조현준 핀크 대표, 양방향 인증 시스템으로 피싱 방지해야 [안심 디지털 세상 ⑦]

피싱(Phishing)은 개인정보(Private Data)와 낚시(Fishing)의 합성어로, 아이디와 패스워드, 주민등록번호, 카드번호 등 민감한 정보들을 탈취하는 사기 수법을 의미한다.

피싱 사이트는 피싱범들이 범죄에 활용하기 위해 진짜 사이트를 모방해 만든 가짜 사이트고, 피싱 화면은 그러한 목적으로 그들이 전송하는 화면이다.

아래 화면은 모두 피싱범들이 실제로 전송한 피싱 화면들인데, 얼핏 네이버에서 전송한, 정상적인 화면과 구분하기 어렵다.
그리고, 위 화면에서의 안내에 따라 접속하게 된 실제 피싱 사이트의 화면도, 아래와 같이 얼핏 네이버의 정상적인 로그인 화면처럼 보인다.

최근에는 기관이나 업체뿐만 아니라 유명인들을 사칭하는 사이트들도 등장하고 있는데, 지난 3월 22일에는 방송인 송은이, 황현희, 주식 투자계의 유명 인플루언서인 존리 전 메리츠자산운용 대표, 주진형 전 한화증권 대표 등이 프레스센터에 모여 유명인 사칭 온라인 피싱 범죄 해결을 위한 기자회견을 열고 피싱 범죄 해결을 촉구하기도 했다.

이러한 피싱 사이트 피해를 해결하는 근원적인 방법의 하나는, 사용자와 사이트가 서로 인증하는 방식을 사용하는 것이다. 사이트가 사용자를 인증하는 이제까지의 방식을 넘어, 사용자도 사이트를 함께 인증하는, 양방향 인증을 사용하게 되면, 피싱 사이트로 인한 피해는 크게 줄어들 것이다.

그런데, 그렇게 하려면 일단, 사용자가 사이트를 인증하는 프로세스가 추가되기에, 그만큼 사용자의 편의성이 떨어지기 쉽다. 이러한 편의성 하락 문제로, 양방향 인증 도입에 대한 저항이 크다.

그런데, 양방향 인증에 따른 편의성 하락 문제를 극복하는 방법으로, 사용자가 지금과 같이 자신의 단말장치 (휴대폰, PC 등)를 이용해 사이트에 자신을 인증하는 행동을 하면서 사용자가 체감하지 못하는 방법으로 사용자의 단말장치가 그 사이트를 인증하게 하는 방법을 생각할 수 있다.
최근 사이트에 출력된 큐알코드를 사용자가 자신의 단말장치인 휴대폰을 이용해 촬영하는 방법으로 자신을 인증하고 로그인하는 방법들이, 아이디 패스워드를 입력하는 방법이나, 인증서를 선택하고 그 인증서용 패스워드를 입력하는 방법 대비 편리하다고 느끼는 사용자들이 확산되고 있다.

이러한 사용자의 체험은 그대로 유지하면서, 그 체험을 위하여 이용하는 사용자의 휴대폰이 자동으로 그 사이트에 인증을 요구하고, 사이트가 그 요구에 응하는, 자동화된 통신 프로토콜을 구축한다면, 사용자의 편의성은 유지하면서 피싱 사이트 피해를 방지할 수 있을 것이다.

아주 간단한 원리를 예시하면 아래 그림과 같다.

사용자가 사이트에 가입할 때, 자신의 단말로 사이트에 게시된 QR코드를 스캔하면 (위 그림의 R1), 그 단말에서 그 QR코드에 포함된 사이트의 URL을 파악해 (R2), 그 URL을 이용, 그 사이트에서만 사용할 자신의 공개키 쌍을 산출하고 (R3), 그 공개키를 사이트로 전송해 (R4), 그 사이트에서 그 공개키를 등록할 수 있게 한다. (R5).

그러면 사이트는 그 사용자의 공개키를 이용해 그 사용자에게만 사용할 그 사이트의 공개키 쌍을 산출하고(R6), 그 공개키를 사용자 단말로 전송해 (R7), 사용자 단말에서 그 사이트의 URL에 매칭해 저장할 수 있도록 한다. (R8)

이상이 사용자의 가입 프로세스인데, 요약하자면, 사용자가 가입할 때 상대방에게만 사용할 공개키를 서로 등록하게 되는 것이다.

그리고, 이러한 가입 절차에서 사용자가 직접 해야 할 동작은, ‘사용자 단말을 이용해 사이트에 출력된 QR코드를 스캔하는 동작 (R1)’과 ‘사용자 고유의 키(예컨대, 패스워드)를 사용자 단말에 입력하는 동작 (R3)’ 뿐이고 나머지는 모두 자동화할 수 있다.

그런데, 이 두 동작은, 디지털 사이트들을 이용하는 사용자들이라면 흔하게 해 본 동작들로, 특별히 불편한 동작들은 아닐 것이다.

이렇게 가입한 사이트를 이용하고자 사용자가 재방문할 때는, 자신의 단말로 사이트에 게시된 QR코드를 스캔하면 (위 그림의 L1), 해당 단말에서 QR코드에 포함된 사이트의 URL을 파악해 (L2), 그 URL을 이용해 그 사이트에서만 사용할 자신의 공개키 쌍을 산출하고 (L3), 산출된 공개키 쌍 중 비밀키를 이용해 서명 후, 사용자의 공개키와 서명을 사이트로 전송해 (L4), 그 사이트에서 그 사용자의 공개키를 이용해 그 서명을 검증할 수 있게 한다. (L5).

검증에 성공하면, 사이트에서 그 사용자의 공개키와 사이트 고유의 키를 이용해 사이트의 ‘그 사용자에게만 사용할 공개키 쌍’을 산출하고, 그 중 비밀키를 이용해 서명하고 (L6), 그 사이트의 서명을 사용자 단말로 전송해 (L7), 그 사용자 단말에서 ‘사이트 DB에서 그 URL에 매칭된 사이트의 공개키’를 검색하고, 그 사이트의 공개키를 이용해 그 서명을 검증한 후 (L8), 검증에 실패하면 경고 메시지를 출력할 수 있게 한다 (L9).

이상이 사용자가 사이트 이용을 위해 사이트를 방문했을 때의 프로세스인데, 어려워 보이기는 하지만 요약하자면, 사용자와 사이트가 서로 상대방에게 자신의 서명을 전송하면, 각자는 자신이 수신한 상대방의 서명을 ‘사용자가 사이트에 가입할 당시에 서로 교환해 둔 상대방의 공개키’를 이용해 검증하고, 검증되지 않으면 사용자 단말에 경고메시지를 출력하는 프로세스다.

자신이 가입한 사이트로 오인하고 피싱 사이트에 접근하려 했던 사용자는 그 경고 메시지를 보고 피해를 예방할 수 있게 된다.

이 과정에서 피싱 사이트에 노출되는 사용자의 정보는 그 사용자의 공개키 뿐인데, 그 공개키는 그 피싱 사이트가 가장하려고 했던 원래 사이트에서만 사용되는 ‘가명의 사용자 식별정보’여서 사용자에겐 피해가 없다. 또한 그 공개키가 사용될 수 있는 원래 사이트에서도, ‘그 공개키를 이용해서 검증할 수 있는 서명’을 알아낼 방법이 없어, 그 사용자를 사칭할 수 없다.

조현준 핀크 대표