[Hot Issue] ‘새로운’ 2채널 인증 방법을 찾아라!

인터넷망과 통신망 등 2개의 인증 채널을 함께 이용해 사용자 인증 절차를 밟는 것을 ‘2채널(또는 2팩터) 인증’이라고 한다. 인터넷 뱅킹 시 공인인증서로 본인 확인을 하고 SMS나 ARS 등 통신망을 이용해 추가로 본인 인증을 하는 방식이 대표적이다. 그러나 최근 SMS나 ARS를 이용한 2채널 인증 방식의 허점이 드러나면서 새로운 2채널 인증 방법에 대한 관심이 높아지고 있다. 특히 ‘핀테크(FinTech)’와 관련해 본인 인증 방식의 보안성과 함께 편의성이 중요한 요소로 부각되고 있다.

 

금융위원회와 금융감독원이 '전자금융사기 예방서비스' 제도를 도입한 2013년 이후 현재 인터넷 뱅킹 뿐만 아니라 온라인 쇼핑 결제 시에도 SMS나 ARS를 이용한 2채널 인증 방식이 이용되고 있다. 그러나 최근 ‘스미싱(Smishing)’ 및 스마트폰의 금융 정보를 탈취하는 모바일 악성코드 유포가 증가함에 따라 SMS 등의 본인 인증 정보가 탈취될 가능성이 높아지고 있다.

또한 ARS 인증 방식의 경우 ‘착신 전환’을 이용해 사용자 모르게 금융 이체나 결제가 이루어질 수도 있다. 착신 전환이란 유선 또는 무선 전화로 수신되는 전화를 다른 전화기로 받을 수 있게 해주는 통신사의 서비스이다. 예를 들어 사무실 전화를 휴대전화나 집 전화로 받을 수 있게 설정하는 것이다. 이 같은 착신 전화 서비스의 허점과 대포폰을 이용해 사용자 몰래 인증 정보를 가로채거나 금융 이체 또는 결제한 사건이 종종 발생하고 있다.

이처럼 SMS나 ARS를 통한 2채널 인증 방식의 보안 허점이 드러나면서 보다 안전한 2채널 인증 기술에 대한 요구가 늘고 있다. 이와 관련해 최근에는 USIM을 기반으로 한 인증 방식이 활발하게 등장하고 있다.
 

[그림 1] 인터넷 뱅킹 이용 시 추가인증수단으로 제공되는 2채널 인증

다양한 ‘USIM’ 기반 인증 방식 출시, 차이는?

USIM(Universal Subscriber Identity Module)은 ‘범용가입자 식별체계’를 뜻하는 용어로, 사용자 인증과 로밍, 전자상거래 등 다양한 서비스와 관련된 사용자의 개인 정보를 1장의 칩 또는 카드에 담는 기술이다. USIM 카드 또는 USIM 칩은 암•복호화 기능으로 사용자를 식별하는 초소형 CPU와 스마트폰의 부가서비스에 이용하는 저장공간인 메모리로 구성된다. 한국인터넷진흥원(이하 KISA)이 USIM 카드를 ‘보안 1등급 매체’로 지정한 점도 USIM 기반의 인증 기술 또는 서비스가 출시되고 있는 이유다.

USIM을 이용한 대표적인 인증 방식으로는 ▲USIM 스마트 인증 ▲USIM 기반 일회용비밀번호(OTP) 등이 있다.

 

‘USIM 스마트 인증’은 스마트폰에 장착된 USIM 칩에 공인인증서를 저장하여 금융 거래 시 전자서명과 함께 본인 인증에 이용하는 공인인증서비스이다. 안드로이드 스마트폰 사용자들은 일정 금액의 월 서비스 이용료만 지불하면 현재 이용 중인 통신사의 'USIM 스마트 인증' 애플리케이션을 설치하여 이용할 수 있다.

이른바 ‘스마트 OTP’로 불리는 USIM 기반 일회용비밀번호(OTP)는 스마트폰에 앱을 설치하여 금융 거래 시 일회용 비밀번호를 스마트폰 화면에 나타나게 하는 방식이다. 기존 OTP 방식이나 인증 방식에 비해 불편함이 많이 해소되었다는 것이 장점이지만 일각에서는 스마트 OTP 기술의 ‘시간 동기화’ 방식으로 인한 구조적 결함 등을 이유로 보안에 대한 우려를 제기하고 있다. 스마트폰의 시간을 앞선 시간, 즉 미래로 설정해 놓으면 해당 시간에 발생할 OTP 번호를 미리 받을 수 있다는 것이다. 또한 스마트폰 단말기에 악성코드가 설치되어 있을 경우 일회용 비밀번호가 전달되는 과정에서 유출될 수 있으며 앱 변조에 의한 보안 위협도 간과해서는 안된다.

 

핀테크 시대, 'AhnLab 간편인증'에 시선 집중

USIM 기반의 새로운 인증 방식이 등장했음에도 불구하고 사용자 편의성이나 보안이 여전히 발목을 잡고 있다. 특히 핀테크 시대로 접어들면서 사용자들이 얼마나 쉽고 안전하게 본인 인증을 할 수 있느냐가 핀테크 서비스의 성패를 좌우할 것으로 보인다.

이와 관련해 안랩은 지난 2월 SK텔레콤, KT, LG유플러스 등 이동통신 3사와 ‘스마트폰 간편인증’ 방식의 새로운 인증서비스 추진을 위한 양해각서를 체결하고, 9월 중 ‘AhnLab 간편인증’ 서비스를 출시할 예정이다.

AhnLab 간편인증 서비스는 안랩의 강력한 보안 모듈과 USIM, 그리고 통신사의 단말 정보를 활용한 새로운 인증 서비스이다. 간편결제 서비스 회사가 사용자 인증을 요청하면 안랩이 구축한 간편인증 서버를 통해 국내 이동통신사의 USIM 명의인증시스템에 접속한다. 이와 동시에 V3 Mobile Plus가 설치된 스마트폰에 인증 진행 여부를 확인하는 알림 메시지가 나타나며, 인증을 요청한 사용자의 USIM 칩 내에 저장된 정보와 단말기 정보가 해당 통신사에 정상적으로 등록된 명의와 기기 정보에 일치하는지 등으로 본인 여부를 확인한 뒤 인증 요청을 완료하게 된다. V3 Mobile Plus는 국내 주요 금융사에서 사용하고 있는 모바일 금융거래 보안 솔루션으로, 현재 약 2,900 만 명의 스마트폰 금융거래 사용자들이 이용하고 있어 신속한 서비스 적용이 가능하다는 것이 장점이다. 아이폰 사용자는 앱 스토어를 통해 제공되는 별도의 “AhnLab 간편인증” 앱을 이용 할 수 있다.

 

 [그림 2] AhnLab 간편인증 서비스 (안드로이드폰용 및 아이폰용)

길고 복잡한 개인정보를 입력하고 인증코드를 확인하여 직접 입력하던 기존 방식과 달리 AhnLab 간편인증 서비스는 한 번의 클릭만으로 사용자의 본인 인증이 가능하다. 즉, 계좌이체나 결제 시 인증번호를 입력하는 기존 인증 방식의 단계를 줄이고, 본인식별 정보 가로채기 등을 방지할 수 있어 강력한 보안과 더불어 사용자 편의성도 높일 수 있을 것으로 기대된다. 또한 금융거래 서비스 외에도 고객 정보가 불필요한 서비스의 로그인 시, 또는 주요 정보 변경 과정에서 필요한 본인 인증 시에도 적용할 수 있어 다양한 분야에서 활용이 가능하다.
​