전기전자/정보통신

닛케이 NETWORK_25.10월호 (p24~25)

증권 계좌 탈취 피해로 각광 받고 있는 다요소 인증
세계적으로 진행되고 있는 ‘탈 OTP’ 움직임

Part 1. 동향

다요소 인증이란 복수의 서로 다른 인증 방식을 통해 본인 신원을 확인하는 구조를 말한다. 예를 들면, 패스워드나 신분증명서와 같은 2개의 요소를 조합해 인증한다.

패스워드 등, 1가지 요소로 본인임을 확인하는 것보다 안전성이 높기 때문에 중요한 정보 시스템이나 VPN(Virtual Private Network) 장치 등에 대한 부정 액세스를 막기 위해 다요소 인증을 도입·운용하고 있는 기업들이 많다.

하지만, 올해 들어 다요소 인증의 안전성에 대한 신뢰를 흔드는 사건이 발생했다. 부정 액세스에 의해 증권 계좌가 탈취되어 주식이 부정 매매되는 피해가 발생한 것이다.

이러한 일련의 피해는 올 1월에 처음 확인되었고, 3월에 급증하기 시작. 급기야 4월 3일, 금융청이 주의 환기를 공표했다.

증권회사업계단체인 일본증권업협회(日本證券業協會)에서도 움직임이 나왔다. 회원 사 중 58개 사가 4월 25일, 보안 강화책으로 로그인 시 다요소 인증을 필수화하겠다고 밝힌 것이다. 해커가 패스워드로 대표되는 1번째 인증 요소를 돌파해도, 2번째 요소를 통해 부정 액세스되는 것을 막는 것이 목적이다.

-- 다요소 인증을 필수화했지만… --
다요소 인증의 필수화는 5월 이후, 부정 매매 피해가 드러난 증권사를 중심으로 확산. 필수화로 인해 부정 액세스 피해가 줄어든 것으로 생각되었다.

하지만, 6월 이후의 피해를 확인해본 결과, “다요소 인증의 필수화로 안전해졌다”라고 단정하기는 어렵다. 피크였던 4월(약 2,921억 엔)과 비교하면 부정 매매 피해 금액은 확실히 줄었다. 그렇지만, 6월(약 390억 엔)과 7월(약 460억 엔)은 모두 3월(약 313억엔)보다 큰 액수의 부정 매매가 발생했다.

다요소 인증을 필수화했음에도 불구하고, 부정 액세스를 막지 못하고 있는 이유는 무엇일까? “다요소 인증이라고 해도 여러 종류가 있다. 최근의 공격에는 대비가 불충분한 방법도 포함되어 있다”라고 트렌드마이크로의 모토노(野本) 사기대책 치프 애널리스트는 지적한다.

대비가 불충분한 방법의 전형적인 예가 이번 시점에서 많은 증권사들이 채택한 ‘일회용비밀번호(OTP: One-Time Password)를 조합한 다요소 인증’이라고 한다. “이것은 ‘실시간 피싱’이라고 불리는 최근의 해킹 기법으로 뚫릴 우려가 있다”(트렌드 마이크로의 모토노 치프 애널리스트). 다요소 인증은 무조건 안전하다고 말할 수 없게 된 것이다.

-- 피싱 내성에 세계가 주목 --
이러한 우려에 증권사들도 대응책을 모색하고 있다. 그 중 하나가 일본증권업협회가 7월 15일에 공표한 ‘인터넷 거래에 있어서의 부정 액세스 등의 방지를 위한 가이드라인’의 개정안이다.

이 개정안에서는 유저가 로그인 등 중요한 조작을 하는 경우, ‘피싱에 내성이 있는 다요소 인증’을 실시하는 것을 필수로 하고 있다. 실시간 피싱 기법으로 뚫릴 우려가 있는 OTP 방식은 요건을 충족할 수 없다.

피싱 내성이라는 말은 우리에겐 조금은 생소하지만, 사실 해외에서는 주목도가 높다. 그것을 상징하는 것이 미국 국립표준기술연구소(NIST: National Institute of Standards and Technology)가 7월 31일에 공표한 ‘NIST SP 800-63B-4’라고 하는 가이드 라인이다.

