싱가포르 은행과 패스키: SMS OTP를 대체하다

**싱가포르 통화청(MAS)**은 발표를 통해, 향후 3개월 내에 모든 주요 소매 은행이 OTP를 단계적으로 폐지하고 '디지털 토큰'으로 대체해야 한다고 밝혔습니다. **싱가포르 은행연합회(ABS)**와의 협력을 통해 이루어진 이번 조치는 2023년에만 1,400만 달러 이상의 피해를 야기한 피싱 및 기타 사기로부터 소비자를 보호하는 것을 목표로 합니다. 이 블로그 게시물에서는 다음 내용을 다루고자 합니다:

• OTP 중단: MAS는 왜 OTP 중단을 우선시할까요?
• 디지털 토큰: 디지털 토큰이란 무엇이며 왜 더 안전할까요?
• 패스키: 패스키가 새로운 요구사항을 충족하는 데 도움이 될 수 있을까요?

먼저 **싱가포르 통화청(MAS)**의 '싱가포르 은행, 피싱 사기 대응력 강화' 발표를 자세히 살펴보겠습니다.

2024년 7월 9일, 싱가포르 통화청(MAS)과 싱가포르 은행연합회(ABS)는 일회용 비밀번호(OTP) 사용을 단계적으로 폐지하여 디지털 뱅킹 보안을 강화하는 중요한 조치를 발표했습니다. 이 전환은 향후 3개월에 걸쳐 점진적으로 이루어질 예정이며, 디지털 뱅킹의 주요 위협이 된 피싱 사기로부터 소비자를 더 잘 보호하는 것을 목표로 합니다. 발표에서는 '일회용 비밀번호'와 OTP만 언급했지만, 구체적으로는 SMS OTP를 겨냥한 것입니다.

모바일 기기에서 디지털 토큰을 활성화한 고객은 이제 브라우저나 모바일 뱅킹 앱을 통해 은행 계좌에 로그인할 때 이 토큰을 사용해야 합니다. 디지털 토큰은 사기꾼이 훔치거나 고객을 속여 알아낼 수 있는 OTP 없이 고객의 로그인을 인증합니다. 디지털 토큰이 무엇인지에 대해서는 다음 장에서 더 자세히 설명하겠습니다.

기술 발전과 정교해진 피싱 기술은 SMS OTP가 한때 제공했던 보안 수준을 넘어섰습니다. 이제 사기꾼들은 실제 사이트와 매우 유사한 가짜 은행 웹사이트를 만들어 고객이 OTP와 기타 자격 증명을 입력하도록 유도합니다. 피싱 방지 인증 요소로의 전환은 보안을 강화하여 사기꾼이 고객 계정에 무단으로 접근하는 것을 훨씬 더 어렵게 만듭니다.

피싱 사기는 싱가포르에서 계속해서 우려되는 문제입니다. 은행들은 MAS 및 싱가포르 경찰과 긴밀히 협력하여 진화하는 사기 환경에 대한 집단적 저항력을 강화하는 조치를 개발하고 도입하고 있습니다. ABS의 옹앙아이분(Ong-Ang Ai Boon) 이사는 새로운 조치가 다소 불편을 초래할 수 있지만, 사기를 예방하고 고객을 보호하기 위한 필수적인 단계라고 강조했습니다.

MAS의 루시우이(Loo Siew Yee) 정책, 결제 및 금융 범죄 담당 상무이사는 MAS가 은행과 긴밀히 협력하여 디지털 뱅킹 사기로부터 소비자를 보호하는 데 전념하고 있다고 강조했습니다. 그녀는 이 최신 조치가 고객이 은행 자격 증명을 보호하는 것과 같이 계속해서 따라야 할 좋은 사이버 위생 습관을 보완할 것이라고 언급했습니다.

MAS와 ABS의 이번 조치는 디지털 토큰 사용을 의무화하여 디지털 뱅킹 보안을 강화하려는 그들의 의지를 보여줍니다. 하지만 발표에는 인증 측면에서 디지털 토큰에 대한 요구사항이 무엇인지 명확하게 설명되어 있지 않습니다. 다음 섹션에서 이 부분을 자세히 살펴보겠습니다.

