.svg)
AI 솔루션 문의하기
비대면 인증은 편리하지만 보안 취약점도 존재합니다. SMS 인증번호는 가로채기 쉽고 화면 캡처로 신분증을 도용하며 딥페이크로 얼굴 인식을 우회하고 네트워크 중간자 공격으로 데이터를 탈취하며 사회공학적 기법으로 직원을 속이고 오래된 암호화 방식을 뚫습니다. 편리함과 보안 사이의 균형을 찾는 것이 과제이며, 취약점을 이해하고 다층 방어 체계를 구축해야 합니다.
SMS 인증번호는 가장 널리 사용되지만 가장 취약한 방식입니다. 문자 메시지는 암호화되지 않은 채로 이동통신망을 통해 전송되므로, 통신 경로를 감청하면 내용을 엿볼 수 있습니다. SS7(신호 시스템 7)이라는 오래된 통신 프로토콜의 취약점을 악용하면 타인의 문자를 가로챌 수 있으며, 국제 해커 집단이 이를 이용한 사례가 보고되었습니다. 통신사 직원을 매수하거나 내부 시스템을 해킹하여 문자를 열람하는 방법도 존재합니다.
복제폰 공격은 SMS 인증을 무력화하는 가장 효과적인 방법입니다. 피해자의 정보로 유심을 재발급받으면 모든 문자가 공격자에게 전달되므로, 금융 앱 인증번호를 그대로 받을 수 있습니다. 유심 스와핑(SIM swapping)이라고 불리는 이 공격은 통신사의 본인 확인 절차가 허술할 때 성공하며, 한 번 유심을 탈취하면 계좌 이체부터 비밀번호 재설정까지 모든 것이 가능합니다.
스미싱 문자도 위협입니다. 은행이나 정부 기관을 사칭한 문자에 포함된 링크를 클릭하면 악성 앱이 설치되고, 이후 도착하는 모든 문자를 공격자에게 전송합니다. 사용자는 정상적으로 문자를 받았다고 생각하지만, 백그라운드에서 복사본이 빠져나가는 것입니다. 안드로이드 기기가 특히 취약하며, 사용자가 앱 권한을 제대로 확인하지 않으면 쉽게 감염됩니다.
비대면 계좌 개설이나 대출 신청 시 신분증 사진을 제출하는데, 이미지 편집 기술이 발전하면서 위조가 쉬워졌습니다. 포토샵으로 이름이나 주민등록번호를 수정하고, 다른 사람의 얼굴을 붙여넣어 새로운 신분증을 만듭니다. 고해상도 프린터로 출력한 뒤 스마트폰으로 다시 촬영하면 진짜처럼 보이고, 간단한 검증 시스템은 이를 통과시킵니다. 홀로그램이나 보안 요소까지 복제한 정교한 위조품도 유통됩니다.
타인의 신분증을 불법 촬영하여 사용하는 경우도 많습니다. 지갑을 분실했을 때 주운 사람이 신분증을 촬영하거나, 병원이나 관공서에서 신분증을 제출할 때 직원이 몰래 복사합니다. SNS에 신분증 사진을 올리는 부주의한 행동도 문제인데, 모자이크 처리가 불완전하면 정보를 복원할 수 있습니다. 다크웹에서는 수많은 신분증 이미지가 거래되고 있으며, 이를 구매한 사기꾼이 비대면 인증에 악용합니다.
AI 검증 시스템도 아직 완벽하지 않습니다. 신분증의 특정 영역만 교체한 반위조 방식은 보안 요소가 진품이므로 자동 검증을 통과하고, 출력물을 다시 촬영하는 과정에서 생기는 미세한 왜곡은 촬영 각도나 조명 탓으로 간주됩니다. 저화질 이미지는 오히려 의심받지 않는데, "오래된 스마트폰으로 찍어서 흐리다"는 핑계가 통하기 때문입니다. 검증 시스템이 너무 엄격하면 정상 고객이 거부당하므로 일정 수준의 관대함을 유지할 수밖에 없습니다.
얼굴 인식은 사진이나 동영상으로 우회할 수 있습니다. 타인의 얼굴 사진을 고해상도로 출력하여 카메라 앞에 들이대거나, 태블릿 화면에 동영상을 재생하여 인증을 시도합니다. 초기 얼굴 인식 시스템은 이를 구별하지 못했고, 지금도 저급 시스템은 여전히 취약합니다. 3D 프린팅으로 얼굴 가면을 만들거나, 실리콘 마스크를 착용하여 입체감을 속이는 방법도 있습니다.
