PSD2 패스키: 피싱 방지 PSD2 준수 MFA

디지털 뱅킹에서 보안과 사용자 경험은 더 이상 상충할 필요가 없습니다. 패스키는 이 두 요소를 결합하여 PSD2 및 SCA 요구사항에 부합하는 피싱 방지 MFA를 선보입니다. 패스키는 금융 서비스 전반에 구현할 수 있는 가장 안전하고 사용자 친화적인 인증 방식입니다. 이러한 발전은 유럽 뱅킹 부문의 보안과 경쟁력을 강화하기 위해 설계된 규제 프레임워크인 **개정된 결제 서비스 지침(PSD2)**의 시행으로 고심하는 뱅킹 업계에 매우 중요한 시점에 이루어졌습니다.

이러한 맥락에서 패스키는 단순히 규정 준수 솔루션이 아니라, UX를 저해하지 않으면서 PSD2의 엄격한 요구사항을 충족할 것을 약속하는 훌륭한 혁신 형태로 부상하고 있습니다. 이 블로그 게시물에서는 PSD2의 미묘한 차이점과 **강력한 고객 인증(SCA)**에 대한 요구사항을 분석합니다. 이를 통해 패스키가 뱅킹 분야에서 피싱 방지 MFA의 미래를 대표한다는 점이 분명해집니다.

PSD2는 유럽연합이 유럽의 결제 서비스 및 뱅킹 환경을 혁신하기 위해 도입한 법규입니다. 주요 목표는 디지털 결제 분야에서 경쟁을 촉진하고, 소비자 보호를 강화하며, 혁신을 장려하는 것입니다. PSD2는 (고객의 동의 하에) 승인된 제3자에게 고객 금융 정보에 대한 개방형 접근을 의무화함으로써, 보다 통합되고 효율적이며 사용자 친화적인 금융 생태계를 위한 길을 열어줍니다. 하지만 큰 힘에는 큰 책임이 따르듯, PSD2는 특히 인증 프로토콜을 통해 보안에 중점을 둠으로써 이 문제를 해결합니다.

PSD2 보안 조치의 핵심에는 사기를 대폭 줄이고 전자 결제의 보안을 강화하기 위해 설계된 프로토콜인 강력한 고객 인증(SCA) 요구사항이 있습니다. SCA는 전자 결제가 원활할 뿐만 아니라 다양한 위협에 견딜 수 있을 만큼 안전해야 한다는 원칙에 기반합니다. 이 인증 프레임워크는 PSD2의 적용을 받는 결제 서비스 제공업체, 은행, 전자 결제 게이트웨이에 의무적으로 적용됩니다.

PSD2에 따른 SCA의 구현은 몇 가지 중요한 요구사항으로 정의됩니다:

인증에는 다음 범주 중 최소 두 가지 요소가 포함되어야 합니다:

• 지식: 암호나 PIN처럼 사용자만 아는 것.
• 소유: 모바일 기기, 스마트 카드, 하드웨어 토큰처럼 사용자만 소유하는 것.
• 고유성: 지문, 얼굴 인식, 음성 패턴과 같은 생체 식별자를 포함하여 사용자에게 내재된 고유한 것.

각 거래마다 금액 및 수취인 계좌번호와 같은 거래 특정 세부 정보를 동적으로 연결하는 고유한 인증 코드가 생성되어야 합니다.

사용자는 온라인 뱅킹 서비스에 대한 접근을 유지하기 위해 일반적으로 90일마다 재인증해야 합니다. 그러나 이 요구사항은 보안과 편의성 사이의 균형을 최적화하기 위해 개정되었습니다.

SCA는 모든 전자 거래에 적용되어야 하며, 인증이 금액과 수취인에 특정되도록 하여 모든 거래에 대해 고유한 서명을 생성해야 합니다.

결제 서비스 제공업체는 위험 기반 접근 방식을 사용하여 SCA를 적용해야 하며, 저위험 거래는 보안을 저해하지 않으면서 결제 프로세스를 간소화하기 위해 SCA에서 면제될 수 있습니다(여기서 이미 패스키와의 연관성을 눈치채셨나요?).

