2024-03-28 19:15 (목)
[보안 바로알기⑤] 인터넷 뱅킹보안 이슈
상태바
[보안 바로알기⑤] 인터넷 뱅킹보안 이슈
  • 길민권
  • 승인 2013.08.18 18:14
이 기사를 공유합니다

금융기관이 아닌 개인 PC를 공격 최초 시작점으로 사용하는 것이 트렌드
이 자료는 보안에 대한 올바른 정보 전파를 통해 자신과 직장의 정보와 재산을 보호하기 위한 안랩의 보안지식 공유 캠페인인 ‘보안 바로알기(Know the security) 캠페인’의 일환으로 제공하는 자료다. <편집자 주>
 
안랩은 ‘보안 바로알기(Know the security) 캠페인’의 일환으로 지난 ‘백신 바로알기’, ‘APT 바로알기’, ‘보안 종결론 바로알기’, ‘위장 악성코드 바로알기’에 이어, <아래> 정보를 안랩의 블로그 및 SNS를 통해 배포했다.
 
◇인터넷 뱅킹보안
인터넷 뱅킹 이용자가 8000만 명을 돌파(모바일 뱅킹 사용자 포함)한 요즘, 인터넷 뱅킹 보안위협도 덩달아 증가하고 있다. 안랩의 보안 바로알기(Know the security) 캠페인의 다섯 번째 이야기는 어쩌면 지금까지 주제 중 우리 생활에 가장 밀접한 주제일 수 있는 ‘인터넷뱅킹 보안위협 바로알기’다. 아래 자료를 통해 ‘인터넷뱅킹 보안위협’에 대한 이해를 높이는 계기가 되면 좋겠다.
 
◇개인 PC 사용자가 아닌 금융기관이 침해 당해 내 돈이 빠져나간다?
현재까지 알려진 바로는 금융기관 침해로 인해 개인 사용자의 금전이 빠져나간 사례는 없다. 통계적으로 볼 때, 우리나라 기관들 중에서 보안에 가장 많이 투자하고 관심을 쏟는 곳이 금융업계라는 것은 사실이다. 다만 이는 상대적인 규모이고, 이에 더해 아직 보안에 대한 더 많은 고민(금액의 문제가 아니라, 운영 및 인식의 문제입니다)이 필요한 것도 사실이다.
 
공격자가 대형 은행 시스템에 직접 침투해서 돈을 빼내오기란 쉬운 일이 아니다. 그래서 해커들은 조금 더 수월한 개인 PC를 노린다. 여기서 개인 PC란 기업에서 직원이 사용하고 있는 PC도 포함되는 개념이다. (어차피 비슷한 노력이 든다면 개인 보다 기업이 인터넷 뱅킹을 이용하는 금액이 훨씬 크니까).
 
공격자는 모든 수단을 동원해 개인(기업 내 개인 포함)의 금융정보를 빼내가려 시도한다. 먼저, 해커는 피싱메일, SNS의 URL, P2P사이트, 악성코드를 포함한 메일, 배너광고, 프로그램의 보안 취약점 등 광범위한 수단을 통해 악성코드를 감염시킨다.
 
일단 악성코드가 침투하면, 이후엔 금융정보를 채가기 위한 모든 시도를 한다. 예를들어, 키보드로 입력되는 정보를 빼내기 위해 이를 탈취하는 ‘키로거’를 설치한다. 화면캡처가 필요하면 화면캡처를 한다. 만약 목표 개인(기업 내 개인 포함)이 사용하는 주거래 은행이 보안카드를 사용한다면 보안카드 정보를 빼내기 위해 자신이 만든 가짜 사이트로 유도하는 악성코드를 심는다.
 
여기에 최근에는 개인 사용자의 PC에 침투해서, 감염된 PC로 특정 은행 사이트를 방문할 시, 보안을 위해 자동으로 구동되는 키보드 보안솔루션, 공인인증서 등 보안모듈의 메모리를 해킹(수정)해 개인의 금융 정보를 유출하는 악성코드도 국내에서 발견되었다. 즉, 사용자는 정상 은행사이트를 이용하는 과정에서 자기도 모르게 금융정보를 탈취당하는 것이다.
 
2010년, 해외 모 기업의 경우 재무 담당직원이 피싱메일에 속아 인터넷뱅킹 접속용 OTP정보를 포함한 로그인 정보가 모두 해커에게 유출되었고, 55만달러가 해커에 의해 해외로 송금되는 결과가 발생했다. 지루한 법원 공방 끝에 법원은 은행의 책임으로 판단했지만, 이는 기업과 은행이 모두 해커에게 속아 넘어간 예시가 되었다. 물론, 기업과 은행 모두 기업 이미지 실추를 피할 수 없었다.
 
이렇게 공격자들은 은행의 시스템을 직접 노리기보다, 다양한 방법으로 개인의 PC에 악성코드를 감염시키는 것을 공격의 첫 행위로 삼고 있다. 이것은 보안 사고가 개인의 잘못이라는 뜻이 아니라 명백한 현대 보안의 트렌드다.
 
◇여기에도 보안 종결론이 등장?
보안위협과 피해자가 실제 발생함에 따라, 일전에 저희 보안 바로알기 주제로도 등장했던 보안 종결론이 여기에도 등장했다. 특정 솔루션을 사용한다면, 혹은 이것을 사용하지 않는다면 은행보안 사고가 대부분 없어질 것이라는 주장이다.
 