딥페이크 기술은 더 교묘합니다. AI로 생성한 가짜 얼굴을 실시간으로 카메라에 투영하거나, 영상 통화 중간에 가짜 영상을 끼워넣어 직원을 속입니다. 라이브니스 탐지가 요구하는 "고개 돌리기", "눈 깜빡이기" 같은 동작도 미리 준비한 영상으로 대응할 수 있으며, 고성능 컴퓨터와 AI 모델만 있으면 개인도 충분히 만들 수 있습니다. 유명인의 얼굴을 도용하여 계좌를 개설하는 사건도 발생했습니다.
쌍둥이나 매우 닮은 가족은 얼굴 인식 시스템을 자연스럽게 통과합니다. 형제자매의 신분증을 훔쳐 본인인 척하면 시스템이 높은 유사도를 측정하여 승인하는데, 완전히 동일인은 아니지만 거부할 만큼 다르지도 않은 애매한 경계선에 있습니다. 성형 수술로 얼굴을 바꾼 경우에도 인식이 어려워지고, 화상이나 사고로 외모가 변한 사람은 정상적인 인증을 받지 못해 불편을 겪습니다.
공용 WiFi는 중간자 공격(MITM)의 온상입니다. 카페나 공항에서 제공하는 무료 WiFi에 접속하여 비대면 인증을 진행하면, 같은 네트워크의 공격자가 데이터를 가로챌 수 있습니다. 가짜 WiFi를 설치하여 "무료 인터넷"이라는 이름으로 유인하고, 접속한 사람의 모든 통신을 감청하는 수법도 흔합니다. HTTPS 암호화가 적용되어도 SSL 인증서를 조작하거나 다운그레이드 공격으로 평문 전송을 유도합니다.
DNS 하이재킹은 사용자가 정상 웹사이트 주소를 입력해도 가짜 사이트로 연결되게 합니다. 피싱 사이트는 진짜와 거의 똑같이 만들어져 있어 구별이 어렵고, 신분증과 계좌 정보를 입력하면 즉시 공격자에게 전송됩니다. 모바일 앱도 안전하지 않은데, 루팅되거나 탈옥한 기기에서는 앱 내부 통신을 감청하는 도구를 설치할 수 있습니다.
VPN을 사용하면 어느 정도 방어할 수 있지만 악의적인 VPN 서비스는 오히려 모든 트래픽을 수집합니다. 무료 VPN은 특히 위험한데, 광고 수익이나 데이터 판매로 운영되므로 개인정보가 제3자에게 유출될 수 있습니다. 신뢰할 수 있는 VPN을 선택하고 민감한 작업은 모바일 데이터를 사용하는 것이 안전합니다.
기술적 보안이 완벽해도 사람은 속일 수 있습니다. 공격자는 고객센터 직원에게 전화하여 "비밀번호를 잊어버렸다"며 동정심을 유발하거나, 긴급 상황을 연출하여 정상 절차를 생략하도록 압박합니다. "병원에 입원 중이라 신분증을 찍을 수 없다", "해외 출장 중이라 본인 확인이 어렵다"는 식의 변명으로 예외 처리를 요구하고, 경험 없는 직원이 규정을 어기고 승인해주는 경우가 있습니다.
피싱 이메일로 직원 계정을 탈취하면 내부 시스템에 접근할 수 있습니다. 금융사 직원 계정으로 로그인하여 고객의 비대면 인증 신청을 승인하거나, 관리자 권한으로 보안 설정을 낮춰 공격을 용이하게 만듭니다. 내부자가 금전적 대가를 받고 협조하는 경우도 있으며, 퇴사한 직원의 계정이 제대로 삭제되지 않아 악용되기도 합니다.
코로나19 이후 재택근무가 증가하면서 내부자 보안이 더 취약해졌습니다. 회사 노트북을 집에서 사용할 때 가족이 접근하거나, 보안이 약한 홈 네트워크를 통해 해킹당하는 사례가 늘었습니다. 화상 회의 중 화면 공유로 민감한 정보가 노출되고, 업무용 기기와 개인 기기를 혼용하면서 악성 앱이 전파됩니다. 물리적 접근 통제가 어려워 데이터 유출 위험이 커졌습니다.
많은 금융 기관이 수십 년 전에 구축한 시스템을 여전히 사용합니다. 레거시 시스템은 최신 암호화 표준을 지원하지 않고, 보안 패치가 중단되어 알려진 취약점이 방치됩니다. 새로운 비대면 인증 시스템을 도입해도 뒤쪽의 데이터베이스나 결제 시스템이 낡았다면, 그곳이 공격 표적이 됩니다. 전체 시스템을 교체하려면 막대한 비용과 시간이 들므로, 임시방편으로 겉만 보강하는 경우가 많습니다.
