해외 인터넷뱅킹 보안현황

조사 보고서

2010. 2.

※ 본 보고서의 내용 오류가 발견되었거나, 내용에 한 의견이 있을 경우 융보안연구원

보안기획 (efinance@fsa.or.kr)으로 해당 내용을 보내 주시기 바랍니다.

목 차

Ⅰ. 개 요 ········································································································1

1. 조사 상 범 ···························································································1

2. 조사결과 요약 ···································································································1

Ⅱ. 용어정의 ····································································································3

Ⅲ. 해외 인터넷뱅킹 보안 황 ···································································5

1. 미국 ·····················································································································5

2. 국 ·····················································································································8

3. 네덜란드 ···········································································································13

4. 호주 ···················································································································17

5. 싱가포르 ·········································································································21

6. 국 ···················································································································26

7. 말 이시아 ·······································································································29

Ⅳ. 시사 ······································································································31

[참고문헌]

- 1 -

국가 은행 인증매체암호화

방식비고

미국

Bank of America

(BOA)

o 문답식 로그인 인증

o SMS OTP

o 카드 OTP

EV SSL평가 백신

제공

Citi Bank

o 이메일을 통한

Secure Authorization

Code

SSL

US Bank o 문답식 로그인 인증 SSL

국 Barclays Banko 스마트카드 리더기 OTP

SSL무료 백신

제공

[표 1] 해외 은행 인터넷 뱅킹 보안 특징 비교

Ⅰ. 개 요

최근에 해외 인터넷뱅킹 서비스에서 제공되고 있는 인증 매체, 암호화 방식, 보안

로그램 등을 조사하 다.

본 보고서에서는 해외 인터넷뱅킹 서비스에서 활용되고 있는 보안 황을 기술하고,

국내 인터넷뱅킹 환경과 비교하여 시사 을 제시하 다. 앞으로 국내 인터넷뱅킹 서비

스의 인증 매체, 보안 기술 등을 재 검하는 동시에, 보다 발 인 방안을 모색하는데

기 자료로 활용되었으면 한다.

1. 조사 상 범

유럽, 아시아, 아메리카, 오세아니아의 표 인 국가로 미국, 국, 네덜란드, 호주,

말 이시아, 싱가포르, 국 등 국가별로 3개 은행을 선정하여, 일반 인 인터넷 뱅킹

서비스의 로그인 계좌이체 과정에서 사용되는 보안매체 등을 조사하 다.

2. 조사결과 요약

아래 표는 조사 상 해외 은행들의 보안 특징을 종합 으로 보여주고 있다. 공통

인 특징으로는 모든 은행들이 SSL 암호화 통신을 지원하고 있으며, Internet Explorer

이외의 라우 (Firefox 등)에 한 호환성을 제공한다. 한, 다수 은행들이 인증

매체로서 OTP를 사용함으로써 인터넷뱅킹 서비스의 보안을 강화하고 있다.

- 2 -

국

Royal Bank of Scotland

o 스마트카드 리더기 OTP

SSL무료

개인방화벽제공

Lloyds TSB Bank o 화 인증 SSL

네덜란드

ABN-AMRO Banko 인터넷뱅킹 용 단말기

SSL

SNS Bank o 토큰 OTP SSL

RABO Bank o 토큰 OTP SSL

호주

Bank of Queensland

(BOQ)o 토큰 OTP SSL

계좌번호 이체 액을 추가 입력

Commonwealth Bank

o 토큰 OTP(기업고객) SSL

ANZ Bank o 토큰 OTP(기업고객) SSL

싱가포르

DBS Bank o 토큰 OTP SSL

United Overseas Bank (UOB)

o 토큰 OTPo SMS OTP

EV SSL

OCBC Bank

o 마우스입력기o 토큰 OTPo SMS OTPo Mobile OTP

SSL

국

공상은행o USB키 인증서o 보안카드o SMS 인증

SSL바이러스 백신

키보드보안 로그램CAPTCHA 제공

건설은행o USB키 인증서o 보안카드o SMS OTP

SSL마우스입력기(가상키보드)

CAPTCHA 제공

국은행o OTPo 개인인증서

SSL키보드보안 로그램

제공

말 이시

아

RHB Banko 보안카드 + SMS OTP

SSL마우스입력기

(가상키보드) 제공

Maybanko SMS OTPo ATM OTPo Telebanking OTP

SSL

AmBanko SMS OTPo Telebanking OTP

SSL

- 3 -

용 어 내 용

1 문답식 로그인 인증

이용자가 인터넷뱅킹 가입 시 개인 인 질문을 선택하여

로그인 시에 비 번호 입력 해당 질문에 답하여

인증하는 방식이다.

2 SSL 1) 자상거래시 개인정보를 보호하기 한 개인정보 유지

로토콜이다.

