리드 앱이란 네이티브 앱과, 웹 앱 구현 방식을 결합한 형태로 말한다. 하이브리드 앱 형태의 경우, 금융 서비스 구현 시 단순 정보제공(공지사항, 도움말 등) 기능은 웹으로 구현하고 중요 기능(조회, 이체 등)은 네이티브 앱 형태로 구현하여 개발 기간과 비용을 단축 시킬 수 있다. 14
금융권 모바일 보안기능 현황과 전망 [표 3] 구현 형태별 장단점 및 특징 구분 네이티브 앱 웹 앱 하이브리드 앱 장점 구동속도가 빠름 가장 동적으로 표현 가능 인터넷 연결 없이도 사용 가능 개발기간이 짧음 업데이트가 용이함 운영체제와 무관하게 브라우저로 접근 구동속도는 중간 필수적인 요소만으로 개발 가능 동적인 데이터는 실시간 통신 단점 개발 기간, 비용이 상대적으로 높음 앱 스토어를 통해 배포해야 함 각기 다른 운영체제로 개발해 야함 인터넷 접속으로 구동이 느림 단말기의 특정기능 사용불가 (GPS, 카메라, 센터 등) 자체 사이트만 지원하므로 타 사이트 브라우징 불가능 네비게이션 설계 잘못시, 사용자 불편함 증가 특징 빠른 구동속도 및 스마트폰에 최적화 된 앱 개발 가능 웹 브라우징을 통한 높은 접근성 별도의 설치과정 없이 사용 네이티브 앱과 웹 앱의 장점을 수용 전자금융과 금융보안 2016. 4. 15
Ⅲ. 금융권 모바일 보안 위협 1. 악성코드 악성코드는 모바일뿐만 아니라 PC, 서버 등 프로그램이 설치될 수 있는 기기라면 어디든지 감염될 수 있다. 하지만 모바일 기기는 언제나 항상 켜져 있는 상태로 네트워크에 연결되어 있는 특성 때문에, 악성코드에 의해 24시간 개인의 사생활이 노출되거나, 좀비 스마트폰이 되어 DDoS 공격에 이용되는 등 PC 기반 악성코드보다 그 피해가 더 치명적일 수 있다. 모바일 기반 악성코드가 급격하게 증가하는 주된 이유는 모바일 플랫폼이 개방된 운영체제에서 누구나 쉽게 앱을 제작하여 배포할 수 있고, 외부에서 접속할 수 있는 방식이 다양화되었기 때문이다. 안랩(Ahnlab)에 따르면 모바일 기기가 악성코드에 감염되는 주요 경로는 1 유용한 S/W로 위장해 온라인 마켓 통해 악성코드 유포 2 이동저장장치 이용(메모리카드 또는 PC와 스마트폰의 직접 연결을 통한 상호 감염) 3 테더링(Tethering) 사용자 증가에 따른 감염 (블루투스 등을 통한 통신 기능을 이용한 악성코드 유포) 4 웹 브라우저 취약점 이용 (브라우저의 취약점을 공격해 악성코드 감염 시도) 5 Wi-Fi 등 네트워크의 취약점을 통해 특수하게 조작된 패킷 전송이 있다. [그림 7] 2015 모바일 뱅킹 악성코드 증가 추이 30000 25000 20000 15000 10000 5000 0 1월 2월 3월 4월 5월 6월 7월 8월 9월 10월 11월 12월 자료 : 카스퍼스키 랩 16
금융권 모바일 보안기능 현황과 전망 특히 대부분의 악성코드는 안드로이드 기반에서 동작하는데, 이는 URL을 이용한 앱 설치, 블랙마켓의 활성화 등 악성코드의 감염 경로가 ios 보다 다양하고, 이용자 수도 많기 때문에 현재까지 모바일 악성코드 중에서 안드로이드 기반 악성코드가 가장 많은 수를 차지하고 있다. 그러나 최근 ios 기반 악성코드도 기업용 인증서나 앱 스토어의 취약점 등을 이용하여 배포하는 사례가 발견되고 있어 안심할 수 없는 추세이다. 2. 플랫폼 해킹 플랫폼 해킹이란 제조사에서 배포하는 단말기 운영체제의 최고 관리자 권한을 획득하는 것을 말한다. 안드로이드 계열 단말기에 대한 플랫폼 해킹은 최고 관리자인 루트(root) 계정을 획득한다는 의미에서 루팅(rooting), ios 계열 단말기에 대한 플랫폼 해킹은 애플의 샌드박스를 탈출한다는 의미로 탈옥(jailbreak)이라는 명칭으로 부른다. 제조사는 사용자가 운영체제 최고 관리자 권한을 얻는 것을 보안적인 이유로 제한하고 있지만, 플랫폼 해킹을 통해 이용자가 단말기의 최고 관리자 권한을 얻게 되면, 일반적인 유저 권한으로 접근할 수 없었던 시스템 파일에 접근하거나 불필요한 기본 앱 제거, 주요 설정 변경 등 여러 가지 행위가 가능하기 때문에 일부 사용자들 사이에서 플랫폼 해킹을 시도하고 있다. 플랫폼 해킹을 시도하는 주체는 목적에 따라 크게 두 가지로 나누어진다. 첫 번째는 앞서 설명했던 운영체제에서 제한하는 기능을 사용자가 직접 플랫폼 해킹을 시도하는 것이고, 두 번째는 악성 앱이 운영체제를 감염시킨 후 추가적인 권한 상승을 위해 악성 앱에 권한 상승 코드를 심어놓는 경우이다. 권한 상승을 하는 이유는 설치된 앱 목록에서 악성 앱을 안 보이도록 하거나 다른 프로그램 영역에 접근하는 등의 행위가 가능하기 때문이며, 사용자의 의도와는 상관없이 단말기의 운영체제가 해킹되는 사례라고 볼 수 있다. 전자금융과 금융보안 2016. 4. 17
[그림 8] ios 탈옥 전(좌), 후(우) 비교 애플은 하드웨어와 소프트웨어를 모두 만들기 때문에 ios 버전별로 사용되는 탈옥 도구가 명확하다. 그러나 안드로이드는 하드웨어와 소프트웨어 제조사가 다르기 때문에 출시되는 단말기와 탑재되는 안드로이드 버전이 상이하고 제조사마다 운영체제를 커스터마이징 하기 때문에 버전 별로 분류하기 보다는 루팅을 하는 방식에 특징이 있다. 플랫폼 해킹을 위해 개인 또는 특정 보안 단체에서 제작한 도구를 이용하고 있지만 제작자가 악의적인 목적을 가지고 플랫폼 해킹 도구에 악성코드를 삽입하여 배포하는 경우 이용자에게 피해가 발생할 수 있다. 실제로 특정 루팅 도구를 이용하여 플랫폼 해킹 시 설치되는 앱에서 기기 정보를 수집하는 사례가 발견되어, 신뢰할 수 없는 단체에서 제작한 도구를 무분별하게 사용하는 것은 각별한 주의가 필요하다. 3. 앱 위변조 18 앱 위변조 공격은 대부분 안드로이드 계열 단말기를 대상으로 발생하며 그 이유는 안드로이드 앱의 경우 악성코드를 추가하여 재컴파일(recompile)을 하는 것이 기술적으로 쉽기 때문이다. 앱 위변조를 통해 기존 금융 앱을 변조해서 악성기능을 추가하거나 아이콘 및 메뉴가 유사한 가짜 금융 앱을 제작하여 배포하고 이를 설치한 사용자의 비밀번호 등의 정보를 탈취할 수 있다. 또한 악의적인 사용자들이 보안 인증 과정을 우회하거나 임의의 기능을 호출하여 비정상적인 프로세스로 서비스를 실행할 수 있다. 모바일 보안 솔루션 업체인 Arxan의
금융권 모바일 보안기능 현황과 전망 안드로이드 악성코드 분석 결과에 따르면 분석한 1,260개 악성코드 중 86%가 앱 위변조에 의한 악성코드로 밝혀졌다. [그림 9] 가짜 구글 플레이스토어(좌) 및 뱅킹(우) 앱 4. 역공학 역공학(reverse engineering)이란 프로그램의 소스 코드가 없어도 컴파일된 코드를 디컴파일(decompile)하고 소스 코드를 복원하여 분석하는 기법을 말한다. 역공학 위협은 대부분 자바 프로그래밍 언어를 사용하는 안드로이드에서 발생하는데 그 이유는 자바로 개발된 프로그램은 가상머신에서 실행되도록 바이트코드로 컴파일되기 때문이다. 안드로이드의 바이트코드는 달빅(Dalvik) 가상머신에서 실행되도록 컴파일된 DEX 파일이며, 이 파일을 디컴파일하여 원본 소스 코드로 복원이 가능하다. 전자금융과 금융보안 2016. 4. 19
[그림 10] 역공학 도구를 이용한 안드로이드 원본 코드와 디컴파일 코드 비교 < 원본 코드 > < 디컴파일 코드 > 역공학을 통해 금융 앱의 중요로직을 분석하거나 소스코드에 포함된 금융회사 정보를 획득하여 2차 공격에 활용할 수 있기 때문에 소스코드가 복원되는 문제는 안드로이드 초창기부터 보안 위협으로 지적되어 왔다. 5. 입력값 탈취 금융서비스의 경우 계좌 비밀번호 등 사용자가 입력하는 정보의 민감도가 매우 높아 입력 값이 탈취될 경우 큰 문제가 될 수 있다. 모바일 기기에서는 물리적인 키보드 입력이 아닌 가상키보드를 이용한 터치 이벤트를 통해 입력을 받기 때문에 사용자가 터치한 좌표 값으로 키 정보를 획득하거나, 스크린 캡처 등을 통해 사용자가 입력한 비밀번호가 유출될 수 있다. 아래 그림과 같이 스마트폰에서 기본으로 제공하는 가상키보드의 경우 터치 좌표 값만 획득하면 원본 키보드 이미지와 대조하여 쉽게 입력값 탈취가 가능하다. 20
금융권 모바일 보안기능 현황과 전망 [그림 11] 스마트폰 가상 키보드 좌표, 입력 값 노출 6. 메모리 해킹 메모리 해킹이란 실행 중인 프로그램의 메모리에 있는 계좌번호, 금액을 변조하여 서버로 전송하거나, 사용자가 입력한 비밀번호를 탈취하는 것을 말한다. 메모리 해킹 기법이 창궐하던 초기에는 보안카드 번호를 탈취한 후 사전에 유출된 금융 정보로 계좌이체를 하였으며, 이후 계좌 이체 시 입금 계좌번호 및 금액을 실시간으로 변조하여 공격자의 계좌로 돈을 입금하는 기법으로 진화하였다. 메모리 해킹은 인터넷 뱅킹 이용 시 악성코드가 브라우저의 메모리에 접근하여 변조 및 탈취가 이루어져 2013년에 사회적으로 큰 문제가 되었으며 모바일 뱅킹 에서도 인터넷 뱅킹과 마찬가지로 동일한 문제가 발생할 수 있다. [그림 12] 메모리 해킹 개념도 전자금융과 금융보안 2016. 4. 21
Ⅳ. 모바일 보안 기능 발전 현황 1. 위협 예방 가. 백신 금융권에 적용된 모바일 백신은 인터넷 뱅킹 등에 적용된 백신과 마찬가지로 금융 서비스가 구동되는 동안만 백신 기능이 활성화되고 서비스가 종료되면 백신 기능도 같이 종료되는 형태로 구현되어 있다. 백신의 주요 기능은 기기에 악성 앱이 설치되어 있는지 검사하여 악성 앱이 존재하는 경우 서비스를 중단하고 악성 앱을 삭제하는 것이다. 모바일 백신의 경우 애플 앱 스토어 정책상 ios에는 백신이 존재하지 않고, 안드로이드 대상으로만 서비스가 출시되고 있다. 모바일 백신은 제품별로 별도의 백신 앱을 설치하여 서비스 형태로 동작하는 방법과, 금융 앱 설치 파일 내부에 라이브러리 형태로 동작하는 방법으로 구동되고 있다. 금융 서비스에 적용된 백신 외에 단말기가 출시될 때 기본으로 설치되어 있거나 사용자가 직접 설치한 모바일 백신의 경우 대규모 검색으로 인한 배터리 사용량 증가, 패턴 업데이트를 위한 데이터 사용 등 환경적인 문제로 인해 운영체제에 항상 상주하기가 어렵고 사용자들도 자주 실행하지 않는다는 문제가 있다. 나. 플랫폼 해킹 탐지 플랫폼 해킹 탐지 기능은 제조사에서 배포된 순정 운영체제를 사용자가 임의로 변조하여 관리자 권한을 획득하였는지 검사하고, 순정 상태가 아닌 경우 앱 실행을 종료하는 기능이다. 22
