금보원, 금융 인증 체계 취약점 분석 보고서 발간 - 데이터넷
금보원, 금융 인증 체계 취약점 분석 보고서 발간 - 데이터넷
[데이터넷] 금융보안원은 금융 인증 체계 취약점을 분석한 ‘레드 아이리스(RED IRIS) 인사이트 리포트: 폴터가이스트 캠페인(Campaign Poltergeist)’ 보고서를 5일 공개했다. 이 보고서는 금융보안원의
www.datanet.co.kr
“해커의 관점에서 바라본 본인 인증 체계” 심층 분석 - BI KOREA
금융보안원(원장 박상원)은 5일 발표를 통해, 간편 비밀번호·생체인증 등 다양한 금융 인증 체계를 해커의 관점에서 심층 분석한 ‘레드아이리스 인사이트 리포트 : 캠페인 폴터가이스트(Campaign
www.bikorea.net
- 리포트 개요
- 금융보안원 ‘레드 아이리스(RED IRIS)’ 팀이 해커 시각에서 금융 본인 인증 체계를 심층 분석
- 보고서 제목은 ‘인사이트 리포트: 캠페인 폴터가이스트(Campaign Poltergeist)’
- 폴터가이스트란 피해자 인지 없이 인증 수단이 발급되고 공격이 수행되는 현상을 은유한 명칭
- 인증 수단별 취약점 분석
- 비밀번호, 간편인증, SMS 인증, 공동인증서 등 다양한 비대면 인증 수단에서 취약점 존재
- 인증정보 획득 단계: 명의 검증 미흡으로 공격자가 외부 인증기관을 통해 본인 인증
- 인증정보 요청 단계: 공격자가 금융기관에 정상 사용자로 위장하여 요청 수행
- 인증정보 검증 단계: 금융기관이 요청자를 제대로 검증하지 못하고 인증 수행
- 비밀번호, 간편인증, SMS 인증, 공동인증서 등 다양한 비대면 인증 수단에서 취약점 존재
- 주요 공격 시나리오
- 명의 검증 절차 미흡 취약점을 활용한 공격 예시
- 외부 인증기관에서 공격자 명의로 본인 인증 수행
- 금융기관에는 정상 사용자로 위장하여 인증 요청
- 금융 고객의 인증정보 탈취 및 불법 사용
- 명의 검증 절차 미흡 취약점을 활용한 공격 예시
- 모의해킹 결과
- 계정 탈취
- 금전 탈취
- 임의 계좌 개설
- 위와 같은 결과가 시나리오 기반 모의해킹에서 입증됨
- 취약점 발생 원인 및 보안 권고
- 본인 인증 과정에서 ‘인증 대상 명의’와 ‘서비스 요청 명의’의 불일치 문제
- 보안 권고
- 인증 절차 내 명의 비교 검증 절차 필수화
- 외부 인증기관 사용 시 이중 확인 절차 강화
- 간편 인증 도입 시 보안성 설계 고려
- 향후 대응 및 발표 계획
- 리포트 요약본은 금융보안원 홈페이지에서 열람 가능
- 상세 기술 내용은 3월 12일 금융회사 대상 세미나에서 발표 예정
- 금융기관 대상 취약점 공유 및 대응 조치 전파 예정
- 결론
- 인증 간소화가 해커에겐 공격 간소화로 이어질 수 있음
- 금융 서비스의 설계부터 운영까지 전 단계에 걸친 인증 보안 강화가 필요
- 금융보안원은 향후에도 보안 위협 제거를 위한 선제적 분석 및 대응 활동 지속 예정
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 보안 데이터 레이크를 통한 저가치 로그의 효율적 저장 전략 (0) | 2025.03.30 |
|---|---|
| 제조업계를 겨냥한 사이버 공격 증가와 대응 미비 현황 (0) | 2025.03.30 |
| 블랙바스타와 캑터스 랜섬웨어 조직의 내부 분열과 위협 분석 (0) | 2025.03.30 |
| 카카오 고객센터 사칭 및 개인정보위 사칭 피싱 사기 급증 (0) | 2025.03.30 |
| AI 기반 스팸·사기 방지, 안드로이드의 새로운 실시간 탐지 기능 (0) | 2025.03.25 |