3 EV SSL 2)

SSL의 암호화 기능을 장하거나 피싱 사기로부터

이용자를 지키는 기능을 추가하 으며 256bit 암호화를

지원하는 SSL 강화 이다.

4 OTP 3)

인터넷뱅킹 이용 시 한번 사용 후 다시 사용할 수 없는

일회용 비 번호이며 동일한 비 번호가 생성되지 않는

인증 수단이다.

5 토큰 OTP 가장 일반 인 방식으로서 OTP 용기기를 통해 OTP를

생성하여 인증하는 형태이다.

6 Mobile OTP

OTP 생성 알고리즘이 휴 폰에 소 트웨어 모듈로

탑재된 형태이며 어 리 이션을 실행 후 인터넷뱅킹

사이트에서 제공하는 임의의 값을 입력하면 일회용

비 번호가 생성되는 인증 수단이다.

7 SMS OTP휴 폰의 SMS를 통해 일회용 비 번호를 수신한 후,

그 값을 인터넷뱅킹 이용 시 입력하여 인증하는 형태이다.

8 Card OTP

IC 카드형 OTP로서 IC 카드 내에는 OTP생성 모듈이

내장되어 있으며 디스 이 창과 OTP 생성 버튼이

부착되어 있는 형태이다

9 ATM OTPATM에서 인쇄한 일회용 비 번호를 일정한 시간 내에

사용해야 하는 형태이다.

10 Telebanking OTP

일회용 비 번호를 제공하는 서비스에 화를 걸어

음성자동응답 서비스 는 팩스를 통해 획득한 후

일정시간 내에 사용해야 하는 형태이다.

11 Voice OTP

IC 카드에 OTP 생성 모듈, 배터리, 버튼, 스피커를

내장시켜 사용자가 버튼을 르면 특정 소리가 생성되고

그 생성된 소리가 OTP로 사용된다.

Ⅱ. 용어정의

- 4 -

12 스마트카드 리더기 OTPOTP 단말기에 스마트카드를 장착하여 인식한 후 OTP를

생성하는 형태이다.

13 인터넷뱅킹 용 단말기 이용자의 PC에 단말기를 연결한 후에 단말기 상에서

인터넷뱅킹을 이용하는 형태이다.

14 화인증

인터넷뱅킹 이용 시 이용자가 사 에 신청한 화번호로

ARS 방식으로 화 연결하여 승인을 요청하면 다시

이용자에게 화를 걸어 인증하는 방식이다.

15마우스입력기

(가상키보드)

키보드 해킹을 방지하기 해 키보드가 아닌 마우스

입력으로 이용자가 비 번호나 계좌번호 등의 정보를

입력할 수 있도록 하는 형태이다.

16 공인인증서

공인인증기 이 발행한 사이버 거래용 인감증명서라고

할 수 있으며 공인인증서 내에는 가입자의 자서명

검증키, 일련번호, 소유자이름, 유효기간 등의 정보를

포함한 일련의 데이터를 포함하고 있다.

17 보안카드

다수의 비 번호가 기재되어 있는 카드로서 두 개의

비 번호를 조합하여 새로운 비 번호를 입력함으로써

유효 비 번호 개수를 늘려 인증하는 방식이다.

18 CAPTCHA 4)

이용자가 실제 인간인지 컴퓨터 로그램인지를 구별하

기 해 사용되는 방법으로서 인간은 구별할 수 있지만

컴퓨터는 구별하기 힘들게 의도 으로 문자를 비틀어

놓거나 그림을 주고 그 그림에 쓰여 있는 내용을 물어

보는 방법이 흔히 사용된다.

1) SSL : Secure Sockets Layer

2) EV SSL : Extended Validation Certificates Secure Sockets Layer

3) OTP : One-Time Password

4) CAPTCHA : Completely Automated Public Turing test to tell Computers and Humans Apart

- 5 -

Ⅲ. 해외 인터넷뱅킹 보안 황

1. 미국

가. 보안 특징

Bank of America(BOA)와 US Bank 인터넷뱅킹서비스는 각각 ID와 비 번호 외에

Sitekey와 ID shield라는 문답식 로그인 인증을 제공한다. 계좌이체 시에는 BOA가

SMS OTP와 카드 OTP서비스인 SafePass, Citi Bank는 이메일을 통한 Secure

Authorization Code 서비스로 2-Factor-Authentication방식을 제공한다. 그 외에도 BOA

에서는 Norton 360™ Version 3.0 평가 백신을 제공하며, 이용자가 선택 으로 사용

할 수 있다.

나. 보안 서비스 상세설명

BOA를 제외한 은행들은 보안 매체에 한 상세한 가이드를 제공하지 않아 BOA를

표 으로 조사하 다.