금융권 모바일 보안기능 현황과 전망 [표 4] ios, 안드로이드 플랫폼 해킹 탐지 대상 예시 구분 ios 안드로이드 설치된 앱 검색 /Applications/blackra1n.app /Applications/Cydia.app /Applications/FakeCarrier.app /Applications/Icy.app /Applications/IntelliScreen.app /Applications/MxTube.app /Applications/RockApp.app /Applications/SBSettings.app /Applications/WinterBoard.app com.tegrak.lagfix eu.chainfire.supersu com.noshufou.android.su com.jrummy.root.browserfree com.jrummy.busybox.installer me.blog.markan.unrooting com.formyhm.hideroot 특정 파일 검색 /bin/ps /etc/fstab /etc/master.passwd /private/var/lib/apt /private/var/stash /private/var/mobile/ Library/SBSettings/Themes /private/var/tmp/cydia.log /private/var/lib/cydia /usr/sbin/sshd /usr/libexec/sftp-server /system/xbin/su /system/bin/su /system/bin/.user/.su /dev/com.noshufou.android.su /data/data/com.tegrak.lagfix /data/data/eu.chainfire.supersu /data/data/com.noshufou.android.su /system/app/superuser.apk /data/app/com.tegrak.lagfix.apk /data/app/eu.chainfire.supersu.apk /data/app/com.noshufou.android.su.apk [그림 13] 플랫폼 해킹 탐지 메시지 전자금융과 금융보안 2016. 4. 23
플랫폼 해킹 탐지 기능은 대부분 금융 앱을 대상으로 적용되어 있으며, 탐지기능 초기에는 특정 앱이 설치 되었는지 유무를 탐지하는 수준이었으나, 탐지 우회 프로그램을 이용하여 해킹된 운영체제에서 앱을 사용하는 사례가 발견되어 최근에는 시스템 변화에 대한 탐지 기능이 추가하는 등 고도화되고 있다. [표 5] ios, 안드로이드 플랫폼 해킹 탐지 우회 프로그램 구분 프로그램명 구현방식 세부 xcon 플러그인 해외에서 제작되었으며 다양한 해외 앱과 일부 국내 앱을 지원 ios kbanktweak 플러그인 국내 금융권 앱을 타겟으로 제작 되었으며, 현재는 공식 배포 중단 HideJB 플러그인 국내 금융 앱의 경우 별도로 지원하지 않음 tsprotector 플러그인 시스템에 접근하는 함수를 후킹해서 사용자가 접근 여부 선택 가능 SuperSU 앱 안드로이드 루팅 관리용 도구로 활성화/ 비활성화 전환 지원 SuperUser 앱 안드로이드 루팅 관리용 도구로 활성화/ 비활성화 전환 지원 안드로이드 SuperRoot 앱 안드로이드 루팅 관리용 도구로 활성화/ 비활성화 전환 지원 테그라크 커널 앱 테그라크로 전용 루팅 관리용 도구로 활성화/ 비활성화 전환 지원 RootCloak 플러그인 함수 후킹 기법을 이용한 루팅 탐지 우회 플랫폼 해킹 탐지를 위해 파일 등에 접근하는 API 함수를 이용하여 구현하고 있지만, 함수를 후킹하여 탐지 기능을 우회하는 프로그램을 이용하는 사례가 발견되고 있다. 우회 프로그램을 이용하여 플랫폼이 해킹된 운영체제에서 금융 앱을 이용하는 경우 보안성이 낮아지기 때문에 일부 금융 앱에서는 탐지 우회 프로그램에 대응하기 위해 API 함수를 호출 하지 않고 슈퍼 바이저콜(supervisor call) 1) 을 직접 호출하는 방법으로 구현하여 탐지 모듈이 우회되지 않도록 기능을 강화 하고 있다. 24 1) 제어를 운영체제로 넘기기 위해 소프트웨어적으로 발생되는 인터럽트
금융권 모바일 보안기능 현황과 전망 [그림 14] 슈퍼바이저콜(SVC)을 이용한 플랫폼 해킹 탐지 예시 char *str = /Applications/Cydia.app ; int flag=0; asm volatile( mov r0, %0 :: =r (str)); asm volatile( mov r1, #0 ); asm volatile( mov r12, #5 ); asm volatile( svc 0x00000080 ); asm volatile( bcc 0x5 ); asm volatile( mov r0, 0x0 ); asm volatile( b 0x3 ); asm volatile( mov r0, 0x1 ); asm volatile( mov r0, %0 : =r (flag)); 탐지 대상 SVC 호출 결과 확인 return flag; 2. 앱 보호 가. 역공학 방지 역공학으로 인해 금융 앱의 보안 기능 우회, 소스 코드 내 금융 정보 유출, 악의적인 코드 삽입 등 2차 피해가 발생할 수 있으며, 이를 방지하기 위한 역공학 방지 기술은 크게 두 가지로 나눠질 수 있다. 첫 번째는 배포되는 앱의 난독화 또는 실행압축, 코드 분리와 같이 소스코드를 쉽게 알아보지 못하도록 변형을 가하여 분석을 지연시키는 방법이다. 대표적인 난독화 도구로는 구글에서 제공하는 프로가드(Proguard)가 있으며, 상용 도구도 많이 출시되어 있다. 분석을 지연시키는 방법은 클래스, 메소드, 변수명 등을 의미 없는 문자로 변경하거나 소스 코드 내 포함된 문자열, 리소스를 암호화하는 등 난독화 기법도 매우 다양하다. [그림 15] 프로가드 적용 전 후 소스코드 비교 전자금융과 금융보안 2016. 4. 25
두 번째는 앱 실행 환경을 탐지하여 역공학 환경이 탐지되는 경우 실행을 차단하는 보안 기능을 추가하는 방법이다. 역공학 기법 중 하나인 동적 분석을 위해서는 운영체제에 디버거와 같은 분석도구를 설치하거나, 실제 단말이 아닌 에뮬레이터와 같은 가상머신을 이용하기 때문에 이러한 환경이 탐지되는 경우 앱을 종료하거나 정상적으로 동작하지 않도록 하는 방법이다. 아래 코드는 ios에서 자신의 앱이 디버거에 의해 디버깅되지 않도록 삽입된 디버깅 방지코드로 API를 이용하는 기법중 하나이다. [그림 16] 디버깅 방지 코드 예시 void nodebug() { void* handle = dlopen(0, RTLD_GLOBAL RTLD_NOW); ptrace_ptr_t ptrace_ptr = dlsym(handle, ptrace ); ptrace_ptr(pt_deny_attach, 0, 0, 0); dlclose(handle); } [표 6] 역공학 방지 방법 예시 구분 방식 설명 난독화 클래스, 메소드, 변수명 등을 의미없는 문자나 식별할 수 없는 문자로 치환 분석 지연 암호화 문자열, 리소스 등 암호화 코드분리 핵심 로직이 담긴 코드를 분리하고 실행 도중 동적으로 로드 디버거 탐지 프로세스 ID 확인 디버깅 탐지 API 결과 값 리턴 환경 탐지 에뮬레이터 탐지 플랫폼 해킹 탐지 단말 ID, 전화번호, 빌드값, 아이피 체크 운영체제 해킹 여부 확인 앱 변조 탐지 앱 위변조 여부, 앱 서명 값 확인 26
금융권 모바일 보안기능 현황과 전망 나. 앱 위변조 방지 앱 위변조 방지 기능이란 모바일 애플리케이션의 위변조를 방지하기 위한 보안기능으로, 금융권을 중심으로 도입이 활발하게 진행되었다. 주요 기능은 배포되는 모바일 앱 설치파일의 무결성 검증값을 생성하고 생성된 검증값의 유효성을 검증하는 방법이다. 검증값 생성을 위해서는 주로 해시 알고리즘을 이용하는데 앱의 기능이 변조 될 경우 생성되는 해시 2) 값이 변하는 특성을 이용하는 방법이다. 앱 위변조 방지 솔루션은 모바일 보안 전문 기업의 경우 대부분 출시했을 만큼 다양한 제품이 시장에 출시되어있다. 앱 위변조 기능 초기에는 항상 동일한 무결성 검증값을 생성하여 서버로 전송하는 재전송 공격(replay attack)이나, 클라이언트 모듈에서만 검증을 수행하는 등의 보안 취약점을 통해 위변조 방지 기능이 우회 되는 사례도 있었다. 현재는 서버의 챌린지 값을 이용하여 검증값을 생성하고 공격자가 위변조 방지 기능 자체를 변조하여 우회하는 공격을 막기 위해 자체 난독화, 플랫폼 해킹 탐지 등 추가적인 보호기능을 적용하여 출시하고 있다. 3. 인증 보안 가. 생체인증 생체인증은 사용자의 고유한 생체정보를 이용하여 사용자의 신원을 확인하는 것이다. 모바일 기기는 지문센서, 카메라, 마이크를 탑재하고 있기 때문에 전통적인 비밀번호 입력이 아닌 지문인식, 얼굴 인식이나 음성인식 등 생체인증을 사용자 인증 수단으로 활용할 수 있다. 금융권에서도 이미 공인인증서 대신 FIDO(Fast IDentity Online) 기반의 지문인식으로 사용자 인증을 수행하는 서비스를 출시한바 있고, 최근 점포에 방문하지 않고 사용자의 신원을 확인하기 위한 비대면실명확인을 위한 방법의 하나로 영상통화를 이용하는 방법이 제시되었기 때문에 모바일 기기를 이용하여 사용자를 식별하는 서비스가 더욱 증가할 것으로 예상된다. 2) 임의의 길이의 입력 메시지를 고정된 길이의 출력값으로 압축시키는 함수 전자금융과 금융보안 2016. 4. 27
[그림 17] 생체인식 기술의 유형과 특징 생체적 특징 지문 개인 지문 특성을 DB와 비교해 인증 장점:편리하고 안전, 위조 어려움 단점:땀, 먼지 등에 의한 인식률 저하 홍채. 망막 홍채 무늬, 형태, 색, 망막 모세혈관 분포 패턴 분석 장점:낮은 오인식률, 고도의 보안성, 위조 불가능, 분실위험 없음 단점:눈을 뜨고 있어야 하는 불편함, 인식거리 지정맥 혈관 패턴 특징을 비교 장점:편리, 복제 불가능 단점:높은 구축 비용, 소형화 어려움 얼굴 눈, 코, 입 등 얼굴요소 특징 분석 장점:비접촉식으로 편리성, 시스템 비용 저렴 단점:빛 세기, 촬영 각도, 자세 등에 따라 인식률 저하 행동적 특징 서명 서명과제(펜 움직임, 속도, 압력), 모양 분석 장점:분실, 도난 위험 없음 단점:서명 복제, 위조 가능 음성 음성 특징을 DB와 대조해 개인 인증 장점:편리성, 전화.인터넷으로 원격지에서 이용 가능 단점:녹음으로 타인 이용 가능성, 목소리 상태에 따른 오인식 자료 : KCA, 스마트폰 언굴인식 기술 적용 현황 및 전망, 2012 나. 보안 키보드 보안 키보드란 인증을 위한 중요정보 3) 입력 시 키보드 후킹이나 좌표값 추출과 같은 입력값 탈취 공격으로부터 방어하기 위해 운영체제에서 제공하는 키보드가 아닌 앱 자체에서 보안 기능을 제공하는 키보드를 말한다. 보안 키보드는 화면에 표시되는 키보드 버튼의 배열을 다르게 표시하여 고정 좌표값을 탈취하여 입력값을 유추하는 것을 막는다. 그러나 배열 간격이 크지 않고 여러 번 시도하면 유추가 가능하다는 단점이 있으나, 키보드 배열을 무작위로 변경할 경우 가독성이 떨어지기 때문에 좌우로 일정 부분만 변경하여 표시하고 있다. 초기에는 단순히 키보드 배열을 다르게 표시하는 정도의 보안 기능만 적용되었으나, 현재는 입력값을 암호화하여 메모리 해킹을 이용한 비밀번호 평문을 탈취하지 못하도록 하거나, 보안 키보드가 동작하는 동안 화면을 캡쳐하지 못하도록 하는 등의 방어 기능도 적용되고 있다. 28 3) 공인인증서 비밀번호, 계좌 비밀번호, 로그인 비밀번호, 보안카드/OTP 번호 등
금융권 모바일 보안기능 현황과 전망 [그림 18] 보안 키보드의 자판 랜덤 표현 4. 데이터 보호 가. TEE(Trusted Execution Environment) 데이터를 안전하게 보호하고 프로그램을 실행하기 위해 하드웨어적인 환경을 이용하기도 한다. 대표적으로 트러스트존은 일반 영역과 보안 영역이 분리되어 있어 독립적으로 격리된 실행 환경을 제공한다. 보호하고자 하는 데이터를 보안 영역에 저장하여 일반 영역에서 악성코드에 감염이 되더라도 악성코드가 보호 영역으로 접근이 불가능하다. 일반 영역에는 금융 앱이 설치되고 보안 영역에 중요정보(암호키, 인증서 등)를 저장하여 허용된 앱만 보안 영역에 접근함으로써 안전한 암호화, 인증 등에 사용 되고 있다. [그림 19] 트러스트존 일반 영역, 보안 영역 구조 일반 영역 일반 영역 유저 모드 일반 영역 커널 모드 보안 영역 보안 영역 유저 모드 보안 영역 커널 모드 모니터 모드 전자금융과 금융보안 2016. 4. 29
