본문 바로가기

벌새::Security

네이트온(NateOn) 본인 인증 서비스 실시와 문제점

반응형
국내 메신저 프로그램 네이트온(NateOn)을 이용한 각종 금융 사고로 인하여 그동안 다양한 방법으로 예방 기능을 추가하였으며 이번에는 본인 인증 서비스를 추가하였다는 소식입니다.
 

먼저, 최근까지 추가된 네이트온 메신저의 도용 방지와 인증 정책은 다음과 같습니다.

로그인 과정에서의 비밀번호 인증을 위한 U-OTP 기능과 메신저 내에서 일어나는 특정 회원 신고 기능을 통해 금융 사고를 예방하고 있지만, 여전히 공격자는 사전에 사용자 컴퓨터를 악성코드로 감염시켜 네이트온 계정 정보를 탈취하고 있으며 지능화된 방식으로 접근을 하고 있는 것 같습니다.

 

이번에 추가된 본인 인증 서비스는 네이트온 버전 4.0.7.1 (1342) 버전으로 업데이트된 상태에서 메뉴에 추가되었으며, 아래의 테스트는 상대방에게 허락을 구하고 인증 절차를 진행하였음을 밝힙니다.(테스트를 도와주신 처리님께 매우 감사 드립니다.

1. 본인 인증 요청과 결과 보기


자신과 대화창을 통하여 대화를 하는 상대방에게 본인 인증을 요청하는 방법은 2가지 방식으로 ① 대화창의 [동작 - 대화상대 본인 인증 신청하기] 메뉴 이용 ② 대화 중 금전 관련 내용 입력시 생성되는 [본인인증 요청] 버튼 실행 방법이 있습니다.

일반적으로 상대방이 타인의 정보를 이용한 도용자인 경우 메신저에서 이루어지는 대화 내용 중에서 금융 관련 문구를 조심하여 메시지가 출력되지 않게 한다고 알려져 있으므로, 대화창의 메뉴에서 제공하는 인증 신청 기능을 이용하시는 것이 편할 것으로 보입니다.

대화 상대방에게 본인 인증 요청을 한 경우, 요청자의 화면에는 대화창 위에 실명 인증(공인 인증서 방식), 휴대폰 인증 방식을 통한 결과를 알려준다는 메시지와 함께 인증을 정식으로 요청할 수 있습니다.

본인 인증 요청을 받은 상대방의 대화창에는 그림과 같이 요청을 수락할 것인지 거절할 것인지를 선택할 수 있으며, 거절을 할 경우 특별히 메신저 사용상의 문제는 발생하지 않지만 의심을 해야 합니다.

본인 인증 요청을 받은 상대방이 해당 요청을 수락한 경우, 요청자의 화면에는 그림과 같이 보인 인증 진행과 관련된 창이 계속적으로 출력되고, 해당 창을 닫아도 최종적인 결과를 확인 받을 수 있습니다.

만약 상대방이 수락을 한 상태에서 인증 절차를 완료하지 않을 경우 일정 시간이 지나면 요청자의 화면에 그림과 같은 안내 메시지가 출력되는 것을 확인할 수 있습니다.

상대방이 최종적으로 인증 절차를 거쳤는데, 인증에 실패한 경우에는 요청자에게 그림과 같은 메시지를 통해 안내를 하여 금전적 피해가 발생하지 않도록 사용자에게 인지를 시키는 것을 보실 수 있습니다.

참고로 인증에 실패하였을 경우 상대방이 100% 도용자는 아니며, 다양한 이유로 인증에 실패할 수 있습니다.

2. 본인 인증 방식


본인 인증 방식은 먼저 메신저 실명 사용자의 주민등록번호를 입력한 상태에서 휴대폰을 이용한 방식과 공인 인증서를 이용한 방식 중 하나를 선택하도록 구성되어 있습니다.

● 휴대폰 인증 방식

휴대폰 인증 방식에서는 사용자의 휴대폰 번호와 이동 통신사를 선택하여 수신된 인증번호를 입력하도록 구성되어 있습니다.

[문제점]

현재 사용자 휴대폰 번호를 입력하고 이동 통신사를 선택하는 과정에서 실제 SKT 사용자가 KTF로 선택하고 인증을 시도시 아무런 제약없이 인증이 되며, KTF 사용자가 SKT로 선택한 경우에도 인증이 되는 등 이동 통신사를 제대로 체크하지 못하는 것으로 확인이 되었습니다.

핸드폰으로 수신된 인증번호 5자리를 화면에 입력을 하시면 됩니다.

최종적으로 인증을 시도한 사람에게는 본인 인증 성공 화면이 출력되는 것을 확인할 수 있습니다.