BOA

< 로그인 >

BOA의 문답식 로그인 인증 서비스를 살펴보면 재 이용자PC에서 최 로 인터넷뱅

킹 로그인을 시도하는 경우, ID를 입력한 후 이용자가 인터넷뱅킹을 가입했을 때 자신

이 지정한 3가지 이상의 질문 한가지의 질문에 답을 하게 한다. 를 들어, 국내에

서 비 번호를 분실한 경우에 제공되는 질문과 유사하게 ‘What is the name of your

first pet?’, ‘Where does your father live?’, ‘What is your favorite sport?’ ‘In what

city were you born?’ 등의 개인 인 질문으로 이용자가 아니라면 알기 힘든 형태이다.

아래의 (그림 1)과 (그림 2)와 같이, 이 질문에 한 답이 최 가입 시 제공했던 답과

일치하면 비 번호를 추가 으로 입력하여 로그인한다. 이 후에 동일한 이용자PC에서

로그인할 경우, 해당 이용자PC를 인식함으로써 다음 로그인 시 개인 인 질문에 한

답을 생략하며, ID와 비 번호만으로 인증이 가능하다.

- 6 -

(그림 1) ID입력 후 개인이 설정한 질문에 답을 입력 화면

(그림 2) 개인 인 질문의 인증과정 후 비 번호 입력 화면

< 계좌이체 >

BOA에서 제공하는 OTP인증 서비스인 SafePass는 6자리의 인증 코드를 제공하며

SMS OTP와 카드OTP 이용자가 선택 으로 사용할 수 있다. SMS OTP는 이용자

휴 폰을 등록하여 사용 가능하나, 카드OTP는 별도의 발 비용 $14.99을 지불한 후 사

용할 수 있다.

- 7 -

①

계좌이체 시 필요한

정보를 입력한 후

SafePass 코드를 요청

②

미리 등록된 이용자의

휴 폰으로 SafePass

코드 송

③

송된 6자리 Safepass

코드, ‘123456‘을 해당

웹페이지에 입력하여

인증 완료

[표 2] SMS OTP 인증과정

①계좌이체 시 필요한

정보를 입력한 후 카드

OTP에 생성버튼을

러 OTP 번호 생성

② 카드 OTP에 표시된

6자리 Safepass코드

‘653217‘을 해당 웹

페이지에 입력 후

인증 완료

[표 3] 카드 OTP 인증과정

아래의 [표 2]와 [표 3]은 SMS OTP와 카드 OTP의 인증과정을 상세하게 보여 다.

- 8 -

2. 국

가. 보안 특징

인터넷뱅킹 로그인을 하고자 할 때, Lloyds TSB Bank는 화인증서비스를 제공하고

있으며, Barclays Bank와 Royal Bank of Scotland는 로그인과 계좌이체 시 ID와 비 번

호 스마트카드 리더기 OTP를 사용하여 2-Factor-Authentication 방식을 제공하고 있

다. Barclays Bank는 Kaspersky Internet Security suite 백신을 제공하고 있으며, Royal

Bank of Scotland에서는 Trusteer사의 개인방화벽 Rapport을 무료로 제공하며, 이용자

가 선택 으로 설치하여 사용할 수 있다.

나. 보안서비스 상세설명

Barclays Bank

Barclays Bank의 로그인과 계좌이체를 한 인증매체는 스마트카드 리더기 OTP를

이용하며, 비 번호 3회 연속 실패하는 경우에 카드사용이 정지된다. Barclays Bank 스

마트카드 리더기 OTP는 아래의 (그림 3)과 같이 ‘IDENTIFY’ 버튼과 ‘ENTER’ 버튼을

통해 작동된다.

(그림 3)

Barclays Bank

스마트카드

리더기 OTP

< 로그인 >

Barclays Bank는 로그인 시 웹페이지에 이름의 ‘성’과 회원번호(Membership

number)를 입력한 후 OTP 생성을 해 이용자의 카드 번호 마지막 4자리를 해당 페

이지에 입력한다.

- 9 -

(그림 4) Barclays Bank 로그인 화면

아래의 [표 4]는 Barclays Bank 로그인 시 스마트카드 리더기 OTP을 통한 인증과정을

보여 다.

OTP 단말기 화면 비 고

￮ 스마트카드 리더기 OTP에 직불카드/인증카드를 꽂아

카드 비 번호 4자리 입력

￮ 스마트카드 리더기 OTP에서 생성된 OTP 8자리를

로그인 웹 페이지에 입력

[표 4] 로그인 시, 스마트카드 리더기 OTP 인증과정

< 계좌이체 >

아래의 [표 5]는 계좌이체 시 스마트카드 리더기 OTP을 통한 인증과정을 보여 다.