Ⅴ. 향후 전망 모바일 기기는 금융 거래, 쇼핑, 이메일 등 다양한 업무에 이용되기 때문에 개인 정보가 많이 저장되어 있고 전원도 항상 켜져 있다. 따라서 해커들은 모바일 기기에 지속적으로 관심을 갖게 될 것이며, 보안 위협은 더 지능적이고 정교한 방법으로 진화할 것이다. 이러한 흐름에 맞춰 모바일 보안 기능은 다음과 같은 방향으로 발전할 것으로 예상된다. 첫째, 모바일 운영체제 다양화 및 위협 증가로 인해 위협 예방 기능이 강화될 것이다. 현재 모바일 운영체제는 ios, 안드로이드가 주를 이루고 있으나 윈도우 모바일, 타이젠 등 신규 운영체제의 점유율이 점차 확대되고, 모바일 간편결제, 사물인터넷(IoT) 등의 활성화로 보호가 필요한 업무 범위가 늘어나게 될수록 보안 기능의 역할은 더욱 커질 것이다. 현재 모바일 기반 보안 위협은 기존 PC 기반의 보안 위협을 그대로 이어 받고 있고, 언제 어디서나 이용하는 모바일의 특성 때문에 위협이 점차 고도화되고 있다. 특히 최근 유행하고 있는 랜섬웨어(Ransomware) 4), APT(Advanced Persistent Threat) 등 이용자에게 큰 피해가 발생하는 위협이 지속적으로 출현하고 있기 때문에 모바일 보안 기능은 좀 더 선제적으로 대응이 필요할 것으로 보인다. 대부분의 보안 위협은 악성코드 감염으로부터 시작되기 때문에 악성코드 감염 방지를 위한 플랫폼 해킹 탐지 강화, 백신 패턴 업데이트 및 행위 기반 탐지 고도화 등을 통해 위협을 사전에 예방하는 쪽으로 발전할 것으로 예상된다. 둘째, 모바일 운영체제 업데이트에 대한 대응 강화 및 보안 기능의 효율성이 강화될 것이다. 모바일 운영체제의 버전 업데이트가 빠르고 이로 인해 금융회사나 보안업체에서 알지 못하는 내부 라이브러리, API 등의 교체가 있을 수 있다. 그렇기 때문에 예상치 못한 장애가 발생하는 것을 방지하기 위해 보안 기능도 이에 맞춰 빠른 대응이 필요하다. 실제로 정식 출시되기 전 테스트 버전인 안드로이드 6.0 프리뷰 버전에서, 국내 일부 금융 앱이 정상적으로 동작하지 않는 문제가 발생했다. 그 이유는 6.0 버전부터 라이브러리가 변경되면서 백신 프로그램의 호환성에 문제가 생겨 보안 기능을 사용하는 금융 앱이 동작하지 않는 것이었다. 이처럼 한 개의 금융 앱이 다양한 제조사의 여러 보안 기능을 탑재하고 있기 때문에 이를 예방하기 위한 보안 기능의 통합화 및 간소화도 고려되어야할 것이다. 특히 모바일 기기는 컴퓨팅 파워, 배터리 등과 같은 리소스를 보안 기능이 많은 양을 점유하는 것이 큰 부담으로 작용하기 때문에 단말기 영역에서 보안 기능이 효율적으로 동작할 수 있도록 앞으로 발전해야 할 것이다. 30 4) 'Ransom'과 'Software'의 합성어로 PC나 모바일 기기에 저장된 데이터를 암호화하고, 해제하기 위한 조건으로 금전을 요구하는 악성코드
금융권 모바일 보안기능 현황과 전망 Ⅵ. 결론 지금까지 금융권 모바일 서비스 현황과 보안 위협, 그리고 보안 위협에 따른 다양한 보안 기능에 대해 알아보았다. 북한 발 사이버 위기로 보안 위협이 고조되고, 그로 인해 다양한 분야에서 서비스를 하고 있는 금융권도 만반의 대응 태세를 갖추고 있다. 그중 모바일 기반 서비스를 보호하기 위한 보안 기능은 운영체제와 서비스의 빠른 발전과 더불어 이용자 보호를 위해 많은 기술의 발전을 이루었고 계속 발전해 나갈 것이다. 금융권에서 보안 사고가 발생하면 고객의 금전적 피해는 물론, 금융회사의 이미지 실추 등 관련된 모두에게 부정적인 영향이 발생하기 때문에 사고를 예방하는 것이 가장 중요하다. 따라서 안전하게 모바일 기반 금융 서비스를 이용하기 위해 보안 기술의 발전과 더불어 이용자의 보안 인식을 높이는 것이 가장 중요한 요소가 되어야 한다. 최근 비대면실명확인이 가능해지고 모바일 전용 금융 서비스가 출시되는 등 서비스가 다양화되고 보안 위협이 증가함에 따라 보안 사고 발생 시 신속한 대응이 필요하다. 따라서 금융회사의 보안 인력 확보 및 역량 강화, 최신 위협 동향 습득 및 지속적인 교육, 서비스 이용자에 대한 사고 예방 캠페인 등 여러 활동을 통해 금융회사와 이용자의 보안 수준이 높 아져야 할 것이다. 전자금융과 금융보안 2016. 4. 31
<참고문헌> [1] 이형우, 안드로이드 기반 모바일 단말 루팅 공격에 대한 이벤트 추출 기반 대응 기법, 2013.5 [2] 이윤호, 모바일 기기를 위한 보안 키패드의 취약점 분석,2013.6 [3] 하동수, 이강효, 오희국, 안드로이드 어플리케이션 역공학 보호기법, 2015.6 [4] 김미주, 신영상, 이태진, 염흥열, 안드로이드 모바일 악성앱 동적분석 회피기술 동향, 2015.12 32
금융회사의 안전한 비대면 인증을 위한 연구 김현민* 이진호* Ⅰ. 서 론 35 Ⅱ. 해외 비대면 인증 현황 36 1. 해외 비대면 인증 관련 규제 37 2. 해외 비대면 인증 적용 현황 38 3. 해외 비대면 인증 절차 39 Ⅲ. 국내 비대면 인증 현황 41 1. 국내 비대면 인증 관련 규제 41 2. 국내 비대면 인증 적용 현황 43 3. 시사점 44 Ⅳ. 비대면 인증기술 보안성 확보 방안 45 1. 비대면 인증 절차 45 2. 대면 인증기술별 취약점 분석 47 3. 비대면 인증기술 체크리스트 59 Ⅴ. 결 론 62 <참고문헌> 63 * 금융보안원 분석평가부 보험공공평가팀 (e-mail : ezno@fsec.or.kr, secuholic@fsec.or.kr) 전자금융과 금융보안 2016. 4. 33
요 약 비대면 인증은 기존에 직접 대면하여 본인을 인증하는 오프라인 방식이 아닌 전자적 정보 등의 기술을 사용하여 사용자 본인 여부를 확인 및 증명하는 방식이다. PC, 스마트폰, ATM 등 디지털 채널을 이용하여 실명확인을 수행하기 때문에 영업점을 직접 방문하지 않고도 계좌를 신규로 개설하거나 대면이 필수이던 다양한 금융거래를 할 수 있게 되었다. 현재 다수의 금융회사에서 비대면 인증을 이용한 금융거래를 지원하고 있으며 특히, 2015년 2곳이 예비인가를 받아 현재 설립을 준비 중인 인터넷 전문은행은 지점망을 핵심채널로 가지는 일반은행에 비해 인터넷, 모바일을 통한 영업망을 가지기 때문에 비대면 인증의 중요성은 한층 더 강조되고 있다. 하지만 디지털 채널 등 다양한 실명 확인 방식을 채널을 이용한 비대면 인증은 편리함 이라는 이면에 해킹사고 가 발생했을 시 다수의 대포통장 개설 가능성 등의 위협이 존재한다. 디지털 채널만으로 인증을 수행하기 때문에 인증과정에서의 취약점으로 인해 보안사고가 발생할 경우 다수의 피해자가 발생할 수 있어 기존 대면인증보다 위험 영향도가 높을 수밖에 없다. 이러한 위험을 감소시키기 위해 인증기술 자체나 인증과정에서의 우회의 가능성을 사전에 제거하여야 한다. 또한 신분증 촬영, 영상통화 등 기존의 인증과는 다른 새로운 방식의 인증기술들이 이용되기 때문에 기존의 애플리케이션과는 다른 위협이 존재할 수 있으므로 사전에 이러한 인증기술에서 발생할 수 있는 취약점을 파악해야 한다. 본 고에서는 최근 사용하고 있는 비대면 인증기술에서 발생 가능한 취약점을 도출하고 금융회사에서 비대면 인증을 구현할 때 발생할 수 있는 취약점의 종류 및 특성을 알아 보았다. 34
금융회사의 안전한 비대면 인증을 위한 연구 Ⅰ. 서 론 2015년 인터넷전문은행 2개에 대한 예비인가가 승인되고, 같은 해 5월 금융위원회에서는 계좌 개설시 실명확인 방식 합리화방안 을 발표하여 인터넷전문은행 및 기존 금융회사에서의 비대면 인증을 허용하였다. 비대면 인증은 기존에 직접 대면하여 본인을 인증하는 틀을 깬 새로운 방식의 실명확인이다. PC, 스마트폰, ATM 등 디지털 채널 1) 을 이용하여 실명확인을 수행하기 때문에 영업점을 직접 방문하지 않고도 계좌를 신규로 개설하거나 대면이 필수이던 다양한 금융거래를 할 수 있게 되었다. 현재 다수의 금융회사에서 비대면 인증을 이용한 신규 계좌 개설 서비스를 개시 하였고, 특히 지점망이 취약한 금융회사를 중심으로 공격적인 영업을 통해 신규 고객을 확보하고자 하고 있다. 그러나 비대면 인증 기반의 계좌개설은 금융회사에게 고객확보를 위한 새로운 채널인 동시에 고객의 개인정보 및 금융자산에 손실을 입힐 수 있는 새로운 위협 요인이 되기도 한다. 디지털 채널 등을 이용한 비대면 인증은 편리함이라는 이면에 해킹사고가 발생했을 시 다수의 대포통장 개설 가능성 등의 위협이 존재한다. 디지털 채널만으로 인증을 수행하기 때문에 인증과정에서의 취약점으로 인한 보안사고가 발생할 경우 다수의 피해자를 유발할 수 있어 기존 대면인증보다 위험 영향도가 높을 수밖에 없다. 특히, 인터넷전문은행은 다양한 비대면 확인 방식을 활용하여 서비스가 이루어지므로 IT의존도가 매우 높을 수밖에 없으며 해킹에 의한 고객 정보 유출, 금전적 사고가 발생할 경우 직접적인 금전 손실은 물론 인터넷전문 은행으로서의 기업 이미지와 신뢰도에 큰 타격이 생기므로 기존 금융기관보다 보안이 차지하는 비중이 크다. 이와 같이 디지털 채널을 통해 실명확인이 이루어질 경우 해킹을 통한 금융사고 발생 리스크가 높기 때문에 비대면 인증의 고도화를 통해 위험을 사전에 예방할 필요가 있다. 본 고에서는 향후 영업점을 통한 대면 인증보다는 비대면 채널을 이용한 인증을 금융 고객 가입이 증가할 것으로 예상되는 가운데, 해외 및 국내의 비대면 인증에 대한 규제, 적용 현황 및 특징을 분석하고, 각 비대면 인증기술의 취약점을 정리하였다. 1) 디지털 신호를 통해 정보를 처리하는 통신채널로서, 본 고에서는 인터넷을 기반으로 전자금융관련업무를 처리하기 위한 채널을 뜻한다. 전자금융과 금융보안 2016. 4. 35
Ⅱ. 해외 비대면 인증 현황 최근 전자상거래의 채널을 분석하여 보면, 모바일 애플리케이션, 홈페이지를 기반으로 온 오프라인의 구별 없이 제품을 구매하는 옴니채널(Omni-Channel)이 활성화되어 있는 것이 새로운 트렌드이다. 온 오프라인의 구분 없이 각각의 장점을 극대화 하려는 시대적 흐름에 맞추어, 기존 금융서비스에 대해서도 영업점을 방문하여 계좌를 개설하는 대신 디지털 채널을 통해 금융서비스 가입을 원하는 이용자의 요구가 증가하고 있다. 미국의 금융서비스 이용자를 대상으로 조사한 Javelin Strategy & Research사의 2015년 보고서 2) 에 의하면 [그림 1]과 같이 조사대상의 70%가 디지털 채널을 통해서 신규 계좌를 개설할 의향이 있다고 응답했으며, 신용카드 개설은 80%인 것으로 나타났다. 모바일 애플리케이션 기술의 발전, 이용자의 수요 증가, 비대면 인증을 활용한 계좌 개설의 이용자 경험(user experience)이 발달함에 따라, 디지털 채널의 이용자가 점점 늘어날 것으로 전망되고 있다. [그림 1] 미국의 디지털 채널을 이용한 가입시 선호도 계좌 개설 시 디지털 채널을 활용할 의사가 있는 고객 70% 신용카드 개설 시 디지털 채널을 활용할 의사가 있는 고객 80% 비대면 인증기술은 인터넷전문은행의 고객확보를 위한 중요기술이라고 볼 수 있기 때문에 국내보다는 앞서 있는 해외 인터넷전문은행의 사례 분석이 필요하다. 2015년 인터넷전문은행 예비인가가 허가된 국내와는 달리 미국에서는 1995년에 최초의 인터넷전문은행 Security First Network Bank 이 설립되었다. 또한 일본, 유럽에서도 국내보다는 앞서 인터넷전문 36 2) Javelin @ Digital Banking report, 2015.9.