전체 인증 프로세스는 추적 및 감사가 가능해야 하며, SCA 요구사항 준수를 증명하기 위해 기록이 유지되어야 합니다.

SCA를 도입함으로써 PSD2는 뱅킹 부문의 거래 보안 표준을 크게 높였습니다. 다음에서는 다중 인증(MFA)에 관련된 다양한 요소에 초점을 맞출 것입니다. 이러한 요소들은 거래별 인증 요구사항에도 영향을 미칩니다(자세한 내용은 아래 참조).

다음에서는 뱅킹 부문 인증의 다양한 진화 단계를 소개합니다.

뱅킹 업계의 인증 여정은 **개인 식별 번호(PIN)**와 **거래 인증 번호(TAN)**의 사용으로 시작되었습니다. 고객은 TAN 목록을 받아 각 거래 확인에 한 번씩 사용했습니다. 이 방법은 당시에는 혁신적이었지만, TAN 목록이 도난당하거나 오용될 위험과 같은 단점이 있었습니다.

기술이 발전함에 따라 은행들은 **전자 TAN(eTAN)**과 **모바일 TAN(mTAN)**을 도입했습니다. 이 방식은 TAN을 생성하여 SMS를 통해 고객의 모바일 기기로 전송하는 것입니다. 이 방법은 TAN을 장치에 연결하여 보안을 향상시켰지만, SMS 가로채기 위험과 메시지를 기다리고 관리해야 하는 불편함과 같은 새로운 취약점도 야기했습니다. 패스키가 도입되기 전까지 SMS OTP는 UX 관점에서 뱅킹에 사용할 수 있는 가장 편안한 2FA 옵션으로 여겨졌습니다.

보안을 더욱 강화하기 위해 은행들은 인증을 위한 고유 코드를 생성하는 스마트 카드와 토큰 장치를 채택했습니다. 이러한 하드웨어 기반 솔루션은 더 높은 수준의 보안을 제공했지만, 고객이 추가 장치를 휴대해야 하는 복잡성과 불편함을 더했습니다.

뱅킹 인증의 최신 진화에는 생체 인식(지문 또는 얼굴 인식)과 보안 기능이 내장된 모바일 뱅킹 앱이 포함됩니다. 이러한 방법은 사용자의 고유한 생물학적 특성과 스마트폰의 보편성을 활용하여 보안과 편의성의 균형을 맞추는 것을 목표로 했습니다. 그러나 이 또한 고객이 사용하는 모든 은행에 대해 별도의 앱을 다운로드하고 설정하는 과정을 거쳐야 합니다.

이러한 발전에도 불구하고 고객들은 여전히 현재의 뱅킹 인증 방법에 대해 상당한 불편함과 불만을 겪고 있으며 사기꾼의 표적이 될 위험에 처해 있습니다:

• 복잡성과 불편함: 여러 인증 단계를 거치는 것은 보안을 강화하지만, 종종 사용자에게 번거로운 과정으로 다가옵니다. 이러한 복잡성은 사소한 불편함을 넘어 고객이 디지털 뱅킹 서비스 이용을 꺼리게 만들어 디지털 전환의 목적 자체를 훼손할 수 있습니다.
• 장치 및 플랫폼 의존성: 모바일 및 생체 인식 인증으로의 전환은 사용자를 자신의 장치에 밀접하게 묶어둡니다. 이러한 의존성은 도난 시 취약한 연결 고리를 만듭니다. 또한 기술적 장애는 뱅킹 서비스를 이용할 수 없게 만들어 고객을 곤경에 빠뜨릴 수 있습니다.
• 피싱 취약점: 발전에도 불구하고 인증 요소의 피싱 가능성은 SCA가 해결하지 못하는 취약점으로 남아 있습니다. PIN, 암호, SMS OTP, 이메일 OTP와 같은 전통적인 요소는 정교한 피싱 사기를 통해 유출될 수 있어 고객 데이터와 자금을 위험에 빠뜨립니다.

오늘날까지도 은행, 특히 전통적인 은행들은 고객에게 피싱의 심각한 위험에 대해 계속 경고하고 있습니다.

다음 섹션에서는 실제 사례를 통해 이것이 어떻게 작동하는지 설명하겠습니다.

