ETRI-케이사인, 스마트폰 기반 액티브피싱 방지기술 개발

2012-10-23 11:01
  • 글자크기 설정
아주경제 이한선 기자= 국내에서 스마트폰 기반 액티브피싱 방지기술이 개발됐다.

ETRI는 케이사인과 공동연구를 통해 스마트폰 기반의 안전한 사용자 인증 및 피싱 방지 기능을 제공하는 스마트채널2 기술을 개발했다고 23일 밝혔다.
기술은 올해 초에 개발한 스마트채널 기술을 보다 고도화한 것으로, 인증 및 피싱 방지 기능에 초점을 맞췄다.
기술은 서비스 사용자가 스마트폰을 이용해 웹브라우저 상의 로그인 QR코드를 인식하면, 스마트폰 보안정보를 이용해 서버와 스마트폰 간의 상호인증을 수행하는 방식을 적용했다.

패스워드를 직접 전송하지 않고 상호인증을 수행하기 때문에 안전하게 피싱 및 파밍(Pharming) 공격을 차단할 수 있고 지능화된 액티브(Active) 피싱 공격을 대비해 스마트폰 GPS 위치 및 로그인 이력과 웹브라우저의 IP 주소를 비교해 피싱 여부를 쉽게 탐지할 수 있는 장점을 확보했다.

해외에서 이슈가 되고 있는 액티브피싱의 경우 피싱사이트가 서버와 사용자 사이에 위치해 단순히 이용자 입력을 서버에 전달해 대신 로그인하는 공격이기 때문에 원본(Original) 사이트와의 구분이 매우 어렵다는 문제가 있다.
액티브피싱 방지를 위해 OTP(One-Time Password), 공인인증서, SSL(Secure Socket Layer), 피싱방지 솔루션 등이 활발히 도입되고 있지만, 피싱사이트는 해커가 임의로 변조할 수 있기 때문에 이러한 보안솔루션을 쉽게 무력화시킬 수 있다.

미국 보안 솔루션업체인 RSA시큐리티에 따르면 OTP만으로는 액티브피싱과 같은 고도화된 공격에 취약하다고 발표했다.

ETRI연구팀에서도 현재 서비스 중인 한 대형은행의 인터넷뱅킹의 경우 OTP, SSL, 가상키보드, 바이러스백신, 피싱방지 솔루션 등을 모두 적용했지만 액티브피싱을 통해 쉽게 우회할 수 있음을 확인했다.

이번 기술은 지식경제부 산업융합원천기술개발사업의 연구결과물로, 현재 이지서티, SGA시큐리티 등 관련 정보보안 산업체로의 기술이전이 추진되고 있고 금융기관과 공공기관의 웹사이트 피싱 방지 및 사용자 인증 강화를 위한 시험서비스 도입을 관련기관과 협의 중이다.

진승헌 ETRI 인증기술연구팀장은 사용자는 피싱방지 이미지의 위·변조의 경우 4%, SSL의 존재 여부는 아무도 인식못한다는 MIT.하버드의 연구결과를 인용하면서 “피싱 사이트를 막기 위해 사용자에게 확인을 요구하는 것은 현실적으로 불가능하며, 액티브피싱과 같은 고도화된 피싱 기술에 매번 대응하기도 어렵다”며 “이번에 개발한 스마트채널 기술은 단순히 QR코드를 인식하여 서비스에 로그인한다는 개념만 인식하면 되기 때문에 매우 현실적이고 효과적인 피싱 방지 솔루션이다”라고 밝혔다.

©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지

0개의 댓글
0 / 300

로그인 후 댓글작성이 가능합니다.
로그인 하시겠습니까?

닫기

댓글을 삭제 하시겠습니까?

닫기

이미 참여하셨습니다.

닫기

이미 신고 접수한 게시물입니다.

닫기
신고사유
0 / 100
닫기

신고접수가 완료되었습니다. 담당자가 확인후 신속히 처리하도록 하겠습니다.

닫기

차단해제 하시겠습니까?

닫기

사용자 차단 시 현재 사용자의 게시물을 보실 수 없습니다.

닫기
공유하기
닫기
기사 이미지 확대 보기
닫기
언어선택
  • 중국어
  • 영어
  • 일본어
  • 베트남어
닫기