하지만 악성코드 제작자들은 그 정도에 굴하지 않는다. 예를 들어, 다양한 보안 솔루션을 사용하는 다양한 국가에서도 인터넷뱅킹 사고는 지속적으로 발생하고 있다. 최근 중동에서 500억원 규모의 해킹 및 현금 불법인출 사건이 있었고, 미국 안티피싱 워킹그룹과 가트너에 따르면 미국 내 2010년 인터넷 뱅킹사고 금액은 기업피해만 10억 달러(약 1천 3백억)로 추정된다 한다. 일본의 경우도 2007년에 1억 9천만 엔(약 22억원)을 기록한 적도 있다.
 
이렇게 기업 자율이든, 공공기관 주도이든, 각기 다른 인증체제와 보안 정책을 사용하든 아니든, 모든 나라에서 인터넷뱅킹 보안위협은 계속 되고 있다. 다시 한번 강조하자면 악성코드를 이용해 개인 PC로 침입한 후 금융정보를 훔쳐가거나, 해킹을 시도하는 것이 현대 보안의 트렌드다. 그리고 악성코드 제작자는 침투를 위해 피싱메일, 악성 URL, 소프트웨어 취약점, 웹하드 등의 P2P 사이트, 악성코드를 포함한 문서, 배너광고, 프로그램의 보안 취약점 등 침투할 수 있는 모든 수단과 방법을 사용한다.
 
◇어떻게 막을 수 있나
그러면, 인터넷뱅킹 보안위협은 어차피 막을 수 없는 것일까? 이 캠페인을 시작한 시점에 말씀 드렸지만, 완벽한 보안은 없다. 다만 보안의 취약한 부분(hole)을 줄여나가면서 새로운 취약점이 발견되면 최대한 빨리 보완하고 대응하기 위한 노력이 계속 진행될 뿐이다. 이런 노력들은 어느 한 곳에만 해당되지 않는다.  
 
먼저 금융 및 공공기관에서는 현재 보안위협의 트렌드를 이해하고 올바른 정책을 실행해나가는 것이 필요하다. 특히, 시스템에 보안을 맞추는 것이 아니라, 보안에 시스템을 맞추는 외국의 노력을 본받을 필요가 있다. 예를 들어, 예전에는 아무리 혁신적이고 믿을 수 있었던 기술이라도 만약 보안적인 측면에서 취약한 부분이 존재한다면 이를 수정해 나갈 필요가 있다.
 
또한, 보안 솔루션을 도입한 것으로 그치지 말고, 이를 적절히 운영할 수 있는 전문 보안인력을 육성하는 것이 필수적이다. 기관 내에서 지속적으로 임직원 보안 교육을 실시하는 것은 두말 할 것도 없다.
 
개인의 경우엔, 어쩌면 듣기 힘든 말일 수도 있지만 한번 자신에게 “나는 보안을 위해 어느 정도의 불편함을 감수할 수 있을까?”라는 질문을 해보는 것이 시작이 될 수 있다. 해외의 모 은행에서는 보안 및 다른 이유로 이체 한도 금액을 매우 축소하거나, 이체 날짜가 3-5일 걸리는 경우도 있다(실시간 이체는 수수료가 매우 높다). 또한, 사전에 이체 계좌를 등록해야 하고, 새로운 이체계좌를 등록할 때마다 계약서를 작성하는 경우도 있다. 인터넷 뱅킹 로그인 시에 본인인증을 위해 2-3개의 절차를 거치기도 한다. 보안과 편리함은 서로 주고 받는 관계라는 인식을 바탕으로 나온 정책일 것이다.
 
효율성과 편의성을 추구하는 성향이 강한 우리나라에서 이렇게 한다면 얼마나 많은 사람들이 이런 불편함을 기꺼이 감수할 수 있을까? 개인 PC를 최초 시작점으로 노리는 현대의 보안 트렌드에서 사고의 책임이 개인 혹은 기관 어느 곳에 100%있다고 하기엔 어렵다. 기관의 경우엔 보안위협의 트렌드를 이해하고 준비하는 자세가 필요하고, 개인의 경우엔 조금 불편하더라도 송신자가 불분명한 수상한 메일의 첨부파일 및 링크 클릭을 자제하거나, 소프트웨어 업체가 제공하는 보안패치 설치, 백신 업데이트 최신 버전 유지, 사내에서 개인적인 인터넷 사용 자제 등 기본적인 보안 수칙만 지켜도 대부분의 보안 위협은 막을 수 있다.
 
또한, 이렇게만 하면 만사 해결이라는 식의 보안 종결론에 휘둘려서는 안된다. 만약 우리가 불의의 피해자가 되었을 때, 그 종결론을 주장하는 분들이 책임져주지 않는다. 보안 위협은 어떤 시스템, 어떤 환경에서도 반드시 존재하며 알려진 보안 위협을 막으면 또 다른 지금까지 알려지지 않은 보안 위협이 우리를 기다리고 있다. 보안은 함께 고민하고 노력해야 할 우리 모두의 몫이다.
 
데일리시큐 호애진 기자 ajho@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★