OTP 단말기 화면 비 고

￮ SIGN 버튼을 른 후, 스마트카드 리더기 OTP에

직불카드/인증카드를 꽂아 카드 비 번호 4자리 입력

￮ 다음화면으로 이체 상 계좌번호 입력 ( )12345678

￮ 다음화면으로 이체 액 입력 ( )100.00

￮ 스마트카드 리더기 OTP에서 생성된 OTP 8자리를

해당 웹 페이지에 입력

[표 5] 계좌이체 시, 스마트카드 리더기 OTP 인증과정

- 10 -

①

인터넷뱅킹 웹페이지의

Drop-down 메뉴에서

스마트카드 리더기 OTP에

삽입할 RBS 카드에 맞는

계좌번호를 선택

[표 6] 스마트카드 리더기 OTP 인증과정

RBS Bank

< 로그인 >

RBS Bank의 로그인은 고객 번호(Customer number)를 입력한 후 다음 차를 진행

할 수 있다. 그러나 상세한 가이드가 없어 추가 인 내용을 악할 수 없었다.

(그림 5) RBS Bank 로그인 화면

< 계좌이체 >

RBS Bank는 계좌이체 시 스마트카드 리더기 OTP를 이용하며, 한번 이체한 상은

동일 계좌번호로 이체 시 OTP 번호의 입력이 필요 없다.

다음의 [표 6]에서는 스마트카드 리더기 OTP 인증과정을 보여 다.

- 11 -

②

스마트카드 리더기 OTP에

카드 비 번호를 입력 후,

‘OK’ 버튼을 름

③

해당 웹페이지에 표시된

‘10224444’번호를 스마트

카드 리더기 OTP에 입력

④

스마트카드 리더기 OTP에

‘10224444’를 입력 후에

나타난 OTP ‘86420369’

번호를 해당 웹페이지에

입력 후 인증 완료

Lloyds TSB Bank

Lloyds TSB Bank는 보안매체에 해 상세 가이드를 제공하지 않아 인터넷뱅킹 로그

인 과정과 계좌이체 상 추가를 한 화인증서비스에 해 조사하 다.

< 로그인 >

회원가입 등록을 한 후 로그인을 해 ID와 비 번호를 입력하게 되면 특정한 문자

를 선택할 수 있는 웹 페이지가 나타난다. 이 때, 선택하게 되는데 이용자가 보안카드

- 12 -

①

웹페이지에서 회원 가입

후 로그인을 해 ID와

비 번호를 입력

②

ID와 비 번호를 입력한

후에 다음 화면에서 특정

문자를 선택하게 되는데

보안카드의 특정 치에

나와 있는 1, 3, 5번째

있는 문자를 선택

③

1,3,5번째 문자를 선택한

후에 인터넷뱅킹을 이용

[표 7] 인터넷뱅킹 로그인 과정

에 특정한 치에 나와 있는 1, 3, 5번째 있는 문자를 선택하여 로그인할 수 있다.

아래의 [표 7]은 Lloyds TSB Bank의 로그인 과정을 보여 다.

- 13 -

< 화인증서비스를 이용한 계좌이체 상 추가 >

아래의 [표 8]과 같이, 사 에 등록한 이체 상이 없을 경우 이용자는 미리 등록해

놓은 화번호 에서 수신을 원하는 화번호를 선택하여 화를 받은 후, 인터넷뱅

킹 화면에 표시된 인증번호 4자리를 화상에 입력하여 승인 받음으로써 새로운 이체

상에 거래가 가능하다.

①

사 에 수신 가능한 화

번호를 장해 두고 있으

며, 재 수신 가능한

화번호를 선택

②

해당 웹페이지에 표시된

인증번호를 화 키패드에

입력하여 승인 완료

[표 8] 이체 상 추가 시 화 인증 시도 화면

3. 네덜란드

가. 보안 특징

인터넷뱅킹 로그인 시 ABN-AMRO Bank는 인터넷뱅킹 용 단말기를 사용하며

SNS Bank RABO Bank는 토큰형 OTP를 사용한다.

나. 보안서비스 상세 설명

ABN-AMRO Bank의 인터넷뱅킹 용 단말기는 컴퓨터에 연결하여 사용되므로 별도

- 14 -

①

웹페이지 화면에 이용자가

소유하고 있는 단말기를

선택한 후에, 해당 웹페

이지에 계좌번호와 카드

번호를 입력

②

e.dentifier2 단말기에

카드를 꽂고, USB 이

블을 PC와 연결한 후,

단말기에 비 번호를 입력

하여 얻은 응답값을 해당

웹 페이지에 입력

[표 9] 인터넷뱅킹 용 단말기 인증과정

의 소 트웨어 설치가 요구된다. SNS Bank의 경우 토큰 OTP 뒷면에 표시된 고유번호

를 이용하여 로그인 할 수 있다. SNS Bank과 RAB Bank는 계좌이체 서비스 이용에

한 상세한 가이드를 제공하지 않아 로그인 서비스 주로 조사하 다.