피싱 공격은 오랫동안 뱅킹 부문의 보안에 중대한 위협이 되어 왔으며, 인간 심리(사회 공학)와 기술적 취약점을 악용하여 민감한 금융 정보에 대한 무단 접근을 시도합니다. 은행이 인증 방식을 발전시켜온 것처럼 사기꾼들도 보안 조치를 우회하기 위해 정교한 수법을 고안하며 적응해 왔습니다. 특히 일반적으로 사용되는 이러한 인증 방법의 맥락에서 피싱이 어떻게 작동하는지 이해하는 것은 패스키와 같은 피싱 불가능한 인증 솔루션의 시급성을 인식하는 데 중요합니다.

피싱의 핵심은 은행의 합법적인 통신인 것처럼 위장하여 개인을 속여 로그인 자격 증명이나 금융 정보와 같은 민감한 정보를 공개하도록 유도하는 것입니다. 이는 일반적으로 다음 단계를 통해 이루어집니다:

1. 시작: 사기꾼들은 신뢰할 수 있어 보이는 로고와 언어로 공식적인 은행 통신을 모방한 메시지(주로 이메일이나 SMS를 통해)를 보냅니다. 이러한 메시지는 보통 문제를 해결하거나 계정 폐쇄를 방지하기 위해 즉각적인 조치가 필요하다고 주장하며 긴박감을 조성합니다.
2. 기만: 메시지에는 은행의 공식 온라인 뱅킹 포털과 매우 유사한 사기성 웹사이트로 연결되는 링크가 포함되어 있습니다. 속임수를 모르는 피해자는 은행의 합법적인 웹사이트에 접속하고 있다고 믿게 됩니다.
3. 탈취: 피싱 사이트에 접속하면 피해자는 PIN과 같은 인증 정보를 입력하거나 SMS로 전송된 OTP로 거래를 확인하라는 메시지를 받게 됩니다. 은행과 상호 작용하고 있다고 믿는 피해자는 이에 응하여 무심코 자신의 자격 증명을 공격자에게 넘겨줍니다.
4. 악용: 이러한 정보를 손에 넣은 사기꾼은 피해자의 은행 계좌에 접근하여 무단 거래를 수행하거나 신원 도용을 저지를 수 있습니다.

도이치뱅크 고객이 계정이 비활성화될 것이라는 경고 SMS를 받는 시나리오를 생각해 봅시다. 메시지에는 URL에 deutschebank가 포함되고 일치하는 SSL 인증서가 있는 웹사이트로 연결되는 링크가 포함되어 있습니다. 이 사이트는 아래 스크린샷에서 볼 수 있듯이 도이치뱅크의 로그인 페이지를 정확히 복제한 것으로, 고객에게 온라인 뱅킹 PIN을 입력하라고 요청한 후 실시간으로 SMS OTP를 요구합니다(보안상의 이유로 스크린샷에는 표시되지 않음). 고객은 자신도 모르게 피싱 사이트에 이 정보를 입력함으로써 공격자가 자신의 도이치뱅크 계정에 완전히 접근하여 잠재적으로 거액의 돈을 다른 계좌로 이체할 수 있게 합니다.

다음은 은행 계좌에 대한 접근 권한을 다시 얻으라는 메시지가 담긴 피싱 SMS입니다(독일어 스크린샷만 제공):

이것은 공격자들이 만든 피싱 웹사이트입니다 (https://deutschebank-hilfe.info):

참고용 원본 웹사이트입니다 (https://meine.deutsche-bank.de). 공격자들은 거의 완벽하게 복사했습니다(하단의 피싱 경고문만 제외):

이와 동일한 UI를 통해 로그인하고 SMS OTP를 인증 요소로 사용하는 데 익숙한 고객은 이러한 공격에 쉽게 희생될 수 있습니다. 보안 연구 목적으로 OAuth 또는 뱅킹 시스템을 대상으로 하는 피싱 공격에 초점을 맞춘 오픈 소스 스위트의 상당한 생태계가 존재합니다(예: https://github.com/gophish/gophish). 그러나 이러한 시스템은 악의적인 목적으로 쉽게 개조될 수 있습니다.