금융회사의 안전한 비대면 인증을 위한 연구 은행을 도입하여 운영하고 있다. 때문에, 인터넷전문은행을 선도하는 국가의 비대면 인증 사례와 보안성 확보 방안이 모범사례가 될 수 있을 것이다. 참고로 사례 조사 과정에서 해외 인터넷전문은행의 경우 해당 국가에서만 계좌를 개설할 수 있는 제약으로 인해 실 계좌 개설이 곤란하여 홈페이지에 게시된 내용을 기반으로 비대면 인증 사례를 조사하였다. 1. 해외 비대면 인증 관련 규제 가. 미국 1970년 제정된 Bank Secrecy Act 에서 비대면 계좌개설의 허용여부는 보안요건 충족 시 허용하도록 명시하고 있다. 또한, 비대면 인증 및 본인 확인을 위한 가이드라인으로는 미국 연방금융기관검사협의회(FFIEC, Federal Financial Institutions Examination Council)의 Authentication in an Internet Banking Environment 3) 이 있다. 동 가이드 라인에서는 인터넷뱅킹 환경에서 3가지 인증 방식을 제안하고 있다. 첫 번째 방식은 최소 요구 사항만 규정에 명시, 두 번째 방식은 특정 인증방식을 의무화하지는 않으나 비대면 거래 등 위험도가 높은 경우 자금세탁방지(AML, Anti-Money Laundering)를 위해 높은 보안 강도를 요구, 마지막으로 신규 계좌 개설 시의 고객 인증 방식으로 적극적 확인 (Positive Verification)과 논리적 확인(Logical Verification), 부정적 확인(Negative Verification) 수행을 권고하고 있다. 4) 나. 일본 2007년 제정된 범죄로 인한 수익의 이전방지에 관한 법률(범죄수익 이전방지법) 에 고객 확인 절차 시 비대면 계좌개설을 허용할 수 있도록 명시되어 있다. 실명 확인 절차는 1신분증 사본 수신, 2우편 확인, 3거래목적과 직업의 확인으로 되어 있다. 비대면 인증을 위한 가이드라인으로 고객 확인 절차(Conduct Customer Identification) 가 있으며 두 가지 방식을 3) Authentication in an Internet Banking Environment, FFIEC, 2011.6. 4) 적극적 확인(Positive Verification) : 신뢰할 수 있는 제 3자 제공 정보와 고객 제공 정보의 일치여부 확인 논리적 확인(Logical Verification) : 전화번호, 우편번호, 주소 정보 등이 논리적 일관성이 있는지 확인 부정적 확인(Negative Verification) : 이전의 사기 행위와 연관이 있는지 확인 전자금융과 금융보안 2016. 4. 37
제시하고 있다. 개인의 경우는 신분증이나 사본의 수신하고 거래목적 직업 정보 수신(2013년 신설)+우편 확인(비밀번호 송부)해야 한다. 기업의 경우, 사업등록증 수신+거래목적 비즈니스 모델 실질소유자 정보 수신(2013년 신설)+대표자 신분증이나 사본 수신+사업자 및 대표자 우편 확인이 필요하다. 5) 다. 유럽 영국은 추가인증 시 비대면 계좌개설을 할 수 있도록 Money Laundering Regulations 에 규정하고 있다. 인증방식으로는 전화연락, 우편송부, 신원보증서 수취 등의 추가인증이 있으며 이는 의무적으로 수행해야 한다. 독일을 제외한 대부분의 유럽국가에서는 비대면 확인방법 으로 우편 송부 등을 통한 추가인증을 구체적으로 제시하고 있다. 2. 해외 비대면 인증 적용 현황 가. 미국 미국의 비대면 인증 적용현황을 보면 특정 인증방식을 의무화하지 않으며, 규제의 장벽을 쌓기보다는 최소한의 규제를 통해 각 금융회사별로 다양한 인증방식을 활용하고 있다. 우편을 이용한 신원증명서류 제출을 실시하는 금융기관에서부터, 모바일 애플리케이션을 바탕으로 비대면 인증을 실시하는 등 다양한 인증방식이 공존하고 있다. 나. 일본 일본의 비대면 인증을 적용한 서비스 가입 절차를 보면 우선 홈페이지에서 신청서를 작성하고 신분증명서류를 제출한 다음, 우편으로 수령한 현금카드와 토큰을 다시 등록한 후에야 계좌 개설이 가능하다 신분증명을 위해 신분증을 접수하는 방식은 각 금융회사별로 다양한 방식을 채택하고 있다. 신분 증명 서류 제출을 위한 전용 애플리케이션을 사용하거나, 홈페이지에 38 5) 한국형 인터넷전문은행 도입방안, 한국금융연구원, 2015.4.
금융회사의 안전한 비대면 인증을 위한 연구 별도의 신분 증명 서류를 파일 업로드하거나, 금융회사 측에서 우편으로만 신분증명서류를 접수 받는 등 다양한 방식을 활용하고 있다. 다. 유럽 유럽에서는 신원 증명(Proof of Identity) 후, 가입자의 주소로 추가 인증을 위한 우편물을 전달하는 방식을 채택하고 있다. 홈페이지에 계좌개설 양식 및 회원가입 양식을 작성하여 제출 후 스마트폰이나 홈페이지에서 관련 증명서류를 업로드 하는 방식으로 진행하며, 우편으로 신용카드와 접속 코드(Access code)가 전달된다. 이 때 사용하는 신원 증명 서류로는 이름이 등록된 신원을 확인할 수 있는 서류, 주소 증명, 서명, 수입 증명서류가 가능하다. 스마트 디바이스 기반의 모바일 뱅킹, 인터넷 홈페이지에서 증명서류를 제출할 수 있다. 제약 사항으로는 자국 내 거주중인 고객만 인터넷전문은행 계좌 개설이 가능한 특징을 보이고 있으며, 추가 인증수단을 전달하기 위한 주소를 국내로 제한하고 있기 때문에 타국에 있는 이용자는 가입할 수 없다. 3. 해외 비대면 인증 절차 국내보다 비대면 인증을 먼저 도입한 해외 인터넷전문은행의 사례를 조사한 결과, 비대면 인증을 이용하여 신규 계좌를 개설하는 단계는 [표 1]과 같이 1시작 2신청 3심사 4 계좌개설 5종료의 5단계로 나눌 수 있다. [표 1] 비대면 인증을 이용한 계좌 개설 단계 단 계 주요 내용 방 식 1 시작 - 가입자의 금융회사 선택 및 비대면 인증 절차 시작 - 가입자가 금융회사 및 비대면 인증 방식 선택 2 신청 - 가입자 정보 수집 및 인증 수행 - 우편을 통한 증명서류 제출 - 실명확인을 위한 증명서류를 디지털 채널로 전송 - 생체인증 실시 - 해당 금융회사의 기존계좌개설여부 확인 전자금융과 금융보안 2016. 4. 39
3 심사 - 금융회사의 가입자 자격요건 확인 - 가입자가 전달한 정보 진위 여부 확인 - 거주 지역 및 연봉정보, 연령 등 자격확인 - 신원정보 확인 4 계좌개설 - 필요시 추가 인증 실시 - 우편으로 전달된 접근코드 입력 및 보안 카드 입력 5 종료 - 비대면 인증 종료 및 계좌개설완료 - 계좌개설 완료 1 시작 단계에서는 가입하고자 하는 인터넷전문은행을 선택하고 비대면 인증방식을 선택한다. 미국의 경우는 정형화된 비대면 인증절차가 규정하지 아니하고 금융회사의 자율성을 인정하고 있다. 2 신청 단계에서는 해당 인터넷전문은행의 가입신청서를 작성하여 제출하고 가입신청자의 비대면 인증을 진행한다. 이 때, 증명서류제출, 생체인증, 기존계좌개설여부 등 다양한 방식이 있을 수 있다. 3 심사 단계에서는 계좌 개설을 신청한 이용자의 신청정보와 비대면 디지털 채널을 통해 실명확인을 위한 데이터가 금융회사에 전달되고, 금융회사는 증명 서류의 진위여부와 가입 조건을 만족하고 있는지 확인한다. 4 계좌개설 단계에서는 2신청 단계에 이어 필요한 추가 인증을 실시하는데, 해외에서 대표적으로 실시하는 추가인증방식으로 우편확인을 통한 실명확인이 있다. 5 종료 단계에서는 이용자가 선택하였던 비대면 인증의 모든 단계가 성공적으로 종료 후 계좌가 개설되면 비대면 인증 절차를 완료하게 된다. 40
금융회사의 안전한 비대면 인증을 위한 연구 Ⅲ. 국내 비대면 인증 현황 1. 국내 비대면 인증 관련 규제 국내에서는 금융실명법 및 전자금융거래법에 의해 2015년 5월 이전까지 직접 대면을 통한 실명확인만이 인정 되었으며, 이로 인해 인터넷전문은행 및 비대면 인증 관련 업무를 수행 할 수 없었다. 2015년 5월 18일 금융위원회 금융개혁회의를 통해 계좌 개설시 실명확인 방식 합리화방안 이 발표되면서 비대면(Non Face-To-Face) 인증을 이용한 실명확인방식이 허용되었다. 기존의 금융실명법 및 전자금융거래법에 대한 실무적 확대 해석을 통해 직접 대면 방식뿐만 아니라, 비대면 방식까지 허용된 것이다. 계좌 개설시 실명확인 방식 합리화방안 에서는 해외 비대면 인증 현황 및 사례를 분석하고 국내 환경을 고려하여 해외 비대면 인증 방식 중 정확도가 높다고 판단되는 5가지 방식이 우선 허용하였으며, 각 인증방식은 [표 2]와 같다. [표 2] 국내 허용 비대면 인증 방식 분 류 필수여부 설 명 실명확인증표 사본 제출 사진촬영 및 스캔 후 신분증진위확인 서비스를 이용하여 확인 영상통화 고객과 영상통화를 실시하여 신분증표 사진과 대조 접근매체 전달시 확인 기존계좌 활용 필수 (택 2) 현금카드, 보안카드, OTP 등 접근매체 전달 시 실명확인 수행 기존에 금융거래에 사용하던 계좌를 이용하여 소액을 이체하도록 하여 실명확인 수행 기타 이에 준하는 방법 지문인식, 정맥 인증 등 바이오 인증처럼 필수 인증기술에 준하는 신뢰도 확보가 가능한 인증 기술을 적용 다수의 개인정보 검증 타기관 확인결과 활용 권고 고객이 제공하는 개인정보와 신용정보사가 보유한 정보를 대조하여 실명확인 수행 공인인증서, 핸드폰, 아이핀 등 타 인증기관에서 신분 확인 후 발급된 결과 활용 자료 : 금융위원회, 계좌 개설시 실명확인 방식 합리화방안 전자금융과 금융보안 2016. 4. 41
금융회사에서는 [표 2]에서 필수 로 분류된 비대면 인증 방식 중 2가지를 필수 도입해야 하며, 권고 로 분류된 방식 중 1가지를 추가 도입할 것을 권고하고 있다. 이에 따라 각 금융 회사에서는 각 인증 기술의 특징 및 장 단점을 고려하여 금융회사별 환경에 부합하는 인증 기술을 선택하여 적용할 수 있게 되었다. 각 비대면 인증 방식에 대한 장 단점은 [표 3]과 같다. [표 3] 필수 비대면 인증 기술 장 단점 분 류 장 점 단 점 실명확인증표 사본 제출 실명증표를 기반으로 PC 및 스마트 폰 등을 활용하여 편리하게 비대면 인증 진행가능 해당 증표 명의인과 고객이 일치하는지 알기 어렵고 발급기관을 통한 진위확인이 어려운 증표(여권 등)도 있음 영상통화 영상을 통해 고객과 증표를 육안으로 대조할 수 있으므로 신뢰성이 높음 성형 등으로 인해 외모의 변화가 있을 경우 증표와 고객의 실제 일치 여부를 판단하기 어려울 수 있어 추가 인증 및 안면인식 솔루션 도입의 필요성이 제기되고 있음 영상통화를 통한 고객확인 진행을 위한 직원의 필요로 인해영업시간에만 비대면 인증을 실시할 수 있는 제약이 발생 고객의 영상장비 보유 필요 접근매체 전달 시 확인 전달업체 직원을 통해 대면 확인이 가능 및 가입자 주소일치여부 확인 가능 실물전달에 상대적으로 오랜 기간이 필요 기존 계좌 활용 활용범위가 넓으며 적용이 간단함 명의도용, 복수 계좌 개설 등 부작용 가능성 기타 이에 준하는 방법 바이오 인증 등 신기술 적용이 가능함 안정성 검증의 어려움 및 허용 범위 선정의 어려움 존재 다수의 개인정보 검증 고객 입장에서 사용이 간편하고 금융회사 적용이 쉬움 개인정보 관리ㅣ의 어려움 및 사고 유출 시 리스크 존재 타기관 확인결과 활용 인증서, 휴대폰 등 이미 사용되는 기술을 활용 가능하므로 편의성 및 범용성이 높음 휴대폰 분실 등 타인에게 유출 가능성 존재 사고 발생시 책임 소재 분쟁 이슈 자료 : 금융위원회, 계좌 개설시 실명확인 방식 합리화방안 42
