HID글로벌이 자사의 액티브 ID 인증 서버(ActivID Authentication Server)에 ‘푸시 알림 서비스(Push Notification Service, PNS)’ 기능을 적용해 더욱 안전하고 편리한 디지털뱅킹 환경을 제공할 예정이라고 밝혔다.
이 서비스를 이용할 경우 금융기관은 카드결제, 계좌이체 등 금융거래가 이루어지기 전에 거래 승인 여부를 미리 확인하고 승인이 된 경우에만 거래가 이뤄지도록 해 보다 안전하게 결제할 수 있다는 설명이다.
일반적으로 모바일뱅킹 서비스를 제공하는 금융기관들은 단순 비밀번호를 이용하거나 문자메시지(SMS)를 통해 고객의 휴대폰으로 일회용비밀번호(OTP)를 전송하는 거래 인증방식을 이용하고 있다.
그러나 이런 방식은 보안에 취약해 피싱(Phishing), 비싱(Vishing), SMS 멀웨어(SMS Malware), 중간자 공격(MITM), 브라우저 조작(MITB) 등 다양한 형태로 사이버 범죄자들의 불법 거래에 악용되기 쉽다.
HID글로벌은 이러한 문제를 해결하기 위해 안전한 전자채널 상에서 개인키 암호화 방식을 적용한 전자 서명을 이용해 모바일 기기를 곧 토큰으로 사용한다.
이 알고리즘 내에서 모든 커뮤니케이션은 사용자 모바일 기기와 금융기관 온라인뱅킹 애플리케이션 간의 상호인증으로 암호화된다.
또 금융기관의 백엔드 시스템 밖에 개인키를 생성해 비인가 애플리케이션으로부터의 접근, 추출, 복제 등을 막아 보호함으로써 거래 부인방지(Non-repudiation)를 보장한다.
일단 거래가 개시되면 액티브 ID 인증 서버는 모바일 푸시 기능과 모바일 서명 SDK(Software Developer Kit)를 이용해 사용자의 등록된 모바일 기기로 거래 승인 여부를 확인하는 알림을 보낸다. 서명된 응답이 서버로 보내지면 서버는 이를 검증해 온라인뱅킹 시스템으로 전송함으로써 거래를 승인하거나 거절할 수 있다.
앤트 앨런(Ant Allan) 가트너 애널리스트는 “토큰으로 사용되는 모바일 기기는 개개인에 따라 보안 수준, 총 소유비용(Total Cost of Ownership, TCO), 사용자 경험(User Experience, UX) 등이 모두 상이하다”며 “그러나 푸시 모드를 이용하는 거래 인증방법은 이러한 모든 기준에 최적화되므로 가장 올바른 선택이 될 것”이라고 말했다.
팀 핍스(Tim Phipps) HID글로벌 ID 보증사업부 제품 마케팅 부사장은 “금융범죄가 갈수록 더욱 대담하고 교묘해지면서 고객들은 거래 은행의 웹사이트, 이메일, 전화 등을 사기성 범죄로부터 구분하는 것이 어려워 지고 있다”며 “우리의 액티브ID 거래 솔루션은 고객들의 계좌에 의심스러운 IP가 접근할 때 실시간 알림 기능을 모바일을 통해 제공함으로써 금융거래 사기를 예방할 수 있다”고 말했다.
HID글로벌의 모바일 푸시 기능이 적용된 액티브ID 거래 인증 솔루션은 최근 출시된 액티브ID 인증 서버 7.3버전에서 함께 이용 가능하다.