뱅킹 부문의 피싱은 다크 웹의 모든 데이터 유출과 함께 점점 더 정밀해지고 있습니다. 일반적으로 IBAN과 같은 결제 정보도 이러한 유출에 포함됩니다. 이 정보는 직접 돈을 훔치는 데 사용할 수는 없지만, 공격자가 대상이 실제로 해당 은행의 고객임을 아는 스피어 피싱 접근 방식에 활용될 수 있습니다.

위 시나리오의 결정적인 결함은 인증 요소의 피싱 가능성에 있습니다: PIN과 SMS OTP 모두 거짓 명분으로 고객에게서 쉽게 얻어낼 수 있습니다. 이 취약점은 사회 공학이나 피싱 공격을 통해 유출될 수 없는 인증 방법의 필요성을 강조합니다.

패스키에 의해 활성화되는 것과 같은 피싱 불가능한 인증 요소는 이러한 사기에 대한 강력한 방어 수단을 제공합니다. 패스키는 공개되거나, 사용자에게서 속여 빼내거나, 가로챌 수 있는 공유 비밀에 의존하지 않기 때문에 보안 환경을 근본적으로 바꿉니다. 패스키를 사용하면 인증 프로세스에 사기꾼이 복제할 수 없는 암호화된 신원 증명이 포함되어 피싱에서 가장 일반적인 공격 경로를 제거합니다.

피싱 위협에 효과적으로 대응하기 위해 뱅킹 부문은 다음과 같은 다각적인 접근 방식을 채택해야 합니다:

1. 고객 교육: 은행은 고객에게 피싱의 위험성과 사기성 통신을 인식하는 방법에 대해 지속적으로 알려야 합니다.
2. 피싱 불가능한 인증 구현: 요청하거나 가로챌 수 있는 정보에 의존하지 않는 인증 방법으로 전환하여 많은 피싱 시도의 문을 닫습니다.
3. 사기 탐지 시스템 강화: 고급 분석 및 머신 러닝을 활용하여 피싱범이 어떤 형태의 인증 데이터를 획득하더라도 무단 거래를 탐지하고 방지합니다.

피싱은 뱅킹 부문에 여전히 중대한 위협으로 남아 있지만, 패스키와 같은 피싱 불가능한 인증 방법의 채택은 사기꾼으로부터 온라인 뱅킹을 보호하는 데 있어 중요한 진전을 의미합니다. 가장 약한 고리인 인증 요소의 피싱 가능성을 제거함으로써 은행은 고객의 자산과 개인 정보의 보안을 크게 향상시킬 수 있습니다.

오늘날까지 유럽 중앙은행과 현지 은행 감독 당국(예: BaFin)은 패스키 전체가 2FA로 분류될지 또는 은행이 이를 어떻게 사용해야 할지에 대해 입장을 밝히지 않았습니다.

다음 섹션에서는 왜 우리가 패스키가 PSD2를 준수한다고 믿는지 설명하고자 합니다.

결제, 핀테크, 뱅킹 부문의 이해관계자들과의 논의에서 반복적으로 제기되는 질문이 있습니다: 패스키는 PSD2를 준수하며, 뱅킹 시나리오에서 유일한 인증 형태로 사용될 수 있는가? 유럽 연합의 개정된 결제 서비스 지침(PSD2)과 패스키의 관계는 미묘하며 상세한 탐구가 필요합니다. 명확히 하자면, 패스키는 일반적으로 두 가지 유형으로 분류됩니다: **동기화된 패스키(다중 장치)**와 **비동기화된 패스키(단일 장치)**이며, 각각 PSD2 준수와 관련하여 뚜렷한 특징을 가집니다:

규정 준수는 은행 및 보험사와 같은 규제 대상 기업에게 매우 중요합니다. 그러나 규정 준수에 대한 정책은 변경되는 데 오랜 시간이 걸릴 수 있습니다. 패스키의 경우, 주요 보안 이점은 피싱이 불가능하다는 것입니다. 고객이 실수로 이 정보를 공격자에게 공개할 수 없기 때문입니다.

패스키는 피싱이 불가능하여 보안을 크게 향상시키지만, 일부 위험을 고객의 클라우드 계정(예: Apple iCloud 키체인)으로 이전합니다. 이로 인해 클라우드 계정이 공격자에게 더 매력적인 표적이 됩니다. 그러나 Apple iCloud와 같은 서비스는 특히 패스키를 지원하는 기능에 대해 강력한 보안 조치를 갖추고 있습니다.

