2020-04-09 10:45 (목)
[기고] 메모리 해킹방지, 이렇게 해보면 어떨까?
상태바
[기고] 메모리 해킹방지, 이렇게 해보면 어떨까?
  • 길민권
  • 승인 2013.09.24 03:28
이 기사를 공유합니다

악성코드가 들어와도 악성행위를 못하도록 하는 것
최근 금융권의 핫 이슈는 단연 ‘메모리 해킹’ 이라 불리는 신종 해킹 수법이다. 국내 여러 은행에서 피해자가 속출하고, 피해 금액도 점점 늘어나 심각한 위협이 되고 있다.(사진 권석철 대표)
 
금융권과 보안업계는 이에 따른 대책으로 ‘지정 단말기 이용’, ‘2채널 인증’, ‘보안 하드웨어’ 등을 내놓고 있다. 하지만 이는 마치 인기를 끌고 있는 애니메이션 ‘진격의 거인’에서 거인들을 막기 위해 3중으로 높은 벽을 쌓는 것과 같다. 벽을 쌓는 것이 불필요하다는 이야기는 아니다. 당장 몰려드는 거인을 막기 위해서는 벽은 필수적이다. 하지만 더 큰 거인이 나타나면 언제든지 이 벽은 깨질 수 있기 때문에 벽을 쌓는 것과 동시에 근본적인 해결책도 동시에 연구가 되어야 할 것이다.
 
이에 따라, 필자는 관점을 조금 바꿔서 메모리 해킹에 대한 새로운 해결책을 제시하고자 한다. 먼저 악성코드를 바라보는 시각을 조금 바꿀 필요가 있다. 기존의 보안 솔루션들은 ‘악성코드는 막을 수 있고, 막아야 한다’라는 생각을 가지고 솔루션들이 개발되었다.
 
하지만 필자의 생각은 ‘악성코드가 인입 되는 것은 불가피하다’라는 것이다. 그렇기 때문에 악성코드를 막는다는 개념보다는 악성코드가 들어와도 악성행위를 못하도록 하는 것이 당사의 솔루션이 가지고 있는 개념이다. 악성코드와 정상적인 프로그램이 기묘한 동거(?)를 하지만 악성코드는 본연의 목적을 달성하지 못하는 것이다.
 
그리고 또 한 가지는, 보안분야의 오랜 통념인 ‘보안성’과 ‘편리성’의 반비례 관계에 대한 시각도 조금 바꿀 필요가 있다. 그 동안의 통념은 ‘보안성’을 높이면 ‘편리성’이 떨어지고, ‘편리성’을 높이면 ‘보안성’이 떨어진다는 것이었다. 그렇기 때문에 이제까지는 2중, 3중으로 벽을 쌓아 ‘보안성’은 높였지만 그만큼 ‘편리성’은 많이 낮아졌다. 특히, 금전적 손실이 발생할 수 있는 금융분야나 온라인 거래 등에서 이런 현상들이 많이 나타났다.
 
하지만 필자는 ‘보안성’과 ‘편리성’이 비례관계가 될 수 있다는 생각을 가지고 있었기 때문에 당사의 솔루션에 이 개념이 녹아 들어가 있다. 특별히 많은 벽을 쌓지 않더라도 해커나 악성코드가 목적을 달성하지 못하게 무력화 시키는 것이다.
 
당사의 새로운 ‘금융해킹 방지 솔루션’은 이러한 생각을 바탕으로, 불독 기술과 구분 기술을 조합해 개발한 솔루션이다. 프로그램의 분석이 불가능한 불독 기술로, 인터넷 뱅킹 프로그램을 분석할 수 없게 만들고, 구분 기술로 디렉토리 및 파일을 은닉하고, 인터넷 뱅킹 프로그램을 격리시킨 것이다.
 
이에 따라, 해커나 악성코드가 인터넷 뱅킹 프로그램의 분석은 물론이고, 사용자가 인터넷 뱅킹 프로그램을 실행시켰는지 조차 인지할 수 없다. 앞서 밝혔듯이, 악성코드가 시스템 안에 분명 존재 하지만 악성행위를 할 수 없게 무력화 시키는 것이다.
 
쉽게 예를 들자면, 그 동안 우리는 여름이 되면 극성을 부리는 모기로부터 자유로워지기 위해 모기장을 치고, 모기약을 뿌리고, 모기향을 피웠다. 눈이 조금 맵고 불편하더라도 모기에 물리지 않기 위해 참았었다. 하지만 새로운 솔루션으로 인해 더 이상 모기장과 모기약, 그리고 모기향이 없더라도 모기와 사람이 공존하지만 모기가 사람을 인지할 수 없고, 물 수 없게 된 것이다.
 
새로운 생각을 바탕으로 만들어진 ‘금융해킹 방지 솔루션’이 그 동안 메모리 해킹, 피싱, 파밍 등의 금융 해킹에 지쳐있는 이들에게 새로운 패러다임을 제시하는 대안이 되기를 진심으로 바란다.
 
글. 권석철 큐브피아 대표이사