2024.04.27 (토)
피싱·파밍 방지 위한 '그래픽인증 솔루션'
최근 보안 이슈에 따른 개인정보보호에 대해 관심도가 높다. 악성코드가 삽입된 스팸문자를 비롯해 보이스피싱, 스미싱과 같은 금융사기에 대한 우려가 더욱 높아지고 있는 것. 금융사기와 개인정보보호를 위한 방안으로 화두가 되고 있는 것이 바로 그래픽인증 솔루션이다. 기존 금융권 외에 공공기관은 물론 일반 기업까지 보안에 대한 관심도가 집중되면서 그래픽인증 솔루션에 대해 상담 문의가 잇따르고 있다. 비밀번호에서 벗어나 그래픽(이미지)으로 새롭게 2차 인증 보안 솔루션으로 화두가 된 그래픽인증 솔루션 '디멘터'의 면모를 살펴본다.<편집자주>
디멘터에서 자체 개발한 ‘디멘터’는 그래픽으로 본인 인증을 진행하는 솔루션이다. 그래픽인증 솔루션은 일반적인 텍스트 비밀번호 입력 방식의 보안이슈를 해결하고자 탄생한 솔루션으로, 이 솔루션은 그림 및 숫자 그래픽을 통해 인증하고 각각의 이미지는 사이트의 진위 여부를 확인하여 피싱 및 파밍을 방어한다.
디멘터는 각종 사기성 해킹 및 ID & PW 방식의 텍스트화된 정보입력 방식으로 인해 발생할 수 있는 해킹의 문제점을 해결할 수 있도록 설정됐다. 사용자 각자가 선정한 4개의 그래픽 아이콘으로 해당 사이트의 진위 여부를 확인할 수 있고, 각각의 그래픽 아이콘을 퍼즐 맞추듯 차례대로 맞추어 인증하는 방식으로 온/오프라인 정보유출에 대한 계정 및 비밀번호 도용을 원천 차단할 수 있다.
그래픽인증 솔루션 ‘디멘터’를 좀 더 자세히 살펴보면 최초 등록은 사용자가 4개의 그래픽 아이콘을 설정하여 등록하고, 로그인시 인증 방법은 이미 설정한 첫번째 이미지에 두 번째, 세 번째, 네 번째 이미지를 이동해 맞추어 인증하는 방식이며 이미지 이동 방법에 따라 크게 두 가지 인증 방식이 있다.
첫 번째, 드래그 앤 드롭(Drag & Drop) 이동 방식은 마우스를 이용하여 이미지를 드래그하여 드롭하는 방식으로 첫째 이미지 위치에 둘째, 셋째, 넷째 이미지를 차례대로 드래그 앤 드롭(입력)하여 인증하는 방식이다.
두 번째, 방향키 이동 방식은 입력(인증)화면 하단의 화살표 버튼을 이용하여 입력한다. 이미 설정한 첫째 이미지 위치로 둘째~넷째 이미지를 차례대로 이동한 후 ‘입력’버튼을 클릭하며 인증하는 방식으로 이때 화면의 변동은 없고 이동횟수는 화면의 좌측 중간부분에 표시되는 방식이다.
디멘터는 기존 시스템에 탑재해 손쉽게 사용이 가능하다는 특장점을 지니고 있다. Active-X 설치 없이 손쉬운 로그인, 검증된 최상의 알고리즘 사용으로 피싱/파밍을 원천방지하고 비밀번호 탈취는 사실상 불가능하다.
또한 스니핑 원천 방지는 물론 훔쳐보기도 불가능하여 보안 효과가 탁월하다.
피싱/파밍 원천방지, 번호 탈취는 불가능
즉, 각각의 아이콘을 사용자 스스로가 선택하여 본인만이 확인 가능한 디멘터는 어깨 너머로 훔쳐보기를 하여도 이미지들의 이동이 표시되지 않기 때문에 아이콘 값을 타인이 알 수 없다. Seed를 만드는 함수, 행렬을 정렬하는 함수, 편차를 만들고 대조하는 함수 등등 다양한 공식이 결합되어 원하는 결과 값과 일치해야만 하는 다중 연산 기법으로 구성되었다. 따라서 SSL암호 체계를 뚫고 네트워크상의 데이터를 훔쳐보더라도, 함수 자체의 관계와 정확한 알고리즘을 모르면 무용지물인 셈이다.
디멘터는 2009년 LG히다찌를 통해 일본 히다찌에 그래픽인증 솔루션이 수출된 이후 우리은행이 2010년 금융권 최초로 제품을 도입했다. 우리은행 공급을 발판삼아 신한은행, 부산은행, 경남은행 등을 고객으로 확보했으며, STX등 일반 기업으로의 비즈니스 영역을 확대해 나가고 있다.
디멘터는 우리은행, 신한은행, 신협, 한화증권, 경남은행, 광주은행, 신한금융투자, HK저축은행, 제일저축은행, 우리투자증권, 엠게임, 한국교직원공제회, 어린이재단, 교원나라, STX, 자생한방병원, 코마스 등 금융권, 일반기업, 공공기관, 게임업체, 해외사이트 등 다양한 환경 구축 노하우를 보유하고 있다.
솔루션 문의
윤영한 상무 070-7164-4604/ 010-8915-2368/ yhyoon@goodmit.co.kr