첫째, iCloud 패스키는 계정에 2단계 인증(2FA)이 활성화되어 있어야 하므로 추가적인 보안 계층이 더해집니다. 즉, 공격자가 고객의 iCloud 암호를 알고 있더라도 2FA 코드를 받으려면 신뢰할 수 있는 장치나 전화번호에 접근해야 합니다.

Apple과 마찬가지로 Google도 자사 계정에 대해 이러한 클라우드 서비스를 보호하는 데 상당한 자원을 투자합니다. 클라우드에서 패스키를 지원하는 계정의 보안 프로토콜은 엄격하여 권한 없는 사용자가 침입하는 것을 거의 불가능하게 만듭니다. 이 높은 보안 표준은 지속적인 업데이트와 보안 패치를 통해 유지됩니다(또한 그들은 자사 계정에 패스키를 도입했습니다, 이 블로그 게시물 참조).

더욱이, 장치나 클라우드 계정의 도난은 잠재적인 위험이지만 뱅킹 애플리케이션에 대한 가장 일반적인 공격 경로는 아닙니다. 의심스러운 거래와 같이 보안 강화가 필요한 경우, 은행은 추가 요소로 SMS OTP를 계속 사용할 수 있습니다. PIN/암호를 패스키로 대체함으로써 첫 번째 인증 요소가 피싱 불가능하게 되어 성공적인 피싱 공격의 위험을 크게 줄입니다. 의심스러운 것으로 표시된 거래에 대해 세 번째 요소를 도입하여 강력한 보안 태세를 보장할 수 있습니다.

PSD2 준수에 대한 전통적인(위험 회피적인) 견해와는 달리, Finom과 Revolut는 고객 데이터 보호가 더 중요하다고 판단하여, 은행 감독 기관이 PSD2 준수와 관련하여 패스키를 어떻게 취급해야 하는지에 대한 유럽의 공개적인 결정이 없음에도 불구하고 패스키를 사용하고 있습니다. Finom 및 Revolut와 같은 네오뱅크와 핀테크 기업들은 현상 유지에 도전하고 있으며, 이를 통해 PSD2가 규정한 인증 조치에 관한 규제 환경에 영향을 미치고 있습니다.

이러한 핀테크 선구자들은 고객 데이터의 보안과 무결성을 우선시함으로써, 유럽 당국의 명시적인 규제 지침이 없는 상황에서도 패스키를 채택하고 있습니다. 이러한 선제적인 자세는 규제 기관이 우수한 보안 솔루션을 제공하는 기술 발전에 비추어 규정 준수 프레임워크를 재평가해야 할 책임을 지게 합니다.

Finom과 Revolut의 과감한 패스키 구현 결정은 규정 준수의 중요한 측면을 강조합니다. 즉, 규정 준수는 표준을 엄격하게 준수하는 것이 아니라, 그 표준의 근본적인 목표, 이 경우 고객 데이터 및 거래의 최고 수준 보안을 달성하는 것이어야 합니다. 전통적인 규정 준수 모델을 엄격하게 따르기보다 데이터 보호를 우선시함으로써, 이들 네오뱅크는 업계에 새로운 기준을 제시하고 있습니다.

규제 관점에서 볼 때, PSD2 준수 프레임워크 내에서 패스키와 같은 발전을 수용하기 위한 명확성과 적응이 시급히 필요합니다. 우리는 EU가 패스키에 대해 명확한 입장을 취할 것을 촉구합니다. 패스키를 디지털 결제 생태계의 보안을 강화하고 사기를 줄이려는 PSD2의 핵심 목표와 일치하는 우수한 형태의 다중 인증(MFA)으로 인정해야 합니다.

패스키는 설계상 대부분의 전통적인 MFA 방법의 보안 능력을 능가하는 강력하고 피싱에 강한 인증 요소를 제공합니다. 이는 보안을 강화할 뿐만 아니라 사용자 경험을 단순화하여 PSD2 준수의 두 가지 중요한 측면을 해결합니다.

