금융보안원(원장 박상원)이 5일 간편 비밀번호·생체인증 등 다양한 금융 인증 체계를 해커의 관점에서 심층 분석한 ‘레드아이리스 인사이트 리포트, 캠페인 폴터가이스트(Poltergeist)’를 발간했다.

폴터가이스트는 피해자 인지 없이 인증 수단을 발급받아 공격하는 방법이 마치 불가사의한 대상이 사물을 조종하는 심령현상(Poltergeist)과 같아 이름 붙여졌다.

금융보안원 레드아이리스(RED IRIS)팀은 최정예 화이트해커로 구성됐으며 이들은 금융 서비스의 본인 인증 우회 취약점을 인증 수단 및 절차별로 분석해 조치사항을 도출했다. 전통적인 비밀번호 인증을 포함해 간편인증과 SMS, 공동인증서를 비롯한 다양한 비대면 인증 수단에서 인증정보 획득·요청·검증 등 절차별로 취약점을 발견했다.

명의 검증 절차가 정확히 지켜지지 않는 취약점을 이용해 외부 인증기관에 공격자 명의로 본인 인증을 한 후 금융기관에는 금융고객이 한 것으로 속임으로써 금융고객의 인증정보 획득했다.

발견된 취약점을 활용해 가상의 시나리오를 설정, 모의해킹을 수행한 결과 금융소비자의 계정 탈취와 금전 탈취 및 임의 계좌 개설 등 금융범죄에 악용될 수 있는 가능성을 발견했다.

금융회사에는 취약점 발생 원인에 대한 상세 분석을 통해 인증 절차에 대한 보안성 강화 방안을 제안했다.

금융보안원은 오는 12일 금융회사를 대상으로 ‘취약점 분석·평가 정보공유 세미나’를 개최할 예정이다.

박상원 금융보안원장은 “사용자 편의를 위한 간편 인증 절차가 범죄를 위한 간편 해킹 절차가 되지 않도록 금융회사는 서비스 설계-개발-운영의 모든 단계에서 고객 인증 절차에 대한 보안성 확보에 각별히 주의를 기울여야 한다”고 말했다.

이경기 기자

cellin@naeil.com