[칼럼]인터넷 뱅킹 해킹의 이면

일반입력 :2009/05/26 09:15    수정: 2009/05/27 08:52

전상훈
전상훈

1~2년 전 부터 인터넷 뱅킹에 대한 해킹이 간간히 언론의 지면을 장식하고 있다. 과연 인터넷 뱅킹은 안전한가? 라는 질문이 나올법하다. 그러나 정작 중요한 것은 논의가 되지 않는다. 단지 어느 은행의 인터넷 뱅킹이 해킹을 당했다라는 단발성 기사만 활자화 되고 논의되고 있다.

인간은 단순하지 않다. 사실도 단순하지 않다. 사건이란 우연히 일어나는 것이 아니라 발생할 환경이 조성이 되면 그제서야 발생이 되는 것이다. 현재의 인터넷 뱅킹에 대한 해킹은 인터넷 환경의 현주소를 의미하는 것과 동일하다. 보안 관점에서 다시 한번 이야기를 할 필요는 분명히 있다. 이제 몇년전 이야기 했던 이야기를 다시 한번 해본다.

이면에 숨겨진 이야기는 한참 이전부터 필자가 이야기 해온 인터넷 환경의 위치를 보여주고 있다. 위험요소는 이미 2~3년 전부터 나타나고 있었으며 그 상황이 여전히 지속되고 있음을 의미한다.

지금의 위험요소는 어떤 상황으로 나타나고 있을까? 언론에 나타나지 않는다 하여 피해가 없는 것일까? 하는 의문은 끝내야 될 시점이고 현실적이고 종합적인 대책이 나타나지 않는다면 앞으로의 웹에 대한 접근성은 더 복잡하고 어려워 질 것이고 인터넷 환경의 위험은 더욱 깊숙하게 실생활에 영향을 미칠 것이다.

2007년에 작성한 국내의 인터넷 환경의 위험요소와 대응에 관한 문서에서 다음과 같은 관점을 기술한 바 있다.

현재의 위험 상황

-웹을 통한 악성코드 유포 및 DDos 공격 , 개인 PC에 대한 완벽 제어

-안전하지 못한 웹 서비스를 통한 악성코드 유포의 일반화

-IT서비스 환경 근간을 위협하는 트래픽 공격

-백신 및 보안 서비스의 전역적인 대응 효과 미비

-인터넷 환경의 급격한 개선에 따라 향후 위험성은 전 세계 서비스로 확대 될 것임

-현재는 가장 빠르고 구조적인 인프라를 보유한 국내를 대상으로 지속적인 해킹 시도

-국내 개인 PC 인프라 장악 이후 공격에 이용 : 탐지 및 차단의 어려움

향후를 위한 대응

-방향성: 단기간의 공격에는 당할 수 밖에 없으나 그 이상은 당하지 않으며 공격도구의 분석을 통한 전역적인 대응으로 공격 도구의 상실을 기획 하여야 함

-전역적인 대응 체제 구성의 절대적 필요성

-사용자 개개인에게 보안패치와 백신의 설치 권고만으로는 해결이 불가능함

-ISP 와 분석기관 , 대응 기관의 절대적 협업 필요

-정보획득 -> 분석 -> 대응의 일원화된 프로세스 필요

-개인 PC 환경의 획기적인 보안성 강화 필요

-트래픽 이상유무 감지 혹은 과다 증가 검출 루틴 필요

-전국적인 대응 체제가 가능한 협의체 ( AV 업체의 연합) 또는 무료백신의 필요성

-안전(Secure)한 웹서비스를 위한 유효성 검사(Validation check) 서비스의 일반화

-국내 웹 애플리케이션의 80% 이상이 URL 인자 단위의 문제를 포함하고 있음

-(XSS , SQL인젝션 등) 따라서 악성코드 유포지로서 이용되지 않도록 IT서비스 차원의 특화된 대응 필요

-단기: Validation check 서비스 활성화를 통한 일정규모 이상의 서비스 검수

-장기: 시큐어 프로그래밍(Secure programming)의 일반화를 위한 의식(Awareness) 확대 - 서적 , 교육 등등

[출처] IT서비스의 현재 위험과 대응에 대하여 - 종합

문제가 되고 있다고 지적한 6가지 부분에 대해 현재까지도 명확한 대응을 하는 부분은 거의 없다. 일부 있다고 해도 전체로의 적용은 한참 더 먼 길을 가야만 하는 상황이다. 대책 부분에서도 기술한 내용들은 동시에 진행이 되었어야만 2년의 시간이 지난 지금쯤 나은 환경에 이르렀을 것이다.