금융회사의 안전한 비대면 인증을 위한 연구 2. 국내 비대면 인증 적용 현황 2016년 3월을 기준으로 은행 및 증권업계 대부분에서는 비대면 인증을 통한 계좌 개설이 가능해 졌으며, 대부분 웹과 모바일 애플리케이션을 이용한 비대면 인증 방식을 채택하고 있다. 2015년 12월 금융위원회는 금융실명제 도입 이후 대면 방식으로 시행되던 실명 확인을 정부의 핀테크 산업 활성화를 위해 복수의 방법을 통한 비대면 방식으로 할 수 있도록 허용했다. 그리고 2016년 2월 22일부터는 제 2금융권으로 확대 적용했다. 금융위가 제안한 실명확인 방식의 유권해석은 생체인증을 추가로 인정하고 있다. 국내 금융회사 별 비대면 인증 방식 채택 현황은 [표 4]와 같다. 비대면 인증을 적용한 일부 금융회사의 데이터를 살펴보면, 주로 실명확인증표 사본 제출 및 기존계좌 활용, 영상통화를 사용하고 있으며, SMS 및 공인인증서 등의 타 기관 확인결과를 추가로 활용하고 있었다. [표 4] 국내 일부 금융회사별 비대면 인증 기술 적용 현황 비대면 인증 기술 분류 실명확인증표 사본 제출 영상 통화 기존계좌 활용 접근매체 전달 시 확인 기타 이에 준하는 방법 다수의 개인정보 검증 타 기관 확인결과 활용 SMS 공인인증서 A 은 행 B C D E A 증 권 B C D E 전자금융과 금융보안 2016. 4. 43
3. 시사점 해외의 비대면 인증 현황을 살펴본 결과, 유럽과 일본의 경우 우편을 통해 신분증 사본을 금융회사에 제출하거나, 실명확인 후 보안카드, OTP 등의 접근매체를 우편을 통해 가입자에게 전달하는 접근매체 전달 시 확인 방식을 주로 채택하고 있었다. 반면, 우리나라의 경우 [표 4]와 같이 디지털 채널을 통한 비대면 인증 방식을 선호하고 있으며, 이는 인터넷 및 모바일 뱅킹 사용률이 높은 국내의 특성을 반영한 결과로 분석된다. 실제로, 한국은행의 조사결과에 따르면 2015년 3/4분기 기준 국내 인터넷뱅킹 서비스 등록고객(모바일뱅킹 포함)은 1억 1,529만 명이며, 이용건수(일평균)는 7,766만 건으로, 지속적으로 증가하고 있음을 확인할 수 있다([그림 2], [그림 3]). 6) 현재 국내 금융회사에서 새로이 도입한 비대면 인증 방식 중 대다수가 디지털 채널을 기반으로 하는 이유도 이러한 국내 환경이 반영된 것이라 볼 수 있다. 따라서 향후 비대면 인증 도입 예정인 국내 금융회사 및 설립 진행 중인 인터넷전문은행 또한 디지털 채널 기반의 비대면 인증 방식을 주로 활용 것으로 예상된다. [그림 2] 인터넷뱅킹 이용실적 추이 [그림 3] 인터넷뱅킹 등록 고객 수 추이 (단위:천건) 90,000 80,000 70,000 60,000 50,000 40,000 30,000 20,000 10,000 (단위:천명) 인터넷뱅킹 전체 모바일뱅킹 PC기반 인터넷뱅킹 인터넷뱅킹 전체 모바일뱅킹 PC기반 인터넷뱅킹 120,000 100,000 80,000 60,000 40,000 20,000 0 0 1/4 2/4 3/4 4/4 1/4 2/4 3/4 4/4 1/4 2/4 3/4 4/4 1/4 2/4 3/4 4/4 1/4 2/4 3/4 1/4 2/4 3/4 4/4 1/4 2/4 3/4 4/4 1/42/4 3/4 4/4 1/4 2/4 3/4 4/4 1/4 2/4 3/4 2011 2012 2013 2014 2015 2011 2012 2013 2014 2015 (일평균, 이용건수 기준) 자료 : 한국은행, 2015년 3/4분기 국내 인터넷뱅킹서비스 이용현황 44 6) 2015년 3/4분기 국내 인터넷뱅킹서비스 이용현황, 한국은행, 2015.11.
금융회사의 안전한 비대면 인증을 위한 연구 Ⅳ. 비대면 인증기술 보안성 확보 방안 금융위원회의 계좌 개설시 실명확인 방식 합리화방안 에 따르면 비대면 확인방식의 실명 확인 정확도 확보를 위하여 2중 확인을 의무화하고, 다중확인(Multi-Check)을 권고사항으로 운영하도록 하고 있다. 7) 미국의 FFIEC의 인터넷뱅킹 환경의 인증 가이드라인 에서도 인터넷 기반의 환경에서 보안을 향상시키기 위한 방안으로 다계층 보안을 사용할 것을 권고하고 있다. 2중 확인 및 다중확인을 통한 실명확인의 정확도를 확보하기 위해서는 각 실명확인 단계의 올바른 구현이 전제되어야 한다. 각 비대면 인증기술은 구현상의 오류, 잘못된 설계 및 인증 시스템의 운영 등으로 인해 우회의 가능성이 존재한다. 더욱이 디지털 채널 기반의 비대면 인증은 온라인에서 이루어진다는 특성상 우회 취약점이 발견되면 대량의 대포통장 개설 등 큰 피해가 발생할 가능성이 높기 때문에 각 인증에 대하여 정확한 구현이 필요하다. 이를 위해 각 비대면 인증기술들을 분석하여 구현상의 오류 등으로 인해 발생할 수 있는 취약점을 도출하고, 이에 대한 조치방안과 금융회사에서 확인하기 위한 진단항목을 제시하고자 한다. 1. 비대면 인증 절차 해외의 비대면 인증 계좌개설 절차([표 1])와 같이, 국내 비대면 인증 계좌개설 절차 또한 크게 5 단계(시작, 신청, 심사, 계좌개설, 종료)로 구분할 수 있다. 금융회사는 각 단계 중 신청 단계 와 계좌개설 단계 에서 이용자 인증을 수행하게 되고, 이를 위해 필수 인증 방식 두 가지와 권고 인증 방식 중 한 가지를 선택해서 진행해야 한다. 이러한 비대면 인증 절차를 예를 들어 나타내면 [그림 4]와 같다. 7) 계좌 개설시 실명확인 방식 합리화방안, 금융위원회 2015.5. 전자금융과 금융보안 2016. 4. 45
[그림 4] 비대면 인증 계좌개설 절차 신청단계 심사단계 계좌개설단계 시작 신청 신분증 및 입력정보 심사 정보입력 계좌개설 완료 YES 신청자격 확인 심사 승인 여부 계정/비밀번호 설정 YES NO 휴대폰 인증 종료 기존계좌에서 신규 계좌로 소액 입금 휴대폰 인증 성공여부 입급 정보 확인 YES 신분증표 제출 YES YES 접근매체 등록 (OTP/보안카드) NO 신분증 제출 완료 YES 기존계좌 검증 기존계좌 검증 완료 종료 46
금융회사의 안전한 비대면 인증을 위한 연구 2. 비대면 인증기술별 취약점 분석 가. 실명확인증표 사본 제출 실명확인증표 확인은 일반적으로 스마트폰을 이용하여 주민등록증 혹은 운전면허증 등의 실명확인증표를 촬영한 사본을 제출하는 방식으로 이루어진다. 실명확인증표는 주민등록번호, 주소, 지문 등 매우 민감한 개인정보가 포함되어 있기 때문에 촬영을 한 직후 서버에 저장 후 인증이 완료되는 순간까지 취급에 주의해야 한다. 비대면 인증 진행 중 이용자의 실명 확인증표 사본(사진 등)이 유출되어 도용될 경우 2차, 3차 피해가 발생할 가능성이 크기 때문에 각 세부 단계별 검증이 필요하다. 실명확인증표 사본 제출 방식의 프로세스를 예를 들어 나타내면 [그림 5] 와 같다. 그리고 웹 애플리케이션 기반의 제출 방식을 이용할 경우, 업로드 하기 위한 실명확인증표의 사본파일이 유출될 가능성이 내포되어 있으므로 웹 기반의 실명확인증표 사본 제출은 지양해야 한다. [그림 5] 실명확인증표 사본 제출 프로세스 1실명확인증표 사본제출 2정보판독 및 사용자 검증 3네트워크 전송 4실명확인증표 저장 1) 주민등록번호 메모리 정보 노출 1 실명확인증표 사본 제출 과정에서 실명확인증표에 OCR(광학 문자 인식, Optical character recognition)기술을 적용하는 경우가 있다. 이러한 정보판독 과정에서 주민등록 번호 등 실명확인증표에 존재하는 민감 정보가 메모리에 저장되는 경우, 공격자가 메모리의 전자금융과 금융보안 2016. 4. 47
데이터에 접근함으로써 이용자의 중요정보가 유출될 가능성이 존재한다. 이를 방지하기 위해, 2 정보 판독 및 사용자검증 과정에서 주민등록번호 사용 후 할당했던 메모리를 해제하거나 다른 값으로 덮어 씌워 메모리상에 주민등록번호가 남아있지 않도록 조치해야 한다. 2) 악성 앱 호출 가능성 존재 또한, 1 실명확인증표 사본제출 과정을 모바일 앱을 통해 진행하는 경우 실명확인증표 촬영을 위해 금융 앱에 내장된 촬영 기능이 아닌, 외부의 촬영 전용 앱을 호출하는 경우가 있다. 이러한 경우 공격자는 촬영 전용 앱과 동일한 패키지 명을 가진 악성 앱을 미리 설치하여 촬영 앱 호출 시 악성 앱이 실행되도록 할 수 있다. 이러한 악성 행위를 방지하기 위해 외부 앱 호출 시 앱의 해시(hash)값 확인, 위변조 방지 솔루션 적용 등과 같은 다양한 방법이 있다. 3) 메모리 덤프 후 실명확인증표 사진 복원 스마트폰을 사용하여 실명확인증표 사본을 제출하는 경우 미리 스캔한 실명확인증표 파일을 제출하는 방식이 아닌 카메라를 사용해서 즉시 제출하여 진행가능하다. 실명확인증표를 촬영한 직후에 메모리상에는 해당 이미지가 존재하며, 공격자는 이 메모리에 접근하여 촬영사진을 복원할 수 있다. 이러한 메모리 사진 복원 공격을 막기 위해 실명확인증표 사진은 반드시 촬영 즉시 암호화하여 보관 및 전송해야 한다. 또한 3 네트워크 전송 이 완료된 이후에는 메모리 내에서 삭제하도록 한다. 4) 캡처 및 백그라운드 스크린 샷을 통한 정보 유출 방지 1 실명확인증표 사본제출 시 사진 촬영 직후 대부분의 앱에서는 확인을 목적으로 실명 확인증표 사진을 화면에 보여주는데, 이때 캡처방지 기능이 적용되어 있지 않은 경우 화면 캡처 기능을 통해 신분확인증표가 유출될 수 있다. 또한 ios의 경우 앱이 백그라운드로 진입 시, 진입 직전의 화면을 스크린 샷으로 저장하므로 실명확인을 진행 중인 화면의 이미지 파일이 snapshots 폴더에 저장되어 실명확인증표의 이미지가 유출될 가능성이 존재한다. 이를 48
