인터넷 소액결제에 사용되는 안전결제(ISP)도 해커의 공격에 안전치 않아 PC사용자들이 각별한 주의를 기울여야 할 것으로 보인다.
4일 KB국민카드, BC카드의 ISP 결제 해킹 사건을 접한 국내 보안전문가들은 금융사 보다 사용자의 PC가 해킹 당했을 가능성이 크다는 경찰측 의견에 동의하며, 사용자들이 보다 주의깊게 PC를 관리해야 한다고 입을 모았다.
ISP는 30만원 미만 인터넷 소액결제에 사용되는 결제시스템으로 공인인증서와는 별도로 ISP인증서를 필요로 한다. 보안전문가들은 이 ISP인증서와 비밀번호만 알고 있으면 해커들이 손쉽게 다른 사람의 소액결제를 악용할 수 있다고 밝혔다.
이글루시큐리티 김동우 수석부장은 일반 웹브라우저를 사용하는 결제창과 달리 ISP 방식은 별개의 창을 띄우기 때문에 중간에서 결제정보를 탈취하기 어렵다며 따라서 비밀번호 자체를 키로깅 등의 수법을 이용해 탈취했을 개연성이 높다고 밝혔다. 키로깅은 키보드로 입력한 내용을 가로채는 해킹수법으로 사용자가 입력한 비밀번호 등을 알아낼 수 있다.
ISP 방식은 일반 인터넷 뱅킹과 마찬가지로 키로깅을 방지하는 키보드 보안 솔루션이 기본 탑재됐다. 그럼에도 불구하고 사용자가 입력한 비밀번호가 유출됐다는 것은 키보드 보안 기능을 우회하는 악성코드가 심어져 있을 가능성이 높은 것으로 보인다. 김 수석부장은 오랫동안 공격대상 사용자들의 행동패턴을 분석해 범행을 저질렀을 것으로 보이며 수법 자체도 지능형 공격에 해당한다고 밝혔다.
잉카인터넷 ISARC대응팀 문종현 팀장은 제 3자 입장에서 공격자가 공격하기 쉬운 대상을 선택했을 것이고, 피해 인원수가 전체 회원수에 비해 적다는 점에서 사용자의 PC를 원격제어툴에 감염시켜 인터넷 게임이나 소액결제 등을 얼마나 사용하는지 등을 충분히 모니터링 한 뒤에 공격이 이뤄졌을 것으로 예상된다고 밝혔다.
이 사건은 소액결제를 통해 게임머니를 확보한 뒤 이를 되팔아 현금화하는 방식을 사용했다. 이는 국내 인터넷 사용자들에 대한 해킹사고 중 가장 많이 발견되는 수법 중 하나다.
문 팀장은 사용자들이 게임머니를 결제하는 과정에서 결제 승인문자를 받아 정황을 알게된 뒤 수사를 의뢰한 것으로 보인다고 밝혔다. 최근에는 사일런트SMS라는 안드로이드 문자메시지를 이용해 사용자가 아예 알아차리지 못한 채로 모바일 결제를 통해 금전을 탈취하는 수법도 등장하고 있는 상황이다.
■전문가들 PC 이용환경, 스스로 개선해야
이 같은 사건에 대해 보안전문가들은 해킹은 100% 막기 힘든 만큼 사용자 스스로 PC 이용환경을 개선할 필요가 있다고 강조했다.
소프트포럼 윤현영 연구소장은 가장 일반적인 주의사항을 지키는 것이 우선돼야한다고 밝혔다. 의심 가는 이메일 첨부파일을 열어보지 않고, 토렌트와 같은 파일 공유사이트에서 크랙된 게임이나 소프트웨어를 다운로드 받지 않는 등의 노력마저 PC사용자들이 잘 지키지 않고 있다는 점이 문제라는 지적이다.
또한 이글루시큐리티의 김동우 수석부장은 보통 PC사용자들이 똑같은 비밀번호를 쓰는 경우가 많고, 최근에는 사용자들이 자주 사용하는 비밀번호만 모아 놓은 해킹툴까지 사용되고 있어 ISP와 같은 방식에는 기존에 사용하지 않았던 비밀번호를 사용할 것을 당부했다.
관련기사
- 충격! KB-BC카드 '안전결제' 뚫렸다2012.12.04
- 제1금융권 노린 해킹 수법 '갈수록 지능화'2012.12.04
- '전자금융사기 예방서비스'가 악성파일2012.12.04
- 애플, ‘앱 내 결제’ 공짜이용 방지법 공개2012.12.04
그는 이어 주로 게임머니 결제 등을 노리는 경우가 많기 때문에 아예 ISP 이용시 게임머니에 대해서는 결제를 막아놓는 것도 한가지 방법이 될 수 있다고 덧붙였다. 게임머니가 일존의 돈세탁 창구로 활용되고 있어 사용자체를 차단하는 것이 대안이 될 수 있다는 설명이다.
라온시큐어 화이트햇 센터 신동휘 연구원은 아이디, 패스워드가 1단계 인증이라면 ISP와 같은 인증서 방식은 2단계 인증을 거치는 것이라며 PC보다 상대적으로 위험성이 낮은 휴대폰에 인증서를 저장하거나 휴대폰 자체를 통해 인증 받는 등 여러 단계의 인증절차를 거치는 것이 효과적이다고 말했다.