그러나 지금 변한 것은 아무 것도 없다. DDos의 위험은 예전에도 있었고 지금도 마찬가지다. 달라진 것이 있다면 인터넷 서비스 기업의 생존과 사용자의 불편함이 전보다 더 증가해서 더 두드러지게 나타날 뿐이다.

DDOS

분산서비스 거부(DDos) 공격이 어떤 방식으로 이루어 지는지에 대해서 논하는 것은 이 칼럼의 논지를 벗어난다. 다만 DDos의 공격이 예전에는 특정 지역이나 국가에서 집중하여 전달이 되었다면 상위 네트워크 관리 기관에서 해당 지역의 차단과 트래픽 우회 등을 통해서 문제를 해결하는 것이 가능하였으나 지금은 국내의 수많은 개인 PC(좀비 PC라고 칭한다)에 설치된 악성코드를 이용하여 DDos 공격을 한다.

예전엔 출발지점이 일정하여 일원화된 대응 방안들이 효과적이었으나 지금은 전국에서 서로 다른 네트워크 망에서 유사한 특징을 가진 트래픽들이 한 지점으로 집중이 된다. 이 방식에서의 대응은 집중되는 지점에서 해결 할 수 밖에 없다.

이 점에서 문제가 발생된다. 이전에 발생된 DDos와 현상적인 차이점이 존재하는 것이다. 출발지를 특정 할 수 없는 불특정 다수의 지점으로부터 유입되는 유사한 특성의 트래픽은 도착지에서 해결 할 수 밖에 없다.

천 여대의 PC에서 공격이 발생 된다고 하였을 때 가장 막기 쉬운 방법은 천 여대의 PC가 일정한 규칙을 가지고 있을 때 막는 것이 쉽다. 동일한 IP 대역을 사용 하고 있거나 특정 ISP만을 사용하고 있거나 할 때 처리하는 것이 어느정도 용이하고 간편하다. 그러나 지금의 DDos 공격은 그렇지 않다. 규칙을 정할 수 없는 천 여대의 각자 다른 PC에서 동일한 사이트로 접속을 하는 것이다.

그리고 그 전달속도는 전 세계에서 가장 빠르다. 속도라도 느린 곳은 일시에 과다한 트래픽을 모으는 것이 어렵다. 전달경로가 제 각각이기에 큰 효과를 내기 위해서는 많은 PC를 동원해야 한다. 그러나 국내의 인터넷 환경은 전송 경로상의 미세한 차이는 눈에 보이지도 않을 만큼 빠른 속도를 자랑한다.

그럼 이제 이 모든 트래픽들이 전달되는 곳에서는 이 문제를 처리해야만 한다. 공격자에 대한 처리는 힘들어 지고 방어하는 곳은 더 높게 성을 쌓아야만 한다. 성을 쌓는 비용도 만만치 않다. 큰 흐름을 잡을 수 없기 때문에 이 문제는 향후에도 더 심각해질 것임은 당연한 일이다.

불황기 공격은 더 악독해 지는 것이 사실이고 빈익빈 부익부의 현상은 인터넷 환경의 서비스 업체에서는 더 실감나게 다가올 것이다. 누가 더 성을 크게 쌓고 넓게 쌓느냐에 따라 흥망성쇠가 달라 질 수 있다. 성을 제외한 환경은 초토화가 될지라도 말이다.

지금 시점의 DDos가 문제가 되는 것은 공격 출발지의 분포도가 매우 다양하다는 점과 과도한 트래픽이 문제 해결을 어렵게 만드는 부분이다. 또한 불특정 다수의 공격자들을 모집하는 방법에서 이전의 DDos 공격과 큰 차이를 보인다. 현재 문제가 되는 부분은 불특정 다수라는 측면에서 문제가 가장 크다고 볼 수 있다. 과정을 간략히 살펴보면 다음과 같다.

