전자금융사기예방서비스 2가지의 조합은 3가지?

9월 26일 전면시행된  전자금융사기 예방서비스는 2가지입니다

단말기지정, 추가인증

예방서비스 조합에 따른 보안성 비교

그런데 개인이 선택할수 있는 서비스조합은 3가지 선택지가 있습니다

아래 표와 같습니다

A. 단말기 지정서비스만 이용	지정된 단말기에서만 인증서 발급과 이체업무가 가능합니다.	지정된 단말기 이외단말에서는 추가인증으로도 업무가 불가능함  (미지정 단말에 대한 높은 배제성)
B. 추가인증서비스만 이용	인증서 발급과 이체 300만원 초과시  모든단말기에서 추가인증을 요구합니다.	추가인증 없이 업무가능한 단말기는 전혀 없음 (기본 인증요구 수준이 높음)
C. 단말기 지정 + 추가인증서비스 둘다 이용	지정된 단말기 : 추가인증없이 업무처리  그 이외의 단말기 : 추가인증요구	A 선택지와 비교하면 지정이외 단말기에서도 추가인증으로 업무가 처리되어버리는 약점 B 선택지와 비교하면 지정된 단말기에서는 추가인증없이 업무가 처리되어버리는 약점

표를 보면 알수 있듯이 두 예방서비스의 특성상 

A 나 B 처럼 하나의 서비스만 사용하는것이 오히려 보안성이 더 높습니다.

C 와 같이 두 서비스를 다 사용하면 어느 하나만 사용하는것보다는 한단계 낮은 보안성 (= 높은 편리성) 을 가지게 됩니다.

단말기 지정 서비스의 헛점?

KB 에서 단말기 지정 서비스를 등록해 보았습니다

시스템의 헛점인지 모르겠지만, 동일한 컴퓨터로 중복 등록이 가능합니다.

누출된 정보나 분실된 폰으로 누군가 엉뚱한 컴퓨터를 추가등록하는것을 막기 위해서라면

최대 5개의 등록내역 모두를 자신의 pc 로 중복등록 해놓는것도 방법이 될것 같습니다. 

하지만, 등록된 PC의 해지절차 역시 추가적인 보안수준을 요구하지 않기 때문에 등록된 PC 를 삭제하고 해킹범의 PC 를 등록하는것을 막아낼 만한 방어책은 보이지 않습니다.

한마디로  투채널 인증가능한 해킹범은  PC추가등록이 마음대로 가능하다는 이야기 입니다.

PC 추가등록 과정이  추가인증과 동일한 보안성을 가진다는 문제

실제 PC 추가등록 과정을 수행해보면 그냥  2채널 인증과 인증서 암호만으로 처리됩니다.

즉 추가인증 (2채널 인증)을 수행하수 있는 정보를 수집한 해킹범은 자신의 PC 를 추가등록할수 있다는 말인데, 그렇다면 단말기 지정서비스의 존재 이유가 좀 모호해집니다.

어떻든  사기예방 서비스가 존재하지 않는것 보다는 보안성이 높아진것은 사실입니다.

하지만 2개의 서비스가 사실상  하나의 요건(2채널 인증) 만으로 신청 가능하고,  2채널 인증만으로 단말 추가가 가능해서 금융기관이나 감독기관이  위 서비스의 신청/해지와  단말기 추가/삭제 과정은  2채널 인증보다  1단계 높은  대면신청/해지 같은 보완책을 내 놓아야 할 것 같습니다.

금융기관에 따라서 스마트폰(휴대폰)은 등록 불가능한 문제

휴대폰도 고정된 MAC 주소를 가진 통신단말기입니다만, 금융기관에 따라서 PC 만 등록가능하고  휴대폰은 불가능한 사례도 있습니다.

- PC 고유정보로 단말기를 인식, 스마트폰은 현재 등록불가 - 

해당 기관의 고객센터와 통화를 해 보니 스마트폰은 PC의 인증서를 스마트폰으로 옮기는 과정이 필요하므로 굳이 스마트폰까지 등록단말기 제도를 운영할 필요가 없지 않느냐는 취지의 답변을 하는데,  현재 스마트폰 MTS 용 인증서는 스마트폰에서 바로 발급받고 역으로 PC 로 옮기는것도 가능합니다. 

고객이 A. 단말기 지정서비스만을 신청한 상태라면, 해킹범이 스마트폰을 통해 이체거래를 시도할때  단말기 등록서비스의 제한도 받지 않고,  2채널 인증도 받지 않고 무사히 이체를 완료할수 있을것 같습니다.

2채널 인증의 핵심은 고객정보란의 휴대전화번호

ARS 이든 SMS 이든 2채널 추가인증이 문지기로서 유효하기 위한  핵심은 금융기관에 등록된 고객 휴대전화번호입니다. 이 고객정보를 해킹범이 로그인후 쉽게 변경할수 있다면, 2채널인증의 보안성은 무력화됩니다.

각 금융기관 홈페이지를 보면 과거와 같은 보안성으로 방치해 둔 경우가 많은데, 최소한 2채널 인증보다는 더 강력한 보안성을 통과해야 고객정보를 변경할수 있도록 개선되어야 할 것 같습니다.

- 통신상품 가입내역 확인, 신규 개통내역 이메일 통지가 가능한 엠세이퍼 서비스 -

더불어 사용자들도 자기명의의 휴대전화 개통시 메일로 통지받을수 있는 엠세이퍼 서비스www.msafer.or.kr/ 등에 가입해서 휴대전화 관리에 각별히 신경을 써야 될것 같습니다. 도둑놈이 유출된 신분증 이미지 등으로 휴대전화를 개통하고 그 휴대전화번호로 2채널 인증을 받아버리면 큰 피해를 입을수 있으니까요.