EU의 입장은 효과적이고 안전한 인증을 구성하는 요소를 재정의하는 기술 발전을 반영하도록 진화해야 합니다. 패스키와 같은 혁신을 수용하고 이를 규제 구조에 통합함으로써, EU는 소비자를 보호하고 미래 지향적인 디지털 금융 환경을 조성하겠다는 약속을 보여줄 수 있습니다.

금융 산업이 계속해서 혁신함에 따라, 기술 변화에 보조를 맞출 뿐만 아니라 미래의 발전을 예측하는 명확하고 진보적인 지침을 제공하는 것은 규제 기관의 몫입니다. 현재 네오뱅크가 변화를 주도하고 있지만, 궁극적으로 금융 부문 전체가 디지털 뱅킹의 미래로 안전하고 자신 있게 나아갈 수 있도록 보장하는 것은 규제 기관의 책임입니다.

뱅킹 및 핀테크 분야에서 패스키의 채택은 보안과 사용자 경험을 모두 크게 향상시키는 혁신의 대표적인 예로 두드러집니다. 이 기사를 통해 우리는 패스키가 피싱과 같은 만연한 위협을 완화하면서 PSD2의 엄격한 보안 요구사항과 일치하는 미래 지향적인 인증 솔루션으로서의 잠재력을 확인했습니다. Finom 및 Revolut와 같은 네오뱅크/핀테크 기업들은 보안 프레임워크에 패스키를 통합하여 그 효과와 고객 중심 접근 방식을 입증하는 선례를 남겼습니다.

전통적인 은행을 위한 3단계 실행 계획은 다음과 같을 수 있습니다:

1. 현지 규제 기관과의 협력: 전통적인 은행은 패스키 구현에 대해 논의하기 위해 현지 규제 기관 및 은행 감독 당국과 적극적으로 협력해야 합니다. 이 대화는 규제 입장을 명확히 하고 기존 규정 준수 구조 내에서 패스키를 통합할 수 있는 길을 닦는 것을 목표로 해야 합니다. 주도권을 잡음으로써 은행은 혁신적인 인증 방법을 지원하는 규제 환경을 형성하는 데 기여할 수 있습니다.
2. 네오뱅크 모범 사례 학습: 전통적인 은행은 패스키를 성공적으로 구현한 네오뱅크를 관찰하고 배우는 것이 필수적입니다. 이러한 모범 사례를 연구하면 패스키 배포의 운영, 기술 및 고객 서비스 측면에 대한 귀중한 통찰력을 얻을 수 있습니다. 이 지식 이전은 전통적인 은행이 패스키 채택 전략을 수립하는 데 도움이 될 수 있습니다.
3. 패스키로의 전략적 전환: 규제 명확성과 모범 사례에 대한 이해를 바탕으로 전통적인 은행은 고객을 패스키 기반 인증으로 전환하기 위한 포괄적인 계획을 개발할 수 있습니다. 이 계획에는 패스키의 이점과 사용법을 설명하는 고객 교육 캠페인, 원활한 전환을 보장하기 위한 단계적 출시, 그리고 모든 문제를 신속하게 해결하기 위한 지속적인 평가가 포함되어야 합니다.

뱅킹 인증의 미래는 보안과 사용성을 모두 우선시하는 기술에 있습니다. 패스키는 이러한 방향으로 나아가는 한 걸음으로, PSD2 및 기타 규제 프레임워크에서 설정한 표준을 충족하는 피싱에 안전하고 사용자 친화적인 인증 방법을 제공합니다.

전통적인 은행에게는 지금이 변화를 수용하고 패스키로의 전환을 시작할 때입니다. 그러나 이 전환은 갑작스러워서는 안 되며, 고객 기반의 고유한 요구, 특정 규제 환경, 기관의 기술적 준비 상태를 고려한 신중한 움직임이어야 합니다.

궁극적인 목표는 모든 고객이 편의성을 희생하지 않으면서 향상된 보안의 혜택을 누리도록 보장하는 것입니다. 패스키를 채택함으로써 은행은 최첨단 기술로 고객을 보호할 뿐만 아니라 디지털 금융 시대에 혁신과 고객 중심주의에 대한 약속을 알리게 될 것입니다.