ABN-AMRO Bank

< 로그인 계좌이체 >

ABN-AMRO Bank는 인터넷 용단말기를 통해 인터넷뱅킹 서비스를 이용할 수 있

다. 단말기는 e.dentifier, e.dentifier2 등 2가지 모델로 구분되며, e.dentifier2 단말기가

최신 기종이다.

아래의 [표 9]는 인터넷뱅킹 용 단말기를 통한 로그인 계좌이체 시의 인증과정

을 보여 다.

- 15 -

③ 와 같이 로그인 과정이

성공 으로 이루어지면,

e.dentifier2 단말기에

인터넷뱅킹을 이용할 수

있는 메뉴들이 표시됨.

PC에 별도의 e.dentifier

소 트웨어 설치 과정이

별도로 필요

①

인터넷 뱅킹 웹페이지에

속하여 토큰 OTP

뒷면에 붙어있는 라벨에

표시된 고유번호를 입력

②

고유번호를 입력하면 웹

페이지에 시도값이 나타

나고 시도 값을 토큰

OTP에 입력하여 응답

값을 획득

[표 10] 토큰 OTP 인증과정

SNS Bank

< 로그인 >

SNS Bank는 Challenge-Response 방식의 토큰 OTP가 이용되며, 로그인 인증과정은

[표 10]과 같다.

- 16 -

③

토큰 OTP에서 생성된

응답값을 해당 웹페이지에

입력

RABO Bank

< 로그인 >

RABO Bank는 인터넷뱅킹 로그인 시 고객 번호(Customer number)와 OTP 번호를

입력해야 한다.

다음의 (그림 6)은 RABO Bank의 로그인 화면을 보여 다.

(그림 6) 응답값을 웹페이지에 입력

- 17 -

4. 호주

가. 보안 특징

Bank of Queensland(BOQ)는 인터넷뱅킹 로그인 시 고객 근 번호(Customer

Access Number)를 별도로 요구하며 Commonwealth Bank, ANZ Bank, BOQ등 3개 은

행 모두 계좌이체 시 토큰 OTP를 통해 2-Factor-Authentication방식을 제공한다. 그리

고 ANZ Bank는 Norton 360 3.0, Norton Internet Security 2009, AVG Internet

Security 등 평가 보안 로그램들을 제공하여 이용자가 선택 으로 설치할 수 있다.

나. 보안서비스 상세설명

BOQ

< 로그인 >

BOQ는 인터넷뱅킹 로그인 시, 고객 근 번호와 개인 근 코드(Personal Access

Code)을 입력해야 한다. PAC는 일반 인 비 번호 형태로 한 달에 한 번씩 정기 으

로 교체하기를 권고하고 있다.

다음의 (그림 7)은 BOQ의 로그인 화면을 보여 다.

(그림 7) BOQ 로그인 화면

- 18 -

①

토큰OTP에 비 번호

입력

②

One Time Password

방식의 1번을 선택하면

OTP 번호가 생성되며,

해당 웹페이지에 입력

[표 11] 토큰 OTP의 One Time Password 방식

< 계좌이체 >

BOQ의 토큰 OTP는 $10,000 이상의 액을 이체할 때 요구되며 One Time

Password와 Transaction Signing이라는 두 가지 방식을 제공한다. One Time Password

방식은 $10,000이상 $25,000미만의 액을 이체할 때 사용하며 $25,000이상의 액을

이체할 시에는 Transaction Signing 방식을 사용한다.

다음의 [표 11]과 [표 12]에서는 토큰 OTP의 One Time Password 방식과

Transaction Signing 방식을 보여 다.

- 19 -

①

토큰 OTP에 비 번호

입력

②

Transaction Signing방

식의 2번을 선택한 후

토큰 OTP 이용자의

계좌번호 8자리, 이체

상 계좌번호 8자리

입력

③

이체 액을 입력하면

OTP번호가 생성되며,

해당 웹페이지에 입력

[표 12] 토큰 OTP의 Transaction Signing 방식

Commonwealth Bank

< 로그인 >

- 20 -

(그림 8) ANZ Bank 로그인 화면

Commonwealth Bank는 로그인 시 고객 번호(Client Number)와 비 번호로 인증하여

인터넷뱅킹 서비스를 이용할 수 있다.

< 계좌이체 >

개인고객의 경우 별도의 인증매체 없이 계좌이체가 가능하며 토큰 OTP는 기업고객

에게만 제공하고 있다.