금융회사의 안전한 비대면 인증을 위한 연구 방지하기 위해 화면 캡처 방지 기능을 적용하고, ios의 경우 백그라운드 진입 시 스냅샷 화면을 교체 혹은 삭제해야 한다. 5) 네트워크 평문 전송 실명확인증표 사진 및 OCR로 인식한 실명확인증표 상의 개인정보를 평문으로 전송하는 경우 네트워크상에서 트래픽 캡처 등에 의해 유출될 수 있으므로 3 네트워크로 전송 시 반드시 SSL 등과 같은 통신 구간 암호화 기술을 적용해야 하며, 중요 정보는 E2E 적용을 권장한다. 6) 타 이용자 신분확인증표 노출 실명확인증표 전송 후 이미지를 보여주기 위해 4 실명확인증표 저장 과정에서 서버의 특정 식별번호로 실명증표 이미지를 로드하도록 구현한 경우 식별번호 파라미터 변조를 통해, 타 이용자가 업로드 한 실명증표 이미지 파일 및 정보가 유출될 수 있다. 이를 방지하기 위해 이용자가 직접 URL을 통해 이미지에 접근할 수 없도록 해야 하며, 업무상 반드시 필요한 경우 타 이용자의 신분증표가 노출되지 않도록 이용자 검증 절차를 수행해야 한다. 또한 비대면 인증이 완료된 이용자의 실명확인증표 사본은 일정기간이 지나면 반드시 삭제해야 한다. 7) 파일 업로드 기능을 통한 웹쉘 업로드 가능 이미지 파일 업로드 시 파일 확장자 검증을 수행하지 않는 경우 공격자는 명령 실행 및 파일열람 등이 가능한 웹쉘 8) 을 업로드 하여 서버를 장악할 수 있다. 웹쉘이 업로드 되면 공격자는 웹페이지 변조, 데이터베이스 접근, 악성코드 삽입 등 모든 공격이 가능하므로 반드시 업로드 파일에 대한 확장자를 검증하여, 이미지 파일만 업로드 할 수 있도록 해야 한다. 화이트리스트 기반으로 허용하는 파일 확장자를 정한 뒤 이외의 확장자에 대해서는 업로드를 차단해야 한다. 또한 업로드 된 파일은 웹을 통해 직접 접근이 불가능 하도록 웹 루트 디렉터리보다 상위 디렉터리에 저장하도록 해야 한다. 8) 공격자가 원격에서 웹서버에 명령을 수행할 수 있도록 작성한 웹 스크립트(asp, php, jsp, cgi 등) 파일 전자금융과 금융보안 2016. 4. 49
8) 대용량 파일 업로드를 통한 디스크 자원 고갈 이미지 파일 업로드 시 파일 크기에 대한 제한을 두지 않는 경우 대용량의 파일을 지속 적으로 업로드하여 서버의 디스크 자원 낭비를 유도할 수 있다. 서버의 디스크를 가득 채워 타 이용자의 정상적인 이미지 파일 업로드가 불가능하도록 하여 서비스 거부 공격을 수행할 수 있다. 이를 방지하기 위해 서버 설정 및 업로드 파일 사이즈를 서버 측에서 검증해야 한다. 나. 영상 통화 영상통화를 이용한 실명확인은 금융회사 직원이 고객과 영상통화를 하면서 육안 및 안면 인식기술을 통해 제출한 실명확인증표의 사진과 고객 얼굴을 대조하는 방식이다. 이와 같이 영상통화 방식은 금융회사 직원이 직접 고객을 확인 할 수 있어 신뢰성이 높다는 것이 가장 큰 장점이다. 하지만 영상통화는 금융회사 영업시간에 영상통화가 가능한 디바이스를 보유한 고객을 대상으로 담당직원이 직접 인증을 진행해야 한다는 제약사항이 존재하기 때문에 아직 많은 금융회사에서 도입을 하지 않고 있다. 하지만 향후 관련 인프라가 갖춰질 경우 강력한 인증을 수행할 수 있을 것으로 예상된다. 미국 경우, 스마트폰에는 영상통화가 가능한 카메라가 부착되어 있고, 음성통화가 바로 가능하다는 장점으로 인해 스마트폰 기반의 영상통화 방식이 모바일 뱅킹의 인증방식으로 채택이 되고 있다. 1) 영상통화 전 유의사항 및 진행절차 안내 영상통화의 경우 기술적 보안보다 직원이 영상통화를 통해서 본인여부를 확인하는 업무처리 절차가 중요하다. 따라서 원활한 업무처리를 위해 영상통화가 진행되기 이전에 진행절차의 안내를 제공하는 것이 중요하다. 영상통화는는 육안 식별이 가능해야 하므로 영상통화 절차 시 얼굴식별에 방해가 되는 모자, 선글라스 등 피해야 하며, 얼굴이 충분히 보일 수 있는 밝은 장소에서 진행되어야 한다. 이러한 최소한의 요건을 [표 5]과 같이, 고객에게 공지하여 식별이 용이한 환경에서 영상통화가 진행될 수 있도록 해야 한다. 또한 실명확인을 위한 영상통화 시에는 고객정보, 비밀번호 등을 묻지 않음을 사전에 고객에게 안내하여 영상통화를 가장한 피싱(Phishing)을 방지해야 한다. 50
금융회사의 안전한 비대면 인증을 위한 연구 [표 5] 안내문구 예시 영상통화 시 유의사항 - 영상통화시 충분히 밝은 장소에서 실시해야 합니다. - 얼굴을 가리는 모자, 선글라스 등으로 인하여 육안 식별이 어려운 경우 신청이 거절될 수 있습니다. - 영상통화 시 절대 OTP, 비밀번호 등의 정보를 묻지 않습니다. 이러한 정보를 요구하는 경우 피싱일 확률이 높으니 유의하시기 바랍니다. - 실제 소유여부와 실명증표의 실물 여부를 확인하기 위해 촬영한 실명증표를 영상으로 추가 확인을 진행합니다. 영상통화에 한정되지 않지만 일본의 Sony bank 홈페이지에는 [그림 6]과 같이 이용자의 금융사기 예방을 위한 보안강좌 페이지가 존재하며, 이를 통해 피싱 등의 사회공학적인 공격을 예방하기 위한 안내문을 공지하고 있다. [그림 6] Sony bank 홈페이지의 피싱방지 안내 전자금융과 금융보안 2016. 4. 51
2) 영상통화 실시 중 추가 인증 적용 영상통화 자체로도 강력한 인증수단이지만, 보안 수준향상을 위해 추가 인증을 실시해야 한다. 이러한 추가 인증은 다양한 기술을 토대로 시도되고 있는 추세이다. Wells Fargo 은행의 계좌개설 앱인 CEO Mobile에서는 주요 거래 이용 시 영상통화와 함께 생체인증의 한 종류인 음성인증을 추가로 실시 중이다. 또한, 신한은행에서 도입한 디지털 키오스크(Kiosk)의 경우에도 생체인증 중 정맥인증을 추가 실시하고 있다. 이밖에도 기존의 ARS인증, PIN번호 입력 등의 추가 인증 방식도 고려해볼 수 있다. 3) 인증 단계 우회 영상통화 이전에 다른 인증 방식을 이용하여 2채널 인증을 수행할 경우에도 성공유무를 서버 측에서 확인하지 않을 경우, 2채널 인증을 우회할 수 있는 취약점이 존재한다. 영상 통화도 마찬가지로 이러한 인증의 유무에 대한 검증을 클라이언트 측에서 실시할 경우, 스크립트 조작, 액티비티 호출, 뷰 호출 등의 기술을 이용하여 인증의 우회가 가능하다. 따라서 영상통화를 통한 이용자 인증의 성공여부를 서버 세션에 저장을 하고, 이용자가 영상통화를 통한 인증을 수행했는지 검증해야 한다. 다. 타기관 확인결과 활용 타기관 확인결과를 활용한 실명확인 방식은 일반적으로 사용되고 있는 휴대폰 인증, 공인 인증서, 아이핀 등의 다양한 타기관 인증수단을 활용하는 방식이다. 휴대폰 기반 인증은 대부분 SMS인증 방식을 채택하고 있으며, 가입자 본인 소유의 휴대폰으로 4~6자리 임의의 숫자를 발송하고 이용자가 인증번호를 앱에서 입력하는 방식이다. 공인인증서 인증은 기존의 금융거래에 사용하던 공인인증서를 이용하여 본인임을 인증 하는 방식이다. 2015년 3월 8일 전자금융감독규정 개정안에 따라, 전자금융거래에서 공인 인증서의 사용 의무가 폐지되었지만 공인인증서는 여전히 전자금융거래 시 인증 수단으로 다수의 금융기관에서 사용 중이며, 기존 방식을 선호하는 이용자의 경우 익숙한 방식일 수 있다. 하지만 대부분의 이용자가 인증서를 보안이 취약한 PC 하드디스크에 저장하므로 기존에 공인인증서의 문제점으로 제기되었던 인증서의 안전한 보관에 대한 문제점과 함께, 공인 52
금융회사의 안전한 비대면 인증을 위한 연구 인증서를 활용한 인증절차구현의 오류로 인해 인증과정을 우회할 수 있는 취약점이 존재할 수 있다. [그림 7] 타기관 확인결과 활용 프로세스 1식별정보 입력 (휴대폰 번호, 인증서, ipin등) 2식별정보 전송 3타기관 인증 4인증결과 전송 5인증결과 저장 6인증결과 전달 1) 인증 단계 우회 일반적으로 인증 성공 후 6 인증 결과 전달 과정을 거쳐 다음 단계 인증 화면을 호출 하도록 되어 있으나, 동적 디버깅 툴을 이용하거나 스크립트 코드를 강제로 실행하여 다음 단계 화면을 강제로 호출 할 수 있다. 또한 6 인증 결과 전달 단계를 Ajax로 구현하여 결과 값만 클라이언트에 저장하고 자바스크립트를 통해 성공 유무를 확인하는 경우에도 간단한 스크립트 조작을 통해 검증 우회가 가능하다. 이러한 검증 절차 우회를 방지하기 위해서 반드시 각 인증 절차별로 성공 유무를 서버 세션에 저장하고 이전 단계 검증 유무를 확인해야 한다. 2) 타 이용자 정보로 인증 가능 1 식별정보 입력 단계에서 휴대폰 인증을 위하여 본인 소유의 휴대폰 번호를 입력한 후 SMS의 인증번호를 입력하도록 되어 있는 경우 본인 소유가 아닌 타인의 휴대폰 번호를 입력하여 인증을 시도 할 수 있다. 이때, 단순히 인증번호만을 검증하는 경우 우회가 가능하다. 전자금융과 금융보안 2016. 4. 53
휴대폰 인증 시에는 반드시 인증을 시도하는 휴대폰 번호가 본인 소유인지 검증을 수행하여야 한다. 마찬가지로, 공인인증서의 경우 본인인증을 위한 인증서 서명임에도 불구하고 단순히 인증서 비밀번호만 확인하고 전송된 인증서 내의 정보와 로그인 혹은 인증 진행 중인 이용 자와의 일치여부를 검증하지 않는 경우가 존재한다. 이러한 경우 타 이용자의 공인인증서로 서명하여 본인인증을 우회할 수 있다. 3) 식별정보 네트워크 노출 2 식별정보 전송 단계에서 휴대폰 인증의 경우 인증번호 요청을 하면 일반적으로 서버 측에서 인증번호를 생성 및 보관하여야 하나, 구현상의 실수로 생성 혹은 검증 과정을 클라 이언트에서 수행하는 경우 인증 문자가 노출될 가능성이 존재한다. 인증정보를 클라이언트에서 생성하여 서버로 전송한 뒤 해당 인증번호를 SMS로 보내는 방식으로 잘못 구현된 경우, 2 식별정보 전송 단계에서 네트워크상에서 노출된 인증번호를 확인하여 실제 SMS를 확인하지 않고도 인증에 성공할 수 있다. 또한, 인증번호 검증을 클라이언트에서 수행하기 위해 클라이언트로 인증 번호를 전송해주는 경우가 있는데 이러한 경우에도 클라이언트 에서 네트워크 패킷을 확인하여 실제 SMS를 확인하지 않고도 인증에 성공할 수 있다. 4) 식별정보 재사용 3 타기관 인증 ~ 5 인증결과 저장 단계에서 발생할 수 있는 취약점으로, 이용자에게 입력받은 식별정보를 검증하는 전반적인 과정에서 발생할 수 있다. 휴대폰 인증의 경우 서버에서 생성한 인증문자는 일반적으로 유효기간과 일련번호가 존재한다. 대부분 3~4분의 유효기간을 가지고 있으나 간혹 구현상의 실수로 인해 이러한 시간 검증을 하지 않는 경우 이미 사용되었거나 유효기간이 지난 인증문자를 재사용 할 수 있다. 유효기간을 설정하지 않을 경우 무작위 대입 공격을 통한 인증번호 획득 등의 공격이 가능하기 때문에 유효기간이 지난 인증번호는 사용할 수 없도록 조치해야 한다. 또한 일련번호를 조작하여 기존에 검증에 성공했거나 사용되지 않았던 일련번호로 조작하여 인증문자를 재사용하여 검증에 성공할 수 있는 가능성도 있다. 공인인증서를 활용하는 경우 중간자 공격을 통해 암호화된 인증서 전송 패킷을 획득한 후 패킷을 재전송하여 인증에 성공할 수 있다. 이를 방지하기 위해 인증정보의 일회성을 검증하기 54
