이 기술은 사용자가 해당 사이트에 접속해 팝업으로 띄워진 QR코드를 스마트폰으로 인식시켜 금융기관의 서버와 내 PC, 스마트폰을 동시에 인증하는 방식이다. 스마트폰에 인증정보를 입력하면 PC에서 자동 로그인 되며, 스마트폰으로 사진을 찍듯이 주소창을 촬영하면 웹브라우저 주소가 진짜인지 확인도 가능하다. 최종 접속 시간, 사용자 PC의 IP, 접속횟수 등도 스마트폰에 표시된다.
패스워드를 직접 전송하지 않고 상호인증을 수행하기 때문에 안전하게 피싱과 파밍 공격을 차단할 수 있다는 것이 ETRI 측의 설명이다.
또한 HTTPS 주소를 스마트폰 카메라를 통해 인식하는 방식을 통해 피싱사이트 주소와의 일치 여부를 자동으로 검증한다. 보안쿠키를 사용해 일단 사용자 PC로 등록한 이후에는 해당 쿠키를 스마트폰에서 매번 검증하는 과정을 거치므로 해커가 쿠키를 탈취해 재사용하는 공격도 차단한다.
ETRI 측은 금융기관에서 이 기술을 채택할 경우 로그인 또는 계좌이체시 위와 같은 절차를 거쳐 고객 피해를 막을 수 있을 것으로 내다보고 있다.
앞서 ETRI는 지난 2012년 ‘스마트채널2’ 기술을 개발한 바 있다. 이번에 개발한 스마트채널3 기술은 SSL(Secure Socket Layer) 인증과 보안쿠키를 활용한 피싱 방지 기능 등이 추가됐다.
조현숙 ETRI 사이버보안연구본부장은 “지난해 이래 온라인 피싱ㆍ파밍 공격피해가 폭증하고 있으며, 공격 기술도 매우 고도화됐다”면서 “현재 금융권이 추진 중인 지정PCㆍ투채널 인증ㆍSSL인증서 제도와 병행해 이번 스마트채널3 기술이 활용된다면 보안성과 편의성 모두 한층 강화될 수 있을 것”이라고 기대했다.
jyc@heraldcorp.com