인증을 요청한 사람에게는 그림과 같이 상대방이 본인 인증에 성공하였다는 메시지를 확인할 수 있습니다.

물론 이 경우에는 인증에 성공하였다고 100% 도용자가 아니라는 것은 아니므로 금전과 관련된 대화가 있을 경우 주의하시기 바랍니다.

● 공인 인증서 인증 방식

공인 인증서를 이용한 본인 인증을 시도할 경우에는 네이트 키보드 보안 프로그램을 사용자 컴퓨터에 설치해야 합니다.

키보드 보안 프로그램 ClientKeeper KeyPro를 설치하실 때 해당 모듈이 모든 웹 사이트에서 동작하도록 설정할지 여부를 물어보는데, 편의상 사이트별로 동작 여부를 결정하도록 [아니오]를 선택하시기 바랍니다.

설치된 키보드 보안 프로그램은 시스템 트레이 상에 붉은색 아이콘으로 생성되며, 마우스를 올리면 [Nate 보안 로그인 - 키보드 보안 기능이 작동 중]이라는 메시지를 확인할 수 있습니다.

개인적으로 이런 프로그램이나 절차가 어려우신 분들은 핸드폰 인증 방식을 이용하시기 바랍니다.

키보드 보안 프로그램이 설치된 환경에서 공인 인증서(범용 공인 인증서 - 유료 공인 인증서)를 통한 본인 인증을 할 수 있습니다.

만약 은행권에서 사용하는 공인 인증서를 이용하여 인증을 시도할 경우에는 그림과 같이 인증에 실패를 하는 것을 확인할 수 있으므로, 범용 공인 인증서가 없으신 분들은 유료 발급을 받으시거나 핸드폰 인증을 이용하시기 바랍니다.


테스트 과정에서 키보드 보안 프로그램 설치 후, 그림과 같이 입력되는 문자가 제대로 구현되지 않는 충돌 현상을 확인할 수도 있었으며 이런 경우에는 특정 사용자 컴퓨터 환경에서 발생할 수 있는 일시적인 문제로 추정됩니다.

또한 사용자가 Maxthon 웹 브라우저를 열어둔 상태에서 공인 인증서 인증을 시도할 경우 정상적인 인증 절차에서 생성되는 네이트온 자체 창을 통한 인증 과정이 아닌 Maxthon 웹 브라우저를 통한 인증창 생성이 발생하는 것을 확인하였고, 이로 인하여 키워드 보안 프로그램 동작으로 주민등록번호 입력시 불편함, 공인 인증서 암호를 입력시 불편함을 확인할 수 있었습니다.

그러므로 해당 인증시에는 반드시 타 웹 브라우저는 닫으시고 이용하시기 바랍니다.

728x90
반응형
  • 은행권에서 발부하는 인증서로는 안되나요? 활용성이 뚝 떨어지는 느낌이네요.

  • 꽤 복잡해 보이네요. 그냥 돈 달라고 하면 상대방에게 문자 확인을 하도록 페이지가 연결되는 정도만 해도 쓸만하지 않을까 싶습니다.

  • 본인인증 서비스라고 했는데 말이야 쉽지, 직접 해 보면 너무 어렵네요 ^^;;;
    일반적인 거래를 할 때도 저렇게 복잡하게 한다면 안하겠습니다.

  • 네이트온 담당자 2010.01.05 14:11 댓글주소 수정/삭제 댓글쓰기

    안녕하세요~ 네이트온 담당자입니다~ ^^
    소중한 분석과 지적 감사드립니다.
    문제점으로 지적하신 부분에 대하여 설명 드리겠습니다.

    네이트온 본인인증 서비스에 적용된 본인인증 모듈은
    네임체크(한신평)의 Checkplus 본인인증 모듈로써 이통사의 선택에 상관없이 명의자와 핸드폰번호가
    맞으면 본인인증을 진행합니다.
    이는 실제 잦은 번호 이동 등으로 이통사 정보를 잘못 알고 있는 경우가 많아 고객 편의를 위해
    제공해 오고 있는 방식이라고 답변을 받았습니다.

    하지만, 이 부분은 기능, UI적으로 불필요한 부분이라고 판단하여 Checkplus 담당자와 개선에 대한 부분을 협의중에 있습니다.

    항상 관심을 가져 주셔서 감사 드립니다.

    p.s 공인인증서를 활용한 본인인증에서 범용공인인증서만 인증가능한 이유는
    전자서명 관련 법령의 규정에 따라 본인인증의 용도는 범용 공인인증서만 사용이 가능하기 때문입니다.