"금융정보 빼내는 가짜 웹사이트, 스마트폰으로 찍어 가려낸다"

▲ETRI 연구진이 스마트폰으로 은행사이트에 접속해 스마트폰으로 QR코드를 찍어 해당 사이트가 올바른 사이트인지 여부를 확인하고 있다.

[아시아경제 김영식 기자]최근 PC를 이용한 인터넷뱅킹 사용자들을 대상으로 악성코드를 심어 가짜 은행 웹사이트로 유도해 금융정보를 빼내는 '파밍(Pharming)' 사기 피해가 늘었다. 이에 스마트폰 카메라로 웹 브라우저 주소창을 확인하고 로그인하는 새로운 보안 기술이 국내 연구진에 의해 개발됐다.

한국전자통신연구원(ETRI)은 23일 스마트폰을 이용해 안전한 인증과 해킹 방지 기능을 제공하는 '스마트채널3' 기술을 개발했다고 밝혔다. 은행 홈페이지에 접속할 때 별도로 뜨는 팝업창의 'QR코드'를 스마트폰 카메라로 찍으면, 은행 서버와 내 PC, 스마트폰이 동시에 인증되는 방식이다. 패스워드를 직접 전송하지 않고도 상호인증을 수행하기 때문에 피싱이나 파밍 사기를 차단할 수 있다.

스마트폰에 인증정보를 입력하는 것만으로 PC의 은행 홈페이지에 로그인되며, 의심스러운 홈페이지의 주소창을 스마트폰 카메라로 찍으면 진짜 주소인지 확인할 수도 있다. 본인 확인절차가 끝나면 최종 접속시간, 사용자 PC의 IP주소나 접속횟수 등도 스마트폰에 표시된다. 한 번 인식된 사용자 PC는 해커가 변조할 수 없도록 암호화된 보안쿠키가 설치되므로, 은행 홈페이지를 쓸 때마다 매번 절차를 거칠 필요 없이 보안쿠키를 검증해 간편하게 사용이 가능하다.

▲ETRI 연구진이 스마트폰으로 은행사이트에 접속해 해당 사이트가 올바른 사이트인지 스마트폰으로 QR코드를 찍어 확인하는 기술을 시연하고 있다.

ETRI는 "스마트채널3 기술은 지난 2012년에 개발한 스마트채널2기술을 보다 고도화한 것으로, SSL 인증과 보안쿠키를 활용한 피싱 방지 기능을 수행한다"고 설명했다.
사이트 URL을 카메라로 인식해 피싱 사이트인지 판별하는 기술과, 변조 및 재사용을 방지하는 보안쿠키가 핵심이다.

컴퓨터를 이용한 전자정부서비스나 금융거래가 보편화 되면서 악의적인 목적의 개인정보 침해는 물론 금융사고도 빈발하고 있다. 피싱 등 사기로 인한 피해건수와 피해액은 지난해 상반기까지 4만여건, 약 4400억원에 이를 정도다. 앞으로 이 기술이 상용화되면 금융기관에서는 로그인이나 계좌이체시 위와 같은 절차를 거치게 될 전망이다. ETRI는 이 기술을 보안업체에 이전했으며, 금융기관·공공기관과 협의해 웹사이트 피싱 방지 및 사용자 인증 강화를 위한 시범서비스 및 상용화를 추진할 계획이다.

진승헌 ETRI 사이버보안기반연구부장은 "이번에 개발한 스마트채널3 기술은 단순히 QR코드를 인식하여 서비스에 로그인한다는 개념만 인식하면 되기 때문에 매우 현실적이고 효과적인 피싱·파밍 방지 솔루션"이라고 말했다.

조현숙 ETRI 사이버보안연구본부장도 “지난해부터 온라인 피싱·파밍 공격피해가 폭증하고 있으며, 공격 기술도 매우 고도화됐다"면서 "현재 금융권이 추진 중인 지정PC·투채널 인증·SSL인증서와 병행하여 스마트채널3 기술이 활용된다면 보안성과 편의성을 모두 만족하는 방안이 될 것"이라고 말했다.

김영식 기자 grad@asiae.co.kr