자동화된 공격도구를 이용한 취약한 웹사이트 해킹 -> 악성코드 유포를 위한 웹 소스코드 변조 -> 사이트 방문자에 대한 악성코드 유포-> 악성코드 자체의 업데이트 혹은 다운로드 -> 완벽한 Remote Control (이 시점이 되면 Botnet Client 이던 사용자 PC의 정보이던 무엇이든지 유출 및 이용이 가능한 상태라 할 수 있다.)

불특정 다수에게 악성코드를 유포하는 방법으로 웹서비스 해킹을 사용하고 있으며 2005년 이전의 특정 사이트에 대한 단발성 공격이 아닌 불특정 사이트 다수를 대상으로 한 Mass Attack이 주를 이루고 있다. 현재 드러나는 추세로는 점차 악성코드의 유포 자체도 은폐 시도를 하고 있어서 공격 흔적을 찾기가 쉽지 않다. 악성코드의 은닉화와 정교함도 깊이를 더해 어느 정도의 깊이가 있지 않고서는 대응이 어려운 실정이다.

정보유출

정보유출의 관점도 사용자 PC에 설치되는 악성코드의 특징과 긴밀한 관련이 있다. 현재 유포되고 있는 대다수의 악성코드는 키입력 로깅 및 화면 캡쳐 등 사실상 개인 PC의 모든 권한을 원격에서 마음대로 좌우 할 수 있는 형태이다.

이와 같은 유형의 백도어들은 국내 관측은 2005년쯤부터 관찰이 되고 있는 상태이고 이후 2006년 이후에 이르러서는 정교함이 더 깊어졌고 불특정 다수에 대한 악성코드 유포와 결합하여 피해를 높이고 있는 상황이다. 현재의 상황은 그 보다 더 진전 되었을 것으로 유추가 된다.

사용자가 입력하는 키보드 정보를 모두 가져가는 공격을 막기 위해 키보드 보안 및 다양한 보안 솔루션들이 설치가 되고 있으나 알려진 악성코드의 제거와 하드웨어 입력을 노출이 안되도록 암호화 하는 역할만을 할 수 있을 뿐이며 현재의 상황을 넘기기엔 부족함이 있음을 의미한다.

2005년 무렵에 발견된 일부 악성코드 유형은 전송 단계에서 IE Browser에서 전송 직전에 변환되는 암호화된 정보를 가로채는 BHO (Browser Helper Object) 유형의 악성코드가 존재 하였으며 현재는 그 비율은 거의 대부분이라고 할 정도이다. 보안솔루션으로는 해결하기 어려운 범주이며 온라인 서비스 자체의 구조변경 외에는 뚜렷한 답이 없다.

BHO 유형의 정보탈취를 막기 위해서는 서비스 차원에서의 암호화와 암호화된 정보가 서버 단위까지 전송되는 유형이 필요하며 이 것은 전체적인 서비스의 개편을 의미 한다. 상세내용은 이 곳의 첨부파일을 참고하기 바란다.

현재의 인터넷 뱅킹에서 일부 사건이 발생 되고 있는 것은 많은 정보가 유출 되었지만 여러 단계의 인증수단과 각 단계별 보호 대책에 온라인이 아닌 오프라인 메소드들이 존재하기에 문제가 이 정도에 그치고 있는 것이다. OTP의 활용 및 오프라인 보안카드의 활용 등은 인터넷뱅킹의 해킹을 어렵게 만들고 있다.

그러나 반대로 생각하면 몇 가지 방안 외에는 모든 것이 다 넘겨진 상태라 보아도 무방한 상황인 것이다. 만약 보안솔루션을 사용하지 않았다면 지금 보다 더 심각한 상황에 일찌감치 도달 하였을 것임은 명확하며 거의 대다수 국내 인터넷 사용자들이 활용하고 있는 인터넷 뱅킹과 전자 상거래 부분은 꽃을 피우지도 못하였을 것이다.