디지털 토큰은 온라인 보안의 발전을 대표하며, 기존의 SMS 일회용 비밀번호(OTP)보다 강력한 대안을 제공합니다. SMS(또는 이메일)를 통해 전송되어 가로채거나 피싱당할 수 있는 SMS OTP와 달리, 디지털 토큰은 특정 기기(일반적으로 휴대폰)에 바인딩되어 해당 기기 소유자만이 필요한 인증 코드를 생성할 수 있도록 보장합니다.

디지털 토큰은 다르게 작동할 수 있습니다:

• 시간 기반 디지털 토큰(보안성 낮음): 이 토큰은 사용자의 신원을 인증하는 데 사용되는 시간 기반의 동적 코드입니다. 사용자의 모바일 기기에 있는 네이티브 앱(예: 은행의 자체 앱)에서 생성됩니다. 대부분의 구현에서는 실제 코드가 더 이상 표시되지 않고, 거래 내역과 함께 사용자에게 동의를 요청하는 푸시 알림만 표시된 후 은행 서버로 다시 전송됩니다.
• 암호화 디지털 토큰(보안성 높음): 암호화 디지털 토큰은 시간 기반 토큰에 비해 훨씬 더 안전한 인증 방법을 나타냅니다. 이는 앱 내부 또는 휴대폰의 보안 영역(secure enclave)에 저장된 공개-개인 키 쌍을 활용합니다. 인증 과정에서 은행 서버는 사용자 기기에 챌린지를 보냅니다. 그러면 기기는 개인 키를 사용하여 이 챌린지에 서명하고, 서명된 응답을 서버로 다시 보냅니다. 서버는 해당 공개 키를 사용하여 서명을 확인합니다. 이 방법은 공격자가 통신을 가로채더라도 사용자의 개인 키에 접근하지 않고는 인증 프로세스를 복제할 수 없도록 보장하며, 개인 키는 기기에 안전하게 저장됩니다.

디지털 토큰의 보안은 몇 가지 주요 기능 덕분에 더 강력합니다:

1. 기기 바인딩: 토큰이 특정 기기에 연결되어 있어 해당 기기에서만 인증 코드를 생성할 수 있습니다. 이 기기 바인딩은 공격자가 토큰을 복제하거나 다른 기기로 전송하는 것을 매우 어렵게 만듭니다.
2. 다단계 설정: 디지털 토큰의 초기 설정에는 종종 은행 PIN 외에 사용자의 신원을 확인하기 위해 SMS 및 이메일을 통해 전송된 OTP를 사용하는 과정이 포함됩니다(일부 은행은 이 방식으로 물리적 토큰도 폐기합니다. 그러면 물리적 OTP 토큰을 사용할 수 있습니다). 토큰이 활성화되면 인증의 기본 방법이 되어 향후 OTP와 관련된 취약점이 필요 없게 됩니다. 예를 들어, DBS 은행은 디지털 토큰의 초기 설정 중에 SMS와 이메일 OTP를 조합하여 사용하며, 그 이후의 지속적인 인증은 토큰에만 의존합니다.
3. 시간 기반 또는 암호화 보호: 디지털 토큰은 강력한 암호화 알고리즘이나 시간 기반 알고리즘(TOTP)을 사용하여 인증 코드를 생성합니다. 이를 통해 기기와 인증 서버 간의 통신이 가로채지더라도 코드를 쉽게 해독하거나 위조할 수 없도록 보장합니다.

싱가포르의 주요 금융 기관인 DBS 은행은 고객 보안 강화를 위해 디지털 토큰을 성공적으로 구현했습니다. 은행은 고객의 모바일 기기에 디지털 토큰을 설정하기 위해 다음을 요구합니다.

• 사용자가 아는 것: PIN
• 사용자가 가진 것: SMS OTP (전화번호에 할당된 휴대폰에 대한 접근 권한)
• 사용자가 가진 것: 이메일 OTP (계정에 할당된 이메일에 대한 접근 권한)

일단 설정되면 디지털 토큰은 로그인 및 거래를 인증하는 유일한 방법이 되어 OTP를 노리는 피싱 공격의 위험을 효과적으로 완화합니다.

연결된 이메일 주소가 최신이 아니거나 물리적 토큰을 사용할 수 없는 경우, 사용자는 대체 옵션을 사용하여 디지털 토큰을 설정할 수 있습니다:

대체 옵션에는 Singpass를 이용한 디지털 신원 확인, 고객 근처 지점의 비디오 텔러 머신(VTM) 사용, 또는 3-5일 이내에 우편으로 등록 코드를 요청하는 방법이 포함됩니다.