금융회사의 안전한 비대면 인증을 위한 연구 위한 정보가 필요하며 고정된 정보가 아닌 타임스탬프와 같은 일회성 정보를 추가하여 인증 패킷의 재사용을 막을 수 있다. 5) 보안 키패드 및 키보드보안 미적용 공인인증서는 일반 금융거래 및 범용으로 사용될 수 있으므로 공인인증서를 활용하여 인증을 수행하는 경우 비밀번호가 노출되지 않도록 보호하는 것이 매우 중요하다. 이를 위해 OS에 내장된 키보드가 아닌 가상 키패드와 같은 보안키패드를 적용하거나 키 로깅(key logging)이 어렵도록 키보드 보안 모듈을 적용해야 한다. 라. 기존 계좌 활용 기존계좌를 활용한 인증은 다른 금융회사에서 기존에 사용 중이던 계좌를 이용하여 실명 확인을 수행하는 것으로, 한번 검증된 계좌를 이용하므로 신뢰도와 정확성이 높다고 볼 수 있다. 하지만 이러한 기존계좌 활용 방법 역시 구현상의 오류 등으로 인해 우회 가능성이 존재하므로 기존계좌 검증 시 발생할 수 있는 취약점을 사전에 방지해야 한다. [그림 8] 기존 계좌를 활용한 검증 프로세스 1기존계좌 입력 2계좌정보 전송 3계좌 소유주 검증 4인증결과 전송 5소액 계좌이체 전자금융과 금융보안 2016. 4. 55
1) 타 이용자 계좌 입력 1 기존계좌 입력 단계에서 입력된 계좌가 본인 소유의 계좌인지 검증하는 절차가 미비한 경우 타 이용자의 계좌를 입력했음에도 불구하고 검증을 통과하여 진행될 수 있다. 또한 구현상의 실수로 계좌가 존재하는지 여부만 검증하는 경우에도 우회의 가능성이 존재한다. 그러므로 반드시 비대면 인증을 진행하는 대상자와 이용자에게 입력받은 계좌 소유주의 일치 여부를 검증해야 한다. 2) 검증단계 우회 일반적으로 기존계좌 입력 및 검증 성공 후 다음 단계 화면을 호출 하도록 되어 있으나, 동적 디버깅 툴을 이용하거나 스크립트 코드를 강제로 실행하여 다음 단계 화면을 강제로 호출 할 수 있으며 이를 이용하여 1~4 단계의 검증 절차가 우회될 수 있다. 이러한 검증 절차 우회를 방지하기 위해서 반드시 각 인증 절차별로 성공 유무를 서버 세션에 저장하고 이전 단계 검증 유무를 확인해야 한다. 3) 이체시 본인 계좌 검증 미비 5 소액 계좌이체 단계는 미리 입력한 본인의 계좌에서 소액을 지정 계좌로 이체하여 본인임을 검증하는 것이지만 입금계좌 검증을 수행하지 않는 경우, 이체 직전 계좌번호를 변조하여 입력했던 계좌번호가 아닌 다른 이용자의 계좌로 입금을 하여 인증을 우회할 수 있다. 계좌 이체 검증 시 반드시 비대면 인증과정을 진행하는 이용자 본인 소유이며 미리 입력된 계좌임을 검증해야 한다. 마. 기타 이에 준하는 방법 지금까지 알아본 비대면 인증 방식 중에서 기타 이에 준하는 방법(생체인증) 을 의무 사항 중의 선택 가능한 방안으로 권고하고 있다. 이중 생체인증 은 지문, 얼굴, 홍채, 정맥 등의 개인 고유의 생체정보를 기반으로 개인을 식별하는 방식이다. 최근 해외에서는 모바일 56
금융회사의 안전한 비대면 인증을 위한 연구 디바이스의 발달로 디바이스에서 지원하는 지문인식, 카메라를 활용한 얼굴 인식 등의 생체인증 기술을 적용한 인증방식을 적용하는 금융회사가 늘어나는 추세이다. 국내에서는 생체인증을 적용한 모바일 앱은 아직 소개되지 않았지만, 높은 스마트폰 보급율과 모바일 뱅킹의 이용 빈도가 증가하고 있기 때문에 국내에서도 생체인증을 채택하는 금융회사가 곧 등장할 것으로 예상된다. 1) 생체인증 시 추가인증 적용 생체인증은 다른 인증기반보다 신뢰도가 높지만, 생체정보의 조작사례가 과거 존재하였다. 독일의 해커단체 CCC는 독일 국방부장관의 기자회견 사진 등을 이용해서 VeriFinger 소프트웨어를 이용한 지문복제를 시연했으며, 또한 러시아 대통령 푸틴의 고해상도 사진을 출력하여 홍채를 복제하는 Print attack을 선보였다. 생체인증 자체로 신뢰도가 높지만 이를 우회하기 위한 방법이 존재하기 때문에 추가인증을 도입해야 한다. 해외의 생체인증 도입 사례를 살펴보면, 미국의 보험사 USAA는 안면, 음성, Touch ID(Apple의 지문인식 솔루션) 인증을 실시하고 있으며, HSBC 은행에서는 음성, Touch ID를 이용한 인증을 실시하고 있다. 2) 생체정보의 안전한 저장 생체정보는 고유성과 시간이 지나도 변하지 않는 불변성의 특징이 존재하기 때문에, 유출 되었을 경우 지속적인 악용이 가능한 단점이 존재한다. 따라서 생체정보의 유출을 방지하기 위해 암호화 저장, 보관 및 이용자를 알 수 있는 정보와 논리적 물리적 분리가 필요하다. 9) 바. 다수의 개인정보 검증 다수의 개인정보 검증은 이름, 휴대폰 번호, 주민등록번호 등 이용자에게 다수의 개인정보를 입력받고 신용정보를 가진 기관을 통해 비교하여 실명확인을 수행하는 방식이다. 이용자가 9) 바이오정보 사고사례 및 대응방안 조사, 금융보안원 보안연구부, 2016.3. 전자금융과 금융보안 2016. 4. 57
이미 알고 있는 본인의 개인정보를 입력하는 방식이므로 쉽고 편리하나 개인정보의 특성상 유출되었을 시 위험도가 크다는 단점이 존재한다. 따라서 검증에 필요한 최소한의 개인정보의 수집을 실시해야 한다. 1) 인증단계 우회 다른 인증 방식과 동일하게, 동적 디버깅 툴을 이용하거나 스크립트 코드를 강제로 실행하여 다음 단계 화면을 강제로 호출 할 수 있으며 이를 이용하여 검증 절차가 우회될 수 있는 가능성이 존재한다. 이러한 검증 절차 우회를 방지하기 위해서 반드시 각 인증 절차별로 성공 유무를 서버 세션에 저장하고 이전 단계 검증 유무를 확인해야 한다. 2) 타 이용자 개인정보를 이용한 우회 단순히 입력된 이용자가 존재하는지 여부만을 검증하는 경우 다른 이용자의 개인정보를 입력하여 인증에 성공할 수 있다. 이를 방지하기 위해 입력받은 이용자의 개인정보가 비대면 인증을 수행중인 이용자의 정보인지 검증해야 한다. 3) 개인정보 네트워크 노출 주민등록번호, 휴대폰 번호 등 개인정보의 경우 유출되었을 경우 이용자의 명의 도용 등 다양한 추가 피해가 발생할 수 있으므로 민감한 개인정보를 입력받는 경우 반드시 암호화하여 전송해야 한다. 평문으로 전송하는 경우 네트워크 패킷 캡처 등을 통해 개인정보가 유출 될 수 있다. 또한 개인정보를 저장해야 할 필요가 있는 경우 개인정보보호법을 준수하도록 안전한 암호화 방식을 적용하여 저장해야 한다. 58
금융회사의 안전한 비대면 인증을 위한 연구 4) 개인정보 검증 누락 다수의 개인정보를 입력받아 검증을 수행하는 경우 구현상의 오류로 일부의 항목을 누락하여 전송하여도 인증에 성공할 수 있으므로 입력받은 개인정보의 모든 항목에 대하여 검증을 수행하여야 한다. 3. 비대면 인증기술 체크리스트 지금까지 디지털 채널을 기반으로 하는 비대면 인증 시 진단 항목들을 정리하였다. 국내 금융회사들이 디지털 채널을 통한 비대면 인증 방식의 도입을 선호하고 있으며, 접근매체 전달방식은 실명확인 소요시간이 상대적으로 오래 걸리며 비용 문제 등으로 인하여 도입이 많이 이루어지지 않고 있다, 이러한 단점에 대한 충분한 논의가 이루어진 이후 접근매체 전달 방식에 대한 향후 도입을 고려할 수 있지만, 본 고에서 현재 적용 사례를 확인하지 못하여 접근매체 전달방식을 제외하고 진단항목을 정리하였고, 다음 [표 6]과 같다. [표 6] 비대면 인증기술 체크리스트 분류 취약점 설명 주민등록번호 메모리 정보 노출 메모리에 주민등록번호 노출 악성 앱 호출 가능성 존재 촬영용 외부 패키지와 동일한 패키지명의 악성앱 호출 가능 실명확인증표 사본 제출 메모리 덤프 후 실명확인증표 사진 복원 캡처 및 백그라운드 스크린샷을 통한 정보 유출 방지 실명증표 촬영 후 메모리 덤프를 통해 실명증표 복원 가능 캡처 및 백그라운드 스크린샷을 통해 화면정보 유출 가능 네트워크 평문 전송 실명증표 및 관련정보 전송 시 평문 전송 타 사용자 신분증표 노출 파라미터 변조를 통해 타 사용자의 신분증표 조회 가능 전자금융과 금융보안 2016. 4. 59
분류 취약점 설명 실명확인증표 사본 제출 파일 업로드 기능을 통한 악성파일 업로드 가능 대용량 파일 업로드를 통한 디스크 자원 고갈 업로드 가능 확장자 검증 미실시로 웹쉘 등 악성파일 업로드 가능 파일 업로드 사이즈 제한 미비로 대용량 파일 업로드를 통하여 서비스 거부 공격 가능 화상통화 전 유의사항 및 가이드라인 제공 피싱 예방을 위한 유의사항 및 가이드라인 미제공 영상 통화 화상통화 실시 중 추가 인증 적용 화상통화 중 추가 인증수단 미적용 인증 단계 우회 스크립트 및 동적 디버깅 툴을 이용한 인증 단계 우회 가능 타 사용자 정보로 인증 가능 타 사용자의 식별정보를 입력하여 인증 가능 인증 단계 우회 스크립트 및 동적 디버깅 툴을 이용한 인증 단계 우회 가능 타기관 확인 결과 활용 식별정보 네트워크 노출 중요 식별정보가 평문으로 전송되거나 불필요하게 네트워크로 전송 식별정보 재사용 식별정보 및 패킷을 재사용하여 인증 가능 보안 키패드 및 키보드보안 미적용 키로거등에 의해 비밀번호 등 중요 정보 노출 가능 타 사용자 계좌 입력 타 사용자의 계좌를 이용하여 인증 가능 기존 계좌 활용 검증단계 우회 스크립트 및 동적 디버깅 툴을 이용한 인증 단계 우회 가능 이체시 본인 계좌 검증 미비 미리 입력된 계좌가 아닌 타 사용자의 계좌로 이체 인증 가능 60
금융회사의 안전한 비대면 인증을 위한 연구 분류 취약점 설명 기타 이에 준하는 방법 생체인증 시 추가인증 적용 바이오정보의 안전한 저장 생체인증 시 추가인증 미실시 바이오정보의 암호화 저장 미실시 인증단계 우회 스크립트 및 동적 디버깅 툴을 이용한 인증 단계 우회 가능 다수의 개인정보 검증 타 사용자 개인정보를 이용한 우회 개인정보 네트워크 노출 타 사용자의 개인정보를 이용한 인증 가능 중요 개인정보 네트워크 평문전송 개인정보 검증 누락 일부 개인정보 누락해도 인증에 성공 전자금융과 금융보안 2016. 4. 61
