"악성코드 걱정 없다"… ETRI, ‘스마트채널2’ 기술 개발

전자정부서비스, 금융서비스를 대상으로 하는 악성코드나 피싱(Phishing) 공격 걱정 없이 스마트폰으로 안전하게 서비스 받을 수 있는 기술이 개발됐다.

한국전자통신연구원(ETRI)은 케이사인과 공동연구를 통해 스마트폰 기반의 안전한 사용자 인증 및 피싱 방지 기능을 제공하는 ‘스마트채널2’ 기술을 개발했다고 23일 밝혔다.

스마트채널2 기술은 올초 개발한 스마트채널 기술을 보다 고도화한 것으로 인증 및 피싱 방지 기능에 초점을 맞췄다. 서비스 사용자가 자신의 스마트폰을 이용해 웹브라우저 상의 로그인 QR코드를 인식하면 스마트폰 내 기 설정된 보안정보를 이용해 서버와 스마트폰 간의 상호인증을 수행하는 방식을 적용했다.

특히 이 기술은 패스워드를 직접 전송하지 않고 상호인증을 수행하기 때문에 안전하게 피싱 및 파밍(Pharming) 공격을 차단할 수 있다.

또 지능화된 액티브(Active)피싱 공격도 대비했다. 액티브피싱의 경우 피싱사이트가 서버와 사용자 사이에 위치해 원본(Original) 사이트와의 구분이 어렵다.

진승헌 ETRI 인증기술연구팀장은 “피싱 사이트를 막기 위해 사용자에게 확인을 요구하는 것은 현실적으로 불가능하며 액티브피싱과 같은 고도화된 피싱 기술에 매번 대응하기도 어렵다”면서 “이번에 개발한 스마트채널 기술은 단순히 QR코드를 인식해 서비스에 로그인한다는 개념만 인식하면 되기 때문에 매우 현실적이고 효과적인 피싱 방지 솔루션”이라고 밝혔다.

조현숙 ETRI 사이버융합보안연구단장도 “해외에서 이슈가 된 고도화 피싱 공격이 국내에도 조만간 등장할 전망”이라면서 “현재 금융권에서 인증 방식의 고도화와 피싱방지 솔루션에 비용을 투자하고 있지만 이 역시 액티브피싱 공격에는 취약점을 보인다. 선제적인 대응기술로 스마트채널 기술이 금융서비스 분야에서 특히 고려돼야 된다”고 강조했다.

한편 이번 기술은 지식경제부 산업융합원천기술개발사업의 연구결과물로 현재 이지서티, SGA시큐리티 등 관련 정보보안 산업체로의 기술이전이 추진되고 있다. 또한 금융기관과 공공기관의 웹사이트 피싱 방지 및 사용자 인증 강화를 위한 시험서비스 도입을 관련기관과 협의 중에 있다