OTP에서 디지털 토큰으로의 전환은 기존 인증 방법과 관련된 여러 취약점을 해결합니다:

• 부분적인 피싱 저항성: 디지털 토큰은 사용자 기기에서 직접 생성되고 사용되므로 피싱을 통한 가로채기 위험이 없습니다. 사기꾼이 사용자를 속여 로그인 정보를 제공하게 하더라도, 기기에 물리적으로 접근하지 않고는 필요한 인증 코드를 생성할 수 없습니다.
• 공격 표면 감소: 인증 코드 전송 채널로 SMS와 이메일을 사용할 필요를 없앰으로써, 디지털 토큰은 사기꾼이 악용할 수 있는 공격 표면을 줄입니다.
• 사용자 편의성: 초기 설정에는 추가 단계가 필요할 수 있지만, 디지털 토큰의 지속적인 사용은 사용자에게 원활하고 편리합니다. 더 이상 SMS나 이메일로 OTP가 도착하기를 기다릴 필요가 없으며, 이는 때때로 지연되거나 차단될 수 있습니다.

피싱이 부분적으로 개선되었지만, 이제 새로운 위험은 고객이 MFA 피로 공격(MFA fatigue attacks)의 희생양이 될 수 있다는 점입니다. 디지털 토큰 인증 요청에 계속 익숙해지면 공격자가 이를 악용하여 피싱 페이지에서 이러한 요청을 보낼 수 있습니다.

이것이 바로 구글이나 마이크로소프트와 같이 많은 침해를 경험한 대형 기술 기업들이 고객 보호를 위해 푸시 알림에 올바른 숫자를 선택하는 것과 같은 챌린지를 도입하기 시작한 이유입니다.

디지털 토큰은 디지털 뱅킹 환경에서 더 안전한 인증 방법을 제공하지만 피싱 위험을 완전히 제거하지는 못합니다. 공격자는 여전히 피해자를 속여 디지털 토큰 요청을 확인하도록 설득하여 자신의 접근을 인증하게 할 수 있습니다. DBS 은행의 구현 사례는 기존 요소들을 결합하여 고객을 다른 형태의 인증에 쉽게 등록시킬 수 있음을 보여주었습니다. 여기서 드는 의문은, 왜 MAS와 DBS 은행은 패스키를 도입하지 않는가 하는 점입니다. 이 점을 살펴보겠습니다.

앞서 보았듯이, 디지털 토큰은 기존 SMS OTP에 비해 디지털 뱅킹 거래 보안을 한 단계 발전시킨 것입니다. 그러나 디지털 토큰이 향상된 보안 기능을 제공하더라도 피싱에 완전히 저항력이 있는 것은 아닙니다. 공격자는 여전히 피해자를 속여 디지털 토큰 프롬프트를 확인하도록 설득하여 사기성 요청을 인증하게 할 수 있습니다. 이러한 지속적인 취약점은 디지털 토큰이 개선책이긴 하지만 온라인 뱅킹 보안을 위한 충분히 과감한 조치는 아니라는 것을 시사합니다.

패스키는 진정으로 피싱에 저항력 있는 인증 방법을 제공합니다. 디지털 토큰과 달리, 패스키는 올바른 웹사이트나 애플리케이션에서만 사용할 수 있기 때문에 본질적으로 피싱 공격에 저항력이 있습니다. 이는 사용자가 사기성 사이트에서 자격 증명을 입력하도록 속을 수 없음을 보장합니다. 패스키는 공개-개인 키 암호화에 의존하며, 개인 키는 사용자 기기에 안전하게 저장되고 연결된 운영 체제 클라우드에 안전하게 암호화됩니다. 공개 키는 인증 서비스와 공유됩니다.