해외의 은행들은 아직 온라인 계좌 이체 부분에 있어서 자유도가 극히 낮다. 인터넷 뱅킹의 용도가 잔액 확인과 사전에 확인되고 알려진 계좌에 대한 제한적인 이체 외에는 사용빈도가 높지 않다. 따라서 공격자들은 다른 방식의 정보 활용을 통해 이득을 얻고 있는 상황이다. 이 중 일부 기사화된 내용은 다음의 분석을 참고 하면 된다.

직접적인 금액 인출이 아니라 사용자의 계좌를 도용하여 쓰레기 주식을 매입한 이후 시세를 조작하여 대규모 이득을 얻은 사례에 대한 내용이다. 만약 인터넷 상의 계좌 이체 등이 활발하고 자유로웠다면 이런 유형의 공격은 발생하지 않았을 것이다. 단지 번거롭고 손이 많이 간다는 이유만으로도 빈도는 대폭 낮았을 것이다.

문제의 근원을 보아야 한다.

인터넷 뱅킹에 대한 문제는 이제 금융사 단위에서 해결을 하기 위한 범주는 넘지 않았나 생각 된다. 사용자 PC에 대한 보호대책의 한계가 있고 모든 웹 서비스의 보호에도 한계가 있다. 그러나 공격자들에게 주어진 한계란 없다. 새롭게 발전 하고 새로운 취약성의 즉시적인 이용에도 능숙하다.

반면 대응은 느리고 미숙하다. 항상 사고 발생 이후에야 느린 대응을 할 수 있고 어느 정도 대응이 완료 되는 시점에는 또 다른 위험요소에 직면 할 수 밖에 없다. 사용자에 대한 보안의식 고취로도 사회 공학적인 기법의 해킹과 고 난이도로 무장된 악성코드에는 당해낼 사람이 없다.

하물며 보안전문가 조차도 처리에 어려움이 있는 상태이니 말이다. 가장 처음의 시작은 자동화된 공격도구에 의해 손쉽게 당하는 취약한 웹 서비스들을 어떤 방식으로 고도화 시킬 것이고 단계적으로 강화를 시킬 것인가 하는 것이 핵심이다.

그러나 아직 방안도 계획도 없어 보인다. 금융기관에 대한 비난도 사용자의 보안적인 무지함에 대한 논의도 범주를 벗어난 이야기이다. 현실에 기반하여 냉철하게 다음 단계를 예상하고 종합적인 대책을 고려 하여야 함은 전문가의 숙명이다.

공격자의 효율적인 공격통로를 차단하는 것이 가장 기본이며 공격의 대상이 무엇인지에 중점을 두어야 한다. 효율적인 유포 수단으로 사용되고 있는 웹서비스의 취약성을 빠르게 없애지 않는다면 현재의 혼란은 끝도 없이 계속 될 수 밖에 없다. 그것도 점차 복잡하고 큰 규모로 이루어 질 것이다. 악성코드의 문제는 단지 빙산의 일각일 뿐이다. 앞으로 더욱 생활과 밀접한 Web 2.0의 실험적인 공격들과 사회공학적인 속임수들이 창궐할 것이다. 이미 예상 되었던 것 그 이상도 이하도 아니다.

대책은 이미 여러 해 전에 종합적으로 제시를 한 바 있다. 이제는 국내만의 문제가 아닌 전 세계적인 인터넷 서비스의 문제가 된 상황에서 기회가 될 수도 있고 좌절이 될 수 있다. 온 세상에서 녹색을 이야기 한다. 그러나 필자의 눈에는 인터넷 세상은 잿빛이다. 그것도 검은색에 가까운...

사람 사는 세상을 꿈 꾼 인터넷 대통령의 서거를 깊은 슬픔으로 애도합니다.

*본 칼럼 내용은 본지 편집방향과 다를 수 있습니다.

전상훈 IT컬럼니스트

보안컬럼니스트, 빛스캔 기술이사, 시큐리티 기반한 미래 예측과 전략, 근본적인 문제해결을 위한 방안.