싱가포르 통화청(MAS)과 싱가포르 은행 협회(ABS)는 공동 보도자료를 통해 싱가포르 은행들이 고객을 사기 위험으로부터 보호하기 위해 계좌 로그인 시 OTP 사용을 점진적으로 없앨 것이라고 밝혔습니다.

이 과정은 앞으로 3개월 안에 진행될 예정입니다. 물리적 토큰을 사용하는 사용자는 영향을 받지 않습니다. 그럼에도 불구하고 당국은 디지털 토큰으로 전환할 것을 촉구하고 있습니다.

싱가포르 은행, 향후 3개월 내 OTP 단계적 폐지

은행 앱의 디지털 토큰은 거래하기 전에 승인을 요청하는 알림을 고객에게 보냅니다. 이 과정을 2차 인증이라고 합니다. 따라서 사기꾼은 전자 토큰이 설치된 후 원격으로 거래를 수행하려면 피해자의 휴대전화를 훔쳐야 합니다.

반면, OTP는 소셜 엔지니어링 공격을 통해 쉽게 손상될 수 있으며, 휴대폰의 스파이웨어를 통해 가로채질 수도 있습니다. 따라서 OTP는 피싱 공격에 효과적이지 않습니다. 싱가포르 경찰의 수치에 따르면, 피싱 공격으로 인해 피해자들은 연간 최소 1,420만 달러의 손실을 입습니다.

또한, 뱅킹 앱에는 악성 코드가 장치에서 감지되면 앱에 대한 모든 접근을 차단하는 맬웨어 방지 기능이 탑재되어 있습니다.

OTP는 2000년대에 온라인 보안을 강화하기 위한 다중 인증 옵션으로 도입되었습니다. 그러나 기술의 발전과 실제 웹사이트와 매우 유사한 가짜 은행 웹사이트를 만드는 등 더욱 정교해진 사회공학적 공격 전술 덕분에 범죄자들이 고객을 속여 OTP를 제공하는 것이 더욱 쉬워졌습니다.

두 기관에 따르면, 디지털 토큰은 인증 프로세스를 강화하여 사기꾼이 고객 기기의 승인 없이 고객 계좌와 자금에 접근하기 어렵게 만드는 데 도움이 될 것입니다.

ABS 국장인 옹앙 아이 분은 이러한 조치가 다소 불편을 초래할 수 있지만 사기를 방지하고 고객을 보호하기 위해 필요하다고 말했습니다.

MAS 부국장인 루 시우 이(Loo Siew Yee)는 또한 당국이 "소비자를 디지털 뱅킹 사기로부터 보호하기 위해 은행과 긴밀히 협력을 계속할 것"이라고 덧붙였습니다.