ANZ Bank

< 로그인 >

ANZ Bank는 로그인 시 고객 등록 번호(Customer Registration Number)와 비 번호

로 인증하여 인터넷뱅킹 서비스를 이용할 수 있다. 고객 등록 번호는 ANZ Access

Card, 신용카드 는 직불카드 번호나 은행에서 제공하는 9 자리 번호 등을 이용하여

로그인 할 수 있다.

아래의 (그림 8)은 ANZ Bank의 로그인 화면을 보여 다.

< 계좌이체 >

개인고객의 경우 별도의 인증매체 없이 계좌이체가 가능하며 토큰 OTP는 기업고객

에게만 제공하고 있다.

- 21 -

①

웹페이지에 ID와 비 번호

입력

②

토큰 OTP에서 생성된

OTP 번호를 해당 웹페이

지에 입력

[표 13] 토큰 OTP 인증과정

5. 싱가포르

가. 보안 특징

인터넷뱅킹 로그인 시 DBS Bank와 United Overseas Bank(UOB)에서는 토큰 OTP

는 SMS OTP를 사용하며, OCBC Bank에서 ID와 비 번호 입력을 해 마우스입력

기(가상키보드)를 제공하여 이용자가 선택 으로 사용할 수 있다. 계좌이체 시, UOB는

토큰 OTP, SMS OTP를 제공하고 OCBC Bank는 토큰 OTP, Mobile OTP, 휴 폰OTP

를 2-Factor-Authentication방식으로 제공하고 있으며, 이용자가 선택 으로 사용할 수

있다.

나. 보안서비스 상세설명

DBS Bank

< 로그인 >

DBS Bank는 인터넷뱅킹 로그인 시 ID와 비 번호 외에 토큰 OTP를 제공하여 인증

한다. 상세 인증과정은 다음의 [표 13]에서 보여 다.

- 22 -

①

웹페이지에 ID와 비 번호

입력

②

계좌이체를 한 SMS OTP

선택

③

휴 폰에 송된 SMS내의

OTP 8자리를 해당 웹페

이지에 입력

[표 14] SMS OTP 인증과정

< 계좌이체 >

로그인 인증 후 별도에 인증 차 없이 계좌이체 서비스를 이용할 수 있다.

UOB

< 로그인 >

UOB는 인터넷뱅킹 로그인 시 ID와 비 번호 이외에 토큰 OTP와 SMS OTP를 제공하

여 인증한다. 계좌조회는 ID와 비 번호로만 가능하며, 계좌이체는 이용자가 미리 지정

한 인증매체인 토큰OTP 는 SMS OTP를 통해 로그인할 수 있다.

아래의 [표 14]와 [표 15]에서는 SMS OTP와 토큰 OTP의 인증 과정을 제각기 보여

다.

- 23 -

①

웹페이지에 ID와 비 번호

입력

②

계좌이체를 한 토큰

OTP 선택

③

토큰 OTP에 표시된 OTP

8자리를 해당 웹페이지에

입력

[표 15] 토큰 OTP 인증과정

①

수취인에 한 계좌정보

입력 (이체 상은행, 지 ,

계좌정보, 수취인성명)

[표 16] 이체 상 추가 시 SMS OTP/ 토큰 OTP 인증과정

< 계좌이체 서비스 이용을 한 이체 상 추가 >

UOB는 계좌이체 서비스 이용 시 이체 상을 미리 추가하여야 한다. 아래의 [표 16]과

같이, 계좌정보를 추가하는 과정에서 SMS OTP 는 토큰 OTP를 사용한다.

- 24 -

②

SMS OTP 는 토큰 OTP를

통해 표시된 8자리 번호를

해당 웹페이지에 입력

OCBC Bank

< 로그인 >

OCBC Bank는 인터넷뱅킹 로그인 시 (그림 9)와 같이 이용자가 마우스입력기(가상키

보드)를 선택 으로 사용할 수 있다.

(그림 9) 마우스입력기(가상키보드)

OCBC Bank는 토큰 OTP와 SMS OTP, Mobile OTP를 선택 으로 사용할 수 있다.

Mobile OTP는 휴 폰에 설치된 어 리 이션을 통해 OTP를 생성하며, 이용자는 인터

넷뱅킹 사이트에서 제공하는 임의의 값을 휴 폰에 입력하여 그 값이 일치하면, 휴

폰에서 OTP를 제공받아 해당 웹페이지에 입력하여 인증하는 방식이다.

아래의 [표 7]은 Mobile OTP에 한 상세한 인증과정을 보여 다.

- 25 -

①

웹페이지에서 임의의

값을 제공 받음

②

휴 폰에서 어 리 이션을

실행한 후 해당 웹페이지

에서 제공한 임의의 값을

입력하여 OTP 번호 생성

③

휴 폰 어 리 이션에서

생성된 OTP 번호를 해당

웹페이지에 입력

[표 17] Mobile OTP 인증과정

토큰 OTP는 (그림 10)과 같이 인터넷뱅킹 웹페이지에 ID와 비 번호를 입력한 후,

토큰에서 생성된 OTP 번호를 웹페이지에 입력하여 인증한다.