이 가이드 라인은 미국 연방정부기관용 디지털 ID에 관한 표준 사양 ‘NIST SP 800-63’의 인증 섹션에 해당한다. ‘4’라는 번호에서 알 수 있듯이 이번 개정이 4번째 버전으로, “3번째 버전과 비교해 피싱 내성을 확실하게 중시하고 있다”라고 노무라종합연구소(NRI)의 후루카와(古川) 시니어 시큐러티 컨설턴트는 말한다.

예를 들면, 높은 기밀성이 요구되는 시스템에서는 피싱 내성이 있는 다요소 인증을 이용하는 것을 필수로 하고 있으며, OTP에는 피싱 내성이 없다는 것도 명기하고 있다.

이러한 동향을 감안하면, 향후 ‘탈 OTP’ 움직임이 전 세계적으로 추진될 가능성이 보인다. NRI의 후루카와 시니어 시큐러티 컨설턴트는 “SaaS(Software as a Service)의 이용이 증가하고 있는 가운데, 정보 시스템 보안을 위해 인증의 중요성이 높아지고 있다”라고 지적한다. 많은 기업들의 네트워크 및 정보시스템에서 다요소 인증의 구조가 크게 바뀔 것으로 전망된다.

지금부터는 다요소 인증의 기본 구조와 실시간 피싱 기법, ‘패스키’라고 불리는 인증 방법을 예로 들어, 구체적으로 피싱 내성을 실현할 수 있는 방법을 살펴본다.

 -- 끝 --

Copyright © 2025 [Nikkei Network] / Nikkei Business Publications, Inc. All rights reserved.

목차_닛케이 NETWORK_25.10호

특집 1
<일회용 비밀번호(OTP)는 정말 위험한 것일까?>
기본부터 점검하는 다요소 인증 구조

Part 1. 동향
증권 계좌 탈취 사건을 계기로 각광 받고 있는 다요소 인증, 세계적으로 진행되고 있는 ’탈 OTP’ 움직임

Part 2. 기본
3가지 '다른 요소'로 본인 확인, OTP는 중간자 공격에 취약

Part 3. 유력 기술
화면 잠금 해제를 응용하는 패스키, 피싱에 뚫리지 않는 3가지 구조

Part 4. 또 다른 위협
패스키 도입 후에도 방심은 금물, 상정되는 3가지 공격 기법

뉴스로 이해
<NEWS close-up 1>
‘샤로몽’ 운영 기업에 3억 엔 요구한 소송

<NEWS close-up 2>
네트워크스페셜리스트 시험 및 정보처리안전확보지원사 시험이 CBT 방식으로

<NEWS close-up 3>
해저 케이블이 부족하다

<piyokango의 월간 시스템 트러블>
도쿄전력 자회사에 리스트형 공격, 300만 이상의 포인트가 부정 이용

<월간 랜섬 리포트>
피해 건수 증가세 이어져, 새로운 그룹 'D4RK4RMY'에 요주의

현장을 알다
<당사자가 말하는 트러블로부터의 탈출>
특정 사이트에만 연결되지 않아, 모르는 누군가가 '블록'

<엔지니어의 옆모습>
'되고 싶은 모습'을 향해 한 걸음씩 전진, 데이터센터 네트워크를 전력을 다해 쇄신
-- 사쿠라인터넷 클라우드사업본부의 츠치야 시니어 네트워크 엔지니어

<인터넷은 왜 연결되는가>
주요 통신 서비스를 배운다

<말웨어 철저 해부>
배포 형식 'MSIX'를 악용하는 공격

특집 2
Black Hat USA 2025의 현지 리포트
AI 보안의 최전선 기술들이 한데 모여

특별 리포트
<외부 접속에 정보 해킹 리스크>
AI 에이전트 기술 'MCP'의 취약성

네트워크 스페셜리스트 시험을 통해 배우는 네트워크 기술의 핵심
IP 전화

기초부터 배운다
<전문가가 말하는 초급자 질문>
네트워크 장애는 어떻게 감지하나?

<그림으로 보고 알 수 있는 네트워크 필수 키워드>
스패닝 트리 프로토콜

<IEEE 표준화 동향으로 보는 미래>
배터리리스 IoT 기기에 대한 표준화

<기타고 타츠로의 테크놀로지 온고지신>
오브젝트 지향은 어디로 사라졌는가?

 --끝--

Copyright © 2025 [Nikkei Network] / Nikkei Business Publications, Inc. All rights reserved.