ETRI, 스마트폰 피싱 방지 로그인 서비스 개발

아주경제 이한선 기자 = 스마트폰을 이용해 웹 브라우저 주소창을 확인하고 로그인하는 기술을 국내 연구진이 개발했다.

한국전자통신연구원(ETRI)은 스마트폰을 이용해 안전한 인증 및 피싱 방지 기능을 제공하는 스마트채널3 기술을 개발했다고 23일 밝혔다.

ETRI가 개발에 성공한 기술은 악성코드나 피싱 및 파밍 공격 우려 없이 안전하게 인증할 수 있는 기술이다.

서비스는 해당 금융기관의 사이트에 접속해 팝업으로 띄워진 QR코드를 스마트폰으로 인식하고 금융기관의 서버와 내 PC, 스마트폰을 동시에 인증하는 방식이다.

스마트폰에 인증정보를 입력하면 PC가 로그인되고, 스마트폰으로 사진을 찍듯이 주소창을 찍으면 웹브라우저 주소가 진짜인지 확인 가능하다.

이같은 본인 확인절차가 끝나면 최종 접속한 시간, 사용자 PC의 IP, 접속횟수 등도 스마트폰에 표시된다. 패스워드를 직접 전송하지 않고 상호인증을 해 안전하게 피싱과 파밍 공격을 차단할 수 있다.

이 기술을 이용하게 되면 한 번 인식된 사용자 PC는 보안쿠키가 설치돼 사용할 때마다 같은 절차를 거치지 않고 보안쿠키를 검증해 사용할 수 있다.

일부 SNS 계정에서 지원하는 자동 로그인 기능도 보안쿠키를 사용하지만 해커가 쿠키의 내용을 변조하거나 재사용하는 공격이 가능하다.

ETRI의 보안쿠키는 PC에 특화된 정보를 내장하고 스마트폰에서 매번 변경되는 보안키로 암호화시켜 공격에 안전한 것이 특징이다.

이 기술의 핵심은 사이트 URL을 카메라로 인식해 피싱 사이트인지 판별하는 기술과 변조 및 재사용을 방지하는 보안쿠키다.

화면의 문자처리 및 이미지 프로세싱 기술과 투 채널 보안 프로토콜도 적용됐다.

스마트채널3 기술은 2012년 개발한 스마트채널2 기술을 보다 고도화한 것으로 시큐어소켓레이어(SSL) 인증과 보안쿠키를 활용, 피싱 방지 기능을 수행한다.

HTTPS 주소를 스마트폰 카메라를 통해 인식하고 피싱사이트 주소와의 일치 여부를 자동으로 검증하면서 보안쿠키를 사용해 한번 사용자 PC로 등록한 경우에는 해당 쿠키를 스마트폰에서 매번 검증해 해커가 쿠키를 탈취해 재사용하는 공격도 차단한다.

이 기술은 인증 절차 내에서 웹사이트 주소를 검증하는 단계가 포함돼 스마트폰에서 웹사이트 주소의 HTTPS 포함 및 유사한 피싱사이트와의 비교를 동시에 수행해 정상 웹사이트 여부를 자동으로 검증한다.

진승헌 ETRI 사이버보안기반연구부장은 “이번에 개발한 스마트채널3 기술은 단순히 QR코드를 인식하여 서비스에 로그인한다는 개념만 인식하면 되기 때문에 매우 현실적이고 효과적인 피싱·파밍 방지 솔루션이다”고 밝혔다.

조현숙 ETRI 사이버보안연구본부장도 “지난해 이후 온라인 피싱·파밍 공격피해가 폭증하고 있으며, 공격 기술도 매우 고도화되었다”며 “현재 금융권이 추진 중인 지정PC·투채널 인증·SSL인증서와 병행하여 스마트채널3 기술이 활용된다면 보안성과 편의성 모두 만족될 것”이라고 설명했다.

이번 기술은 보안업체에 기술이전됐고 추가적 이전도 협의 중으로 향후 금융기관 및 공공기관과 협의해 웹사이트에 피싱 방지 및 사용자 인증 강화를 위한 시범서비스 및 상용화를 추진할 계획이다.