(그림 10) 토큰 OTP 인증과정

- 26 -

①

웹페이지에 ID와 비 번호를 입력한

후에 사 에 등록한 이용자의

휴 폰으로 자동으로 송되는

SMS내 OTP 번호 수신

②

수신된 OTP 번호를 해당 웹페이

지에 입력.

만일 OTP 번호가 송되지 않을

경우, 재 송을 요청하는 링크를

클릭하여 휴 폰으로 OTP 번호를

수신하여 재시도

[표 18] SMS OTP 인증과정

SMS OTP는 웹페이지에 ID와 비 번호를 입력 후, 휴 폰으로 송되는 SMS내에

OTP 번호를 웹페이지에 입력하여 인증한다.

아래의 [표 18]은 SMS OTP 인증과정을 보여 다.

6. 국

가. 보안상 특징

인터넷뱅킹 로그인 시 건설은행이 마우스입력기(가상키보드)를 제공하며, 공상은행과

건설은행은 인증과정에서 CAPTCHA이미지를 제공한다. 계좌이체 시에는 국은행은

인증서와 OTP를 제공하고 공상은행과 건설은행은 2-Factor-Authentication방식으로

USB키 인증서, 보안카드를 제공한다. 이 외에도 공상은행은 SMS 인증 서비스를 건설

은행은 SMS OTP를 제공한다. 국은행은 이용자가 선택 으로 키보드보안 로그램

- 27 -

을 설치하도록 하며 공상은행은 ActiveX를 통해 무료로 백신 로그램, 키보드 보안

로그램을 제공하며, 이용자가 선택 으로 사용할 수 있다.

나. 보안서비스 상세설명

국은행은 인터넷뱅킹 이용에 한 자세한 가이드를 제공하지 않아 공상은행과 건

설은행을 심으로 조사하 다.

공상은행

< 로그인 >

공상은행은 인터넷뱅킹 로그인 시 ID와 비 번호로 인증하여 인터넷뱅킹 서비스를

이용할 수 있다.

< 계좌이체 >

공상은행은 계좌이체 시에 보안카드 는 USB키 인증서로 인증한다. 보안카드의 형

태는 국내와 유사하며 8x10 3자리 숫자 조합하여 인증한다. 이체한도는 건당 500 안

이하 하루 1,000 안 이하이며, 보안카드 사용횟수를 1,000회로 제한하고 있는 것이 국

내와 다른 이다. 아래의 (그림 11)과 같이, 보안카드 좌표는 CAPTCHA 이미지로 표

시되며 그 좌표에 해당하는 보안카드 번호를 입력하여 인증한다.

(그림 11) 보안카드 좌표

휴 폰으로 보안카드와 좌표를 SMS로 발송하는 SMS인증을 함께 사용하면 건당

2,000 안 이하, 하루 5,000 안 이하로 이체 가능하다.

- 28 -

공상은행은 2003년부터 제공하기 시작한 USB키 인증서는 보안USB에 인증서를 안 하

게 장하고 인터넷뱅킹 시 자서명과 디지털인증, 개인인증서의 외부 노출/복사를

방지기능을 제공한다. 내재된 마이크로 로세서는 온라인 거래의 기 성, 무결성, 부인

방지 등을 해 1024비트 비 칭 암호화를 통해 송수신 데이터를 암·복호화하고 자

서명을 수행한다.

아래의 (그림 12)는 공상은행에서 제공하는 보안 USB를 보여 다.

(그림 12)

공상은행에서

제공하는 보안

USB

건설은행

< 로그인 >

건설은행은 (그림 13)과 같이 인터넷뱅킹 로그인 시 ID와 비 번호를 입력해야 하며,

비 번호 입력 시 마우스입력기(가상키보드)를 이용해야 한다.

(그림 13) 건설은행 로그인 화면

- 29 -

< 계좌이체 >

계좌이체 시, 보안 USB키 인증서, 보안카드, SMS OTP, CAPTCHA 등을 통해 인증하

나 상세한 차를 제공하지 않는다. 단, 인증과정에서 보안카드 이용 시 건당 3,000 안,

USB키 인증서 이용 시 200,000 안까지 이체가 가능하다.

7. 말 이시아

가. 보안 특징

MayBank는 2-Factor-Authentication방식으로 SMS OTP, ATM OTP, 텔 뱅킹 OTP를

제공하며, AmBank는 ATM OTP, 텔 뱅킹 OTP를 제공한다. RHB Bank의 경우 로그

인 시 마우스입력기(가상키보드)를 제공하며, 계좌이체 시에는 보안카드와 SMS OTP를

함께 사용해야 한다.