Ⅴ. 결 론 금융거래를 위한 계좌개설 시 실명확인은 금융거래실명거래 및 비밀보장에 관한 법률 (약칭 금융실명법) 에 따라 실지명의( 實 地 名 義 )에 의한 금융거래를 실시하고 그 비밀을 보장하여 금융거래의 정상화를 꾀하고자 함에 있다. 기존에는 금융서비스 이용을 위해 실지명의(이름, 주민번호) 확인이 주로 대면을 통한 실명확인을 통해 계좌가 개설하는 관행이 속되었던 것이 사실이다. 하지만 핀테크 등 금융 IT분야의 발달이라는 기술 개발 추세에 따라 비대면 방식을 다양하게 활용하고자 하는 글로벌 동향과 이에 부합하는 규제개선이 이루어짐에 따라, 바이오인증기술, 스마트폰 등 디지털 채널, 증명서류(실명증표 사본 등)와 같은 다양한 비대면 채널을 통한 계좌개설이 가능해졌고 그 비중이 높아지는 추세이다. 특히 스마트폰 이용자 수의 증가에 따라 모바일 애플리케이션을 활용한 비대면 인증을 통한 계좌개설의 비중이 증가하고 있다. 모바일 기반의 비대면 인증기술의 발달은 기존 금융회사의 영업 방식 등에 있어 많은 변화를 가져올 것으로 예상된다. 20여년 넘게 지속되었던 금융관행의 변경에 따른 실무 혼선 등 부작용을 최소화하고 이로 인한 위협에 대응하기 위해서는 그 어떤 것보다 보안이 우선되어야 한다. 다가올 온라인 및 모바일 환경의 전자금융 서비스의 실명인증 정확성을 향상시키기 위해 국내에서도 2중 확인을 의무화하고, 다중확인(Multi-Check) 등 정확한 실명인증을 수행하기 위해 다중인증 권고하고 있으나, 각 실명확인 절차의 정확한 구현이 전제되어야 목적을 달성할 수 있다. 각각의 인증 절차별로 기술적, 관리적 우회 가능성을 제거하고 확실한 실명확인을 통해 안전한 금융서비스를 제공해야 한다. 국내 인터넷전문은행의 등장과 함께, 기존 금융회사들 또한 새로운 패러다임에 대응하기 위해 빠른 속도로 경쟁에 돌입하고 있다. 자칫 시장을 선점하기 위한 과도한 경쟁으로 인해, 실명확인 절차의 안전성에 소홀할 경우 금융회사에 피해가 발생할 수 있다. 본 고에서 알아본 비대면 인증과정에서 발생할 수 있는 취약점을 사전에 파악하여 안전한 비대면 인증 절차 구현에 기여할 수 있길 바란다. 62
금융회사의 안전한 비대면 인증을 위한 연구 <참고문헌> [1] 2015년 3/4분기 국내 인터넷뱅킹서비스 이용현황, 한국은행, 2015.11. [2] Digital Banking report, Javelin. 2015.9, [3] Authentication in an Internet Banking Environment, FFIEC, 2011.6. [4] 한국형 인터넷전문은행 도입방안, 한국금융연구원, 2015.4. [5] 계좌 개설시 실명확인 방식 합리화방안, 금융위원회 2015.5. [6] 바이오정보 사고사례 및 대응방안 조사, 금융보안원 보안연구부, 2016.3. 전자금융과 금융보안 2016. 4. 63
금융권의 웨어러블 기기 활용 및 보안 동향 이 근 영* Ⅰ. 서 론 67 Ⅱ. 웨어러블 기기의 개념 및 유형 68 1. 웨어러블 기기의 개념 68 2. 웨어러블 기기의 특징 및 유형 69 3. 웨어러블 기기의 주요 기술 및 진화방향 74 Ⅲ. 웨어러블 기기의 동향 및 기술적 이슈 79 1. 웨어러블 기기의 시장 동향 79 2. 웨어러블 기기의 기술 및 표준화 동향 81 3. 웨어러블 기기의 기술적 이슈 83 Ⅳ. 웨어러블 기기의 활용 85 1. 웨어러블 기기의 유형별 주요 활용 사례 85 2. 금융권의 웨어러블 기기 활용 86 Ⅴ. 웨어러블 기기의 보안 동향 92 1. 웨어러블 기기 활용에서 보안 이슈 92 2. 웨어러블 기기 활용에서 보안 기술 99 Ⅵ. 결 론 102 <참고문헌> 103 * 금융보안원 보안연구부 보안기술팀 (e-mail : kylee@fsec.or.kr ) 전자금융과 금융보안 2016. 4. 65
요 약 웨어러블 기기(wearable device)는 팔찌, 손목 시계, 의복 등과 같이 신체에 착용할 수 있는 형태의 스마트 기기를 의미하며, 일부 컴퓨팅 기능 수행이 가능한 애플리케이션을 포함하고 있어 헬스케어 등 실생활에서 이용이 점점 증가하는 추세이다. 웨어러블 기기는 스마트폰 보다 더 다양한 종류의 센서들을 제공하고 있다. 이러한 웨어러블 기기의 센서들을 통해 수집된 정보들을 바탕으로 이용자의 형태에 맞게 빅데이터 분석 등을 통해 스마트 서비스를 제공할 수 있는 연결고리의 역할을 하게 될 것으로 기대하고 있다. 또한 본격적인 사물인터넷(IoT) 시대에 들어가게 되면 좀 더 많은 사물 들의 연결을 통해 이용자들에게 편리함을 제공할 수 있는 형태로 웨어러블 기기의 기능 (용도)이 자리 잡아 갈 것으로 보고 있다. 핀테크(FinTech)의 흐름을 맞이하여 금융권에서도 웨어러블 기기의 활용은 스마트폰에 부가적인 역할 중 인증 수단으로 결제, 뱅킹 서비스 등에 적용되고 있다. 현재 금융권의 웨어러블 기기 활용은 주요 산업군을 형성하기 보다는 보조 기능을 제공하는 형태이므로 타 산업군과의 융합이 중요하다고 볼 수 있다. 하지만 모바일 트랜드에 발맞추어 웨어러블 기기의 활용이라는 신기술을 이해하고 참여하려는 노력이 중요하며, 기존 스마트폰을 기반으로 하던 서비스에 웨어러블 기기의 활용은 스마트 금융서비스의 새로운 영역으로의 확장이라는 혁신에 대비할 수 있을 것이다. 또한 웨어러블 기기의 활용은 정보보호와 프라이버시를 필수적으로 고려하여야 하며, Security by Design, Privacy by Design 의 원칙에 따라 설계, 이용, 관리 된다면 웨어러블 기기의 활용은 금융 서비스 뿐 아니라 우리의 삶을 더욱 스마트하게 해 줄 것이라고 기대해 본다. 이에 본고에서 다루고 있는 금융권 웨어러블 기기의 기술적 특징 및 활용 사례, 보안 이슈 및 동향을 바탕으로 신기술에 대한 이해에 도움을 주고자 한다. 66
금융권의 웨어러블 기기 활용 및 보안 동향 Ⅰ. 서 론 국제 통신 박람회인 모바일 월드 콩그레스(MWC) 행사 1) 를 주최하는 세계이동통신사업자 연합회(GSMA)는 올해 MWC에서 주목해야할 5가지 키워드 2) 중에 하나로 웨어러블 기기 를 선정할 만큼 웨어러블 시장의 성장을 예상하고 있다. 웨어러블 기기가 최근 주목받기 시작한 것은 스마트폰과 태블릿 PC 시장의 포화상태에서 스마트 기기의 뒤를 잇는 차세대 아이템에 대한 관심이다. 비록 아직까지 웨어러블 기기가 Big thing으로 자리 잡은 것은 아니지만 웨어러블 기기의 특징과 보안성에 대한 부분이 뒷받침 된다면 대중화 및 시장에서 위치를 확고히 할 것으로 전망하고 있다. 금융권에서 웨어러블 기기 활용은 기존의 비밀번호, 공인인증서, OTP(One Time Password) 등을 대신하여 핀테크 시대에 보안성이 높으면서 외우거나 소지하지 않고 바이오 정보를 이용할 수 있는 인증 수단으로 주목받고 있으며, 결제 및 뱅킹 서비스에서도 점차 활용되고 있는 상황이다. 따라서 본 연구보고서에서는 금융권 웨어러블 활용 및 보안 동향 에 대해 다음과 같은 순서로 살펴보고자 한다. 우선 웨어러블 기기의 특징 및 유형, 웨어러블 기기의 주요 기술에 대해 파악하고, 구체적 으로 웨어러블 기기의 구현을 가능하게 하기 위한 기술적인 요소 및 이슈, 그리고 발전 양상에 대해 살펴봄으로써 웨어러블 기기에 대한 이론적인 이해도를 돕도록 한다. 이러한 기술적인 이해를 바탕으로 웨어러블 기기 유형별 주요 활용 사례 및 스마트워치, 스마트 밴드, 웨어러블 글래스 등에서 결제서비스 및 뱅킹서비스에도 활용되고 있는 사례들을 알아보고 보안 이슈들을 짚어본다. 마지막으로 앞서 제기한 내용들을 바탕으로 웨어러블 기기 활용 시 고려해야할 보안사항들을 제시하기로 한다. 1) https://www.mobileworldcongress.com/ 2) 5가지 키워드는 디바이스(스마트폰 등), 웨어러블 기기, 사물인터넷(IoT), OTT(Over The Top)*, 사생활보호 및 보안으로 소개되었다. * 유투브, 넷플릭스와 같이 주문형 비디오 서비스 시장에서 인프라 제어권을 가지는 ISP나 셋탑박스 사업자 위에서 응용서비스 형태로 서비스를 제공하는 자에서 파생되어, 전통적 통제권자의 위에서 영향력을 행사하는 자를 의미 전자금융과 금융보안 2016. 4. 67
Ⅱ. 웨어러블 기기의 개념 및 유형 1. 웨어러블 기기의 개념 웨어러블 기기(Wearable Device) 3) 란 안경, 시계, 의복 등과 같이 착용할 수 있는(Wear able) 형태의 스마트 기기(Device)를 의미하며, 일부 컴퓨팅 기능 수행이 가능한 애플리 케이션을 포함하고 있어 웨어러블 컴퓨터(Wearable Computer)라고 정의될 수 있을 것이다. 최초의 웨어러블 기기는 1960년대 MIT 미디어랩에서 부착형 타입의 웨어러블 컴퓨팅에 대한 연구를 시작으로 1966년 컴퓨터를 이용한 헤드 마운티드 디스플레이(Head Mounted Display, HMD) 4) 를 시초로 볼 수 있다. 1970년대 웨어러블 기기는 전자 기기(계산기, 카메라 등)를 시계나 신발 등에 부착시키는 수준이었으나, 1990년대 급속한 컴퓨터의 발전으로 군사용 뿐 아니라 민간용으로 다양한 형태의 웨어러블 기기들이 등장하기 시작하였다. 2013년 구글의 구글 글래스 5) 는 웨어러블 기기에 대한 폭발적인 관심을 가져왔으며, 최근 스마트폰 시장의 성장 정체가 본격화되고 있는 가운데 이를 극복하기 위한 새로운 서비스의 제공 기회로 조명 받고 있다. 웨어러블 기기는 PC와 스마트폰의 한계성을 극복한 단순히 소형화된 기기에 그치는 것이 아니라, IoT의 단말기이면서 신체 정보(Vital Sign)를 기기의 센서로부터 수집하여 해당 정보를 서버에서 분석하는 빅데이터(Big Data) 분석 기술까지 적용될 수 있다. 웨어러블 기기는 액세서리형, 직물/의류 일체형, 신체 부착형, 생체 이식형의 형태로 사람의 신체에 부착됨과 동시에 중요한 정보를 인식 및 전달할 수 있으며, 기존 디바이스와는 차별 화되어 적용 대상 범위와 기술의 발달에 따라 다양한 사업과 연결되면서 그 개념과 의미가 진화하고 있다. 68 3) 웨어러블 디바이스(wearable device)라고도 불리우며, 본고에서는 웨어러블 기기 로 하기로 한다. 4) 헬멧 마운디트 디스플레이(helmet-mounted display)라고도 하며, 머리 또는 헬멧의 일부분으로 착용하여 기기의 양쪽 눈 앞 부분에 작은 광학(optic) 디스플레이스가 장착된 기기이다. From Wikipedia, the free encyclopedia 5) 구글이 프로젝트 글래스(Project Glass) 라는 연구개발 프로젝트로 개발 중인 헤드 마운티드 디스플레이(HMD)가 장착된 착용 컴퓨터이며, 스마트폰과 같은 핸즈프리(손을 쓰지 않는) 형태로 정보를 보여주므로 자연 언어 음성 명령을 통해 인터넷과 상호 작용할 수 있다.