API 통합 과정에서 보안이 약해집니다. 여러 서비스를 연결하다 보면 인증 토큰이나 세션 정보가 노출될 수 있고, 각 시스템의 보안 수준이 다르면 가장 약한 고리가 침투구가 됩니다. 제3자 서비스와 연동할 때 해당 업체의 보안을 신뢰해야 하는데, 협력사가 해킹당하면 연쇄적으로 피해가 확산됩니다. 2020년대 초반 여러 금융사에서 발생한 대규모 해킹 사고가 이런 경로였습니다.
암호화 알고리즘도 시간이 지나면 취약해집니다. SHA-1이나 MD5 같은 해시 함수는 충돌 공격에 노출되어 사용이 금지되었지만, 오래된 시스템에는 여전히 남아 있습니다. TLS 1.0이나 1.1은 취약점이 발견되었으나 호환성 문제로 완전히 차단하지 못하고, 공격자는 다운그레이드 공격으로 약한 버전을 강제합니다. 정기적인 보안 업데이트가 필수이지만 현실에서는 지연되는 경우가 많습니다.
비대면 인증의 보안 수준을 정하는 명확한 규제가 부족합니다. 금융감독원이 가이드라인을 제시하지만 강제력이 약하고, 기업마다 해석이 달라 일관성이 없습니다. "충분한 보안"이 무엇인지 구체적인 기준이 없어 최소한만 충족하려는 유혹이 있으며, 사고가 발생해야 규제가 강화되는 사후 대응 방식입니다. 혁신을 저해하지 않으면서도 보안을 보장하는 균형점을 찾기 어렵습니다.
국제 표준도 통일되지 않았습니다. 한국에서 안전하다고 인정받은 방식이 해외에서는 금지되거나, 반대로 글로벌 표준을 국내에 적용하려면 법 개정이 필요합니다. FIDO나 OAuth 같은 표준이 제안되었지만 도입 속도가 느리고, 기존 시스템과의 호환성 문제로 완전히 전환하지 못합니다. 각 기업이 자체 솔루션을 개발하면서 파편화가 심해지고, 보안 수준도 제각각입니다.
개인정보 보호와 보안 강화가 상충하는 측면도 있습니다. 생체 정보를 수집하고 저장하려면 엄격한 동의 절차를 거쳐야 하고, 데이터 보관 기간도 제한됩니다. 하지만 보안 사고 조사를 위해서는 로그를 오래 보관해야 하며, 사용자 행동 패턴을 분석하려면 더 많은 정보가 필요합니다. 법과 기술 사이의 간극이 취약점을 만들고, 이를 악용하는 공격자가 나타납니다.
단일 인증 방법에 의존하지 말고 여러 단계를 결합해야 합니다. SMS 인증만 사용하지 말고 OTP 앱이나 생체 인증을 추가하고, 신분증 검증 후 영상 통화로 본인을 재확인하며, 거래 금액이 크면 추가 승인을 요구합니다. 평소와 다른 시간대나 장소에서 접속하면 의심 알림을 발송하고, 여러 번 인증 실패 시 계정을 일시 잠금합니다. 불편하더라도 안전이 우선입니다.
AI 기반 이상 탐지 시스템을 도입하여 비정상 패턴을 실시간 감지합니다. 짧은 시간에 여러 계정에서 같은 IP로 인증 시도가 있거나, 동일한 신분증 이미지가 다른 이름으로 제출되면 자동 차단합니다. 딥페이크 탐지 알고리즘으로 합성 영상을 걸러내고, 행동 생체 인식으로 타이핑 속도나 마우스 움직임 같은 고유 패턴을 학습하여 본인 여부를 추가 검증합니다.
사용자 교육도 중요합니다. 공용 WiFi에서 금융 거래를 하지 말고, 비밀번호를 정기적으로 변경하며, 의심스러운 링크를 클릭하지 않도록 안내합니다. 기업은 직원 보안 교육을 강화하여 피싱 이메일을 구별하는 법을 가르치고, 내부자 위협을 줄이기 위해 접근 권한을 최소화하며 정기적인 보안 감사를 실시합니다. 기술과 인간의 경계심이 결합될 때 비대면 인증의 취약점을 최소화할 수 있습니다.
.svg)
.svg)
