금융 서비스 설계-개발-운영의 모든 단계에서 보안성 확보 필요
금융보안원(원장 박상원)은 간편 비밀번호·생체인증 등 다양한 금융 인증 체계를 해커의 관점에서 심층 분석한 ‘레드아이리스 인사이트 리포트-Campaign Poltergeist’를 발간했다.
세계적인 최정예 화이트해커로 구성된 금융보안원 RED IRIS팀은 금융 서비스의 본인 인증 우회 취약점을 인증 수단 및 절차별로 분석하여 조치사항을 도출해 냈다. ◊전통적인 비밀번호 인증을 포함하여 간편인증, SMS, 공동인증서를 비롯한 다양한 비대면 인증 수단에서 인증정보 획득·요청·검증 등 절차별로 취약점 발견 ◊발견된 취약점을 활용, 가상의 시나리오를 설정하여 모의해킹을 수행한 결과 금융소비자의 계정 탈취, 금전 탈취 및 임의 계좌 개설 등 금융 범죄에 악용될 수 있는 가능성을 발견 ◊취약점 발생 원인에 대한 상세 분석을 통해 인증 절차에 대한 보안성 강화 방안을 제안했다.
리포트 요약본은 금융보안원 홈페이지에서 열람이 가능하고, 세부 내용은 3월 12일 금융회사 대상 ‘취약점 분석·평가 정보공유 세미나’에서 발표될 예정이다.
금융보안원 박상원 원장은 “사용자 편의를 위한 간편 인증 절차가 범죄를 위한 간편 해킹 절차가 되지 않도록 금융회사는 서비스 설계-개발-운영의 모든 단계에서 고객 인증 절차에 대한 보안성 확보에 각별히 주의를 기울여야 한다”며 “금융보안원은 앞으로도 금융 서비스에 잠재된 보안 위협을 제거해 나갈 수 있도록 적극적인 역할을 수행하겠다”고 말했다.
[K-CTI 2025] 국내 최대 사이버위협·침해사고대응 인텔리전스 컨퍼런스 개최(7시간 교육이수)
-주최: 데일리시큐
-일시 2025년 4월 15일(화) / 오전 9시~오후 5시
-장소: 한국과학기술회관 국제회의실 및 로비
-인원: 정보보호 실무자 700여 명(현업 보안책임자/실무자만 참석 가능)
-참가비: 현업 보안실무자는 무료
-교육이수: 공무원 및 일반기업 보안교육 7시간/CPPG, CISSP 등 교육이수 7시간 인정
-등록마감: 2025년 4월 13일 오후 5시까지
-참석불가: 학생, 프리랜서, 무소속, 정보보호 업무와 상관없는 자는 참석불가
-참관 및 참가기업 문의: 데일리시큐 길민권 기자 / mkgil@dailysecu.com
-사전등록 필수: 클릭
★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★
![[기고]사이버 보안의 올바른 정책 방향](https://img.etnews.com/news/article/2025/03/05/news-p.v1.20250305.cceb08c211344921a378e303cbff9658_P3.png)