금융보안원(원장 박상원)이 간편 비밀번호, 생체인증 등 다양한 금융 인증 체계를 해커 관점에서 분석한 '레드아이리스 인사이트 리포트'를 발간했다.
화이트해커로 구성된 금융보안원 RED IRIS팀이 금융 서비스의 본인 인증 우회 취약점을 인증 수단과 절차별로 분석해 조치사항을 도출했다.
전통적인 비밀번호 인증을 포함해 간편인증, SMS, 공동인증서를 비롯해 다양한 비대면 인증 수단에서 인증정보 획득, 요청, 검증 등 절차별로 취약점을 발견했다. 발견된 취약점으로 가상 시나리오를 설정해 모의해킹을 수행했다.
금융보안원은 모의해킹 결과로 금융소비자의 계정을 탈취하거나 금전 탈취, 임의 계좌 개설 등 금융 범죄에 악용될 수 있는 가능성을 발견했고, 원인을 상세 분석해 보안성 강화 방안을 제안했다.
리포트 세부 내용은 오는 12일 금융회사 대상으로 한 '취약점 분석, 평가 정보공유 세미나'에서 발표될 예정이다.
박상원 금융보안원 원장은 “사용자 편의를 위한 간편 인증 절차가 범죄를 위한 간편 해킹 절차가 되지 않도록 금융회사는 서비스 설계-개발-운영의 모든 단계에서 고객 인증 절차에 대한 보안성 확보에 각별히 주의를 기울여야 한다”며 “금융보안원은 금융 서비스에 잠재된 보안 위협을 제거해 나갈 수 있도록 적극적인 역할을 수행하겠다”고 말했다.
박두호 기자 walnut_park@etnews.com