패스키가 보안을 강화하는 방법은 다음과 같습니다:

1. 피싱 저항성: 패스키는 가짜 웹사이트에 인증 정보를 입력할 위험을 제거합니다. 인증 프로세스는 챌린지를 발행한 합법적인 사이트에서만 진행될 수 있으므로 피싱 시도는 효과가 없습니다. 기술적으로 잘못된 페이지에서 패스키를 사용하는 것은 불가능하며, 일반 소비자가 패스키를 외부로 내보내는 것도 불가능합니다.
2. 다중 기기 지원: 종종 단일 기기에 묶여 있는 디지털 토큰과 달리, 패스키는 동일한 클라우드 또는 비밀번호 관리자 내의 인증된 기기 간에 안전한 방식으로 동기화될 수 있습니다. 이는 다양한 기기에서 뱅킹 서비스에 접속하는 사용자에게 유연성과 편의성을 제공합니다.
3. 강력한 기기 보안: 패스키는 모바일 폰 생태계(iOS 또는 Android 등) 내에서 2FA가 활성화되어 있어야 합니다. 이 추가적인 보안 계층은 기기가 손상되더라도 공격자가 패스키에 접근하려면 기기의 2FA를 우회해야 함을 보장합니다. 우리는 이미 패스키에 대한 SCA/PSD2 세부 정보를 설명하고 동기화된 패스키가 기기에 바인딩되지 않았음에도 불구하고 뱅킹에 사용될 수 있는 이유를 설명하면서 이 세부 사항을 자세히 다룬 바 있습니다.

호주는 사이버 보안 모범 사례를 설명하는 Essential Eight 표준에서 피싱 저항성 인증의 중요성을 인식했습니다. 이 표준은 피싱 위험을 완화하는 기술적 요구사항을 구체적으로 언급하며, 호주를 아시아 태평양 지역의 사이버 보안 선도국으로 자리매김하게 했습니다. 선진적인 디지털 인프라를 갖춘 싱가포르는 호주의 선례를 따라 패스키를 표준 및 기업 권장 사항에 통합해야 합니다. 이는 보안을 강화할 뿐만 아니라 싱가포르를 디지털 보안의 글로벌 모범 사례와 일치시키는 계기가 될 것입니다.

은행 업계는 뱅킹에서 동기화된 패스키 사용을 명시적으로 허용하는 명확한 규제 지침을 기다리고 있습니다. 이러한 움직임은 은행이 이 첨단 기술을 채택하고 고객에게 진정으로 안전하고 편리한 인증 방법을 제공할 수 있는 확신을 줄 것입니다. 싱가포르 통화청(MAS)은 패스키 사용을 승인함으로써 디지털 뱅킹 보안의 새로운 표준을 설정할 기회를 갖게 됩니다. 이를 통해 MAS는 최첨단 보안 조치를 개척하려는 의지를 보여주고, 싱가포르가 디지털 뱅킹 혁신의 선두에 서도록 보장할 것입니다.

사용자를 더 안전한 디지털 토큰으로 전환하는 것은 싱가포르의 온라인 뱅킹 보안을 강화하는 중요한 단계입니다. 그러나 앞으로를 내다볼 때, 은행들은 웹 인증의 사실상 표준이 될 패스키를 채택하기 시작하는 것이 필수적입니다. 다음은 싱가포르 은행이 보안 인프라를 미래에 대비하기 위한 몇 가지 주요 권장 사항입니다:

1. 조기에 패스키 수집 시작: 디지털 토큰으로 전환하는 동안, 은행은 사용자로부터 패스키를 수집하는 과정도 시작해야 합니다. 이러한 선제적 접근 방식은 패스키가 널리 수용되고 채택될 때 은행이 원활하게 전환할 수 있도록 준비시켜 줄 것입니다. 현재의 온보딩 및 인증 프로세스에 패스키 수집을 통합함으로써 은행은 점진적으로 안전한 패스키 데이터베이스를 구축할 수 있습니다.
2. PIN을 패스키로 대체: 패스키를 채택하기 위한 실용적이고 즉각적인 단계는 기존의 PIN을 패스키로 대체하는 것입니다. 패스키는 공개-개인 키 암호화를 활용하여 PIN보다 더 안전하고 편리한 대안을 제공합니다. 패스키를 기본 인증 방법으로 구현함으로써 은행은 보안을 강화하면서 더 원활한 사용자 경험을 제공할 수 있습니다.
3. 패스키를 첫 번째 인증 요소 또는 추가 위험 측정 수단으로 사용: 패스키는 다단계 인증(MFA) 설정에서 첫 번째 인증 요소 또는 추가적인 위험 측정 수단으로 활용될 수 있습니다. 인증 프로세스에 패스키를 통합하면 추가적인 보안 계층이 제공되어 공격자가 사용자 계정을 침해하기가 훨씬 더 어려워집니다. 은행은 패스키를 선택적 보안 기능으로 제공하기 시작하여 점차 인증 프로세스의 표준 부분으로 만들 수 있습니다.
4. 고객에게 패스키에 대해 교육: 패스키의 성공적인 구현에는 고객의 인식과 수용이 필요합니다. 은행은 패스키의 이점과 보안 기능에 대해 고객에게 알리기 위한 교육 캠페인에 투자해야 합니다. 패스키 작동 방식과 피싱 공격 방지 역할에 대한 명확한 커뮤니케이션은 더 많은 고객이 이 기술을 채택하도록 장려할 것입니다.
5. 규제 기관 및 업계 동료와 협력: 은행은 싱가포르 통화청(MAS)과 같은 규제 기관 및 업계 동료와 적극적으로 협력하여 패스키 구현을 위한 표준화된 지침을 수립해야 합니다. 공동의 노력은 은행 부문 전반에 걸쳐 일관되고 안전한 접근 방식을 보장하여 싱가포르의 전반적인 디지털 뱅킹 보안을 향상시킬 것입니다.
6. 인프라 및 지원 시스템에 투자: 패스키를 구현하려면 견고한 인프라와 지원 시스템이 필요합니다. 은행은 안전한 키 관리 시스템 및 기존 인증 프레임워크와의 통합을 포함하여 패스키 인증을 지원하는 데 필요한 기술과 자원에 투자해야 합니다. 원활하고 안전한 사용자 경험을 보장하는 것이 광범위한 채택에 중요합니다.
7. 새로운 위협 모니터링 및 적응: 위협 환경을 정기적으로 모니터링하고 그에 따라 보안 조치를 업데이트하면 은행이 잠재적 위험에 앞서 나가는 데 도움이 될 것입니다. 패스키는 지속적인 보안 강화와 결합하여 새로운 피싱 및 사기 수법에 대한 탄력적인 방어 수단을 제공할 것입니다.

이러한 권장 사항을 따르면 싱가포르 은행 산업의 인증 보안은 더욱 향상될 수 있으며, 현재 패스키를 인증 기술로 언급하지 않고 있는 Safe App Standard와 같은 규정 준수 프레임워크 및 표준에도 통합될 수 있습니다.

요약하자면, 싱가포르 통화청(MAS)의 SMS OTP 단계적 폐지 및 디지털 토큰 전환 발표는 디지털 뱅킹 보안을 강화하는 중요한 단계입니다. 이 조치는 소비자와 은행 부문에 상당한 영향을 미친 피싱 사기의 증가하는 위협에 대응합니다.

• OTP를 중단하는 이유: MAS는 피싱 및 가로채기에 대한 취약성 때문에 OTP 중단을 우선시합니다. 사기꾼들이 SMS OTP의 취약점을 악용함에 따라 더 안전한 인증 방법이 필요해졌습니다.
• 디지털 토큰이란: 디지털 토큰은 기기에 바인딩되고 강력한 암호화 알고리즘을 사용하여 향상된 보안을 제공합니다. 이로 인해 기존 OTP에 비해 피싱 공격에 더 강합니다. 또한 편의성을 제공하고 SMS 또는 이메일 기반 인증 코드가 필요 없어져 공격 표면을 줄입니다.
• 패스키가 싱가포르 뱅킹에 도움이 될 수 있는가: 패스키는 강력하고 피싱에 저항력 있는 인증을 제공하는 우수한 대안으로 부상하고 있습니다. 공개-개인 키 암호화를 활용하여 패스키는 합법적인 사이트에서만 인증이 이루어지도록 보장하여 피싱 위험을 크게 완화합니다. 다중 기기 지원과 강력한 기기 보안은 그 매력을 더욱 높입니다.

디지털 토큰의 장점을 살펴보면서 피싱 위험을 완전히 제거하는 데에는 한계가 있음을 확인했습니다. 반면에 패스키는 디지털 보안의 국제 모범 사례와 일치하는 포괄적인 솔루션을 제공합니다. 디지털 토큰으로의 전환은 한 걸음 나아간 것이지만, 궁극적인 목표는 패스키를 미래 디지털 뱅킹 인증의 표준으로 채택하는 것이어야 합니다.