은행들 ‘SMS 인증’ 잇단 중단, 갑자기 왜…

악성코드 감염 인증정보 탈취… 부정이체 피해 예방 노력

  • 프린트
  • 페이스북
  • 트위터
  • 카카오스토리


은행들 ‘SMS 인증’ 잇단 중단, 갑자기 왜…
스마트폰 악성코드가 갈수록 지능화하면서 시중 은행들이 정보탈취를 우려해 문자메시지(SMS)를 통한 인증서비스를 축소, 중단하고 있다.

7일 우리은행은 오는 10일부터 본인확인 추가인증 방법들 중 SMS 인증을 중단하고 전화통화인증(ARS)만을 하기로 했다.

SMS인증은 휴대폰번호로 SMS인증 번호를 발송하고 수신된 인증번호를 입력해 본인여부를 확인하는 수단이다. 전화인증은 전화 연결을 한 후 ARS안내에 따라 본인여부를 확인하는 과정이다.

금융위원회와 금융감독원은 파밍, 스미싱, 메모리해킹 등 지능화하는 전자금융사기를 막기 위해 지난 9월 26일부터 전자금융사기 예방서비스를 의무화해 추가로 본인 인증을 하도록 하고 있다.

이에 따라 1일 누적 300만원이상 자금이체, 공인인증서 발급 또는 재발급, 개인정보변경 등을 할 때는 공인인증서와 보안카드 이외에 SMS인증, 일회용비밀번호(OTP), 전화인증 중 하나를 추가로 실행해야 한다.

우리은행은 이중 SMS인증을 10일부터 중단하기로 한 것이다. 우리은행은 고객 공지를 통해 "최근 악성코드를 통해 휴대폰 SMS인증 정보를 탈취해 고객의 금융자산을 부정 이체하는 전자금융사기 피해가 발생하고 있다"며 "이에 SMS인증을 중단하고 2채널인증(전화승인)으로 본인확인 인증방식을 변경한다"고 설명했다.

IBK기업은행도 지난해 12월 17일부터 SMS인증을 축소했다. 기업은행은 인터넷뱅킹과 스마트폰 뱅킹 사용 고객들이 공인인증서 발급, 재발급할 경우 전화인증 또는 SMS인증을 하던 것을 ARS인증만 허용하기로 했다. 다만 안드로이드 스마트폰의 경우는 사전에 등록된 전화번호와 같은 휴대폰일 경우 SMS인증을 허용하고 있다. 기업은행은 1월 중 이체거래 등에서도 SMS인증을 중단하는 방안을 논의하고 있는 것으로 알려졌다.

KB국민은행도 지난해 11월 5일 SMS인증을 축소했다. 국민은행은 인터넷뱅킹과 스마트뱅킹에서 전자금융사기 예방서비스의 추가 인증 수단 중 SMS인증을 뺏다. 다만 안드로이드 스마트폰의 경우 사전 등록 전화번호가 같을 때 일부 허용하고 있다.

이처럼 은행들이 SMS인증을 축소, 중단하는 것은 스마트폰이 악성코드에 감염돼 인증 정보가 빠져나가는 것에 대한 보안 강화 차원이다. 지난해 돌잔치, 택배, 법원출석, 기관공지 등을 사칭해 문자메시지를 보낸 후 링크를 누르도록 해 스마트폰을 감염시키는 사례가 빈번하게 발생했다. 또 가짜 은행앱이 등장하는가 하면 게임 등 일반앱으로 가장한 후 정보를 빼내는 악성 앱도 나타났다. 실제로 보안업체 안랩의 조사결과에 따르면 지난 2012년 30여건이었던 스미싱 악성코드가 2013년 11월까지 약 4600건으로 늘어났다.

이에 따라 은행들이 SMS인증을 줄이고 OTP나 전화인증 쪽으로 방향을 잡고 있는 것이다. 금융권은 올해에도 스마트폰을 노린 전자금융사기가 계속될 것으로 예상하고 있어 은행들이 더 안전한 인증 방식을 찾기 위해 고민할 것으로 예상된다.

강진규기자 kjk@

[저작권자 ⓒ디지털타임스 무단 전재-재배포 금지]

추천기사