나. 보안서비스 상세설명

RHB Bank를 제외한 은행들은 상세한 가이드를 제공하지 않아 RHB Bank를 표

으로 조사하 다.

RHB Bank

< 로그인 >

RHB Bank는 인터넷뱅킹 로그인 시 (그림 14)와 같이 사용자 이름(username)을 요구

하며, 마우스입력기(가상키보드)를 통해 입력할 수 있다.

(그림 14) RHB Bank 로그인 화면

- 30 -

①

웹페이지에 요구하는

보안카드 좌표를 이용

하여 보안카드 번호를

입력

②

휴 폰으로 송된

SMS 내의 OTP 8자리

입력

[표 19] RHB Bank 인증 과정

< 계좌이체 >

계좌이체 시 보안카드의 3가지 좌표를 입력한 후, 휴 폰으로 송된 SMS 내에 나

타난 OTP 번호를 입력하도록 되어 있다.

아래의 [표 19]는 RHB Bank의 SMS OTP 인증과정을 보여 다.

- 31 -

Ⅳ. 시사

○ 강화된 암호화 방식 사용

해외 인터넷뱅킹에서 128bit SSL 암호화 방식을 다수 사용하고 있으며, 미국과

싱가포르의 일부 은행에서는 보다 강화된 256bit SSL 암호화 방식(EV SSL)을 사용하고

있다. 국내 인터넷뱅킹 환경에서는 128bit SEED가 주로 이용된다.

SSL 방식은 Internet Explorer 뿐만 아니라 Firefox 등의 웹 라우 에 한 지원이

가능하다.

○ 문답식 로그인 인증을 통한 추가 인 정보 요구

미국의 2개 은행에서는 인터넷뱅킹 로그인 시 문답식 형태로 개인정보를 추가 으로

요구하고 있으며, 속된 이용자 PC에 한 지속 인 모니터링을 통해 이용자 PC

정보 한 로그인 인증시 활용된다.

○ 로그인과 계좌이체 시에도 OTP 사용

국, 싱가포르 등의 일부 은행에서는 인터넷뱅킹을 통한 계좌이체 외에도 로그인

시에 OTP 인증 서비스를 제공한다.

○ OTP 단말기에 추가 정보 입력을 통한 OTP 번호 생성

국, 네덜란드, 호주 등의 일부 은행에서 제공하는 OTP 단말기는 인터넷뱅킹 웹페

이지 상에서 제공하는 난수값, 카드정보, 이체 상 정보 등을 추가 으로 입력해야만

OTP 번호를 생성할 수 있다.

○ 인터넷뱅킹 로그인 시 마우스입력기(가상키보드) 사용

국, 싱가포르, 말 이시아 등 아시아권 일부 은행에서는 인터넷뱅킹 로그인 시 ID,

비 번호 등을 입력할 때, 키보드 이외에 마우스입력기(가상키보드) 등 다양한 입력

수단을 제공하고 있다.

- 32 -

[참고문헌]

▪ http://www.bankofamerica.com/index.jsp

▪ http://www.citibank.com/us/home.htm

▪ http://www.usbank.com

▪ http://www.barclays.co.uk

▪ http://www.rbs.co.uk

▪ http://www.lloydstsb.com

▪ http://www.abnamro.com

▪ http://www.snsbank.nl/

▪ http://www.raboplus.co.nz

▪ http://www.boq.com.au

▪ http://www.commbank.com.au

▪ http://www.anz.com/personal

▪ http://www.dbs.com

▪ http://www.uob.com.sg

▪ http://www.ocbc.com.sg

▪ http://www.icbc.com.cn

▪ http://www.ccb.com

▪ http://www.boc.cn

▪ http://www.rhbbank.com.my

▪ http://www.maybank2u.com.my

▪ http://www.ambg.com.my

- 33 -

해외 인터넷뱅킹 보안현황 조사 보고서

2010. 2

=================================================

총괄 책임자 금융보안연구원

정보보안본부 본부장 성 재 모

참여 연구원

정보보안본부 보안기획팀 팀장 김 영 태

연구원(인턴) 진 윤 호

연구원(인턴) 김 태 희

사이버대응센터 해킹대응팀 연구원 사 준 호

=================================================

- 34 -

해외 인터넷뱅킹 보안현황 조사 보고서

========================================

2010년 2월 발행

발행인 : 곽창규

발행처 : 금융보안연구원

서울시 영등포구 여의도동 36-1 15층

Tel : (02) 6919-9114

========================================

본 보고서 내용의 무단전재를 금하며, 가공 또는 인용할 때에는 반드시

금융보안연구원 「해외 인터넷뱅킹 보안현황 조사 보고서」라고 밝혀

주시기 바랍니다.