스마트폰을 이용해 안전하게 인증하고 피싱을 방지할 수 있는 기술이 개발됐다.
한국전자통신연구원(ETRI·원장 김흥남)은 스마트폰으로 간단히 웹 브라우저 주소창을 확인하고 로그인하는 `스마트채널3` 기술을 개발했다고 23일 밝혔다.
이 기술은 개인금융 관련 정보를 빼가는 악성코드나 피싱 및 파밍 공격을 걱정할 필요 없이 안전하게 인증할 수 있다.
사용자는 해당 금융기관 사이트에 접속해 팝업으로 띄워진 QR코드를 스마트폰으로 인식시켜 금융기관 서버와 내 PC, 스마트폰을 동시에 인증하면 된다. 스마트폰에 인증정보를 입력하면 PC가 로그인되고, 스마트폰으로 사진을 찍듯 주소창을 찍으면 웹브라우저 주소가 진짜인지 확인도 가능하다.
특히 패스워드를 직접 전송하지 않고 상호인증을 수행하기 때문에 안전하게 피싱과 파밍 공격을 차단할 수 있다.
한 번 인식된 사용자 PC는 보안쿠키가 설치돼 사용 시마다 인증 절차를 거치지 않아도 된다. 이 보안쿠키는 PC에 특화된 정보를 내장하고 스마트폰에서 매번 변경되는 보안키로 암호화시켜 둬 해커 공격에 안전하다.
이 기술은 모 보안업체에 기술 이전됐다. 현재 한두 곳과도 추가 이전을 진행 중이다.
연구진은 향후 금융기관 및 공공기관과 협의해 웹사이트에 피싱 방지 및 사용자 인증 강화를 위한 시범서비스 및 상용화를 추진할 계획이다.
진승헌 ETRI 사이버보안기반연구부장은 “매우 현실적이고 효과적인 피싱·파밍 방지 솔루션”이라며 “현재 금융권이 추진 중인 지정PC·2채널 인증·SSL인증서와 병행해 스마트채널3 기술이 활용된다면 보안성과 편의성 모두 만족될 것”이라고 말했다.
대전=박희범기자 hbpark@etnews.com
