인터넷 뱅킹 관련 악성코드가 기승을 부리고, 이로 인한 금융사고 역시 끊이지 않고 있다. 안랩은 최근 해커들의 공격 동향을 설명하며, 시스템에 보안을 맞추기보다 보안에 시스템을 맞춰야 한다고 강조했다.
안랩(대표 김홍선)은 보안 바로알기 캠페인의 일환으로 '인터넷 뱅킹 보안 바로알기' 자료를 통해 16일 이 같이 밝혔다.
이 회사에 따르면 모바일 뱅킹을 포함한 인터넷 뱅킹 이용자는 8천만명을 넘어섰다. 이에 따라 최근 스미싱, 파밍 등을 통해 금융정보를 탈취한 뒤 자금을 빼가는 수법이 퍼져 있다.
안랩은 먼저 해커는 보다 쉬운 공격대상을 찾는다고 설명했다. 금융기관과 개인PC 중 수고를 덜 들이고 해킹할 수 있는 대상은 개인PC다. 여기에는 일반 사용자들 뿐만 아니라 기업 내 PC들도 포함된다.
현재까지 금융기관 침해로 인해 개인 사용자의 금전이 빠져나간 사례는 없다. 통계적으로 보면 우리나라 기관들 중에서 보안에 가장 많이 투자하고 관심을 쏟는 곳이 금융업계다.
공격자가 대형 은행 시스템에 직접 침투해서 돈을 빼내오기란 쉬운 일이 아니다. 때문에 대부분의 해커들은 개인 PC를 노린 공격을 시도한다.
■개인PC 이렇게 털린다
공격자들은 이 과정에서 모든 수단을 동원해 개인(기업 내 개인 포함)의 금융정보를 빼가기 위해 애쓴다. 우선 공격자들은 피싱메일, 소셜네트워크서비스(SNS)의 URL, 파일공유사이트(P2P사이트), 악성코드를 포함한 메일, 배너 광고, 프로그램의 보안 취약점 등 광범위한 수단을 동원해 사용자 PC를 악성코드에 감염시킨다.
일단 개인PC에 악성코드가 침투하고 나면 이후엔 금융정보를 가로채기 위한 모든 시도를 한다. 예를 들어 키보드로 입력되는 정보를 빼내기 위해 '키로거'라는 악성 프로그램을 설치한다. 이 과정에서는 원격 화면 캡처가 사용되기도 한다.
만약 목표 개인(기업 내 개인 포함)이 사용하는 주거래 은행이 보안카드를 사용한다면 해당 정보를 빼내기 위해 자신이 만든 가짜 사이트로 유도하는 악성코드를 심기도 한다. 파밍, 스미싱 등으로 불리는 수법이 이 과정에서 동원된다.
안랩은 이에 더해 감염된 PC로 특정 은행 사이트를 방문할 시 보안을 위해 자동으로 구동되는 키보드 보안솔루션, 공인인증서 등 보안모듈의 메모리를 해킹(수정)해 개인의 금융 정보를 유출하는 악성코드가 최근 들어 공격에 사용되고 있다고 분석했다. 사용자는 정상 은행사이트를 이용하는 과정에서 자기도 모르게 금융 정보가 털린다.
재작년 해외 모 기업의 경우 재무 담당직원이 피싱메일에 속아 인터넷 뱅킹 접속용 일회용 비밀번호(OTP)정보 등이 모두 해커에게 유출돼 사용자의 자금이 해외로 송금되는 결과가 발생했다. 이 과정은 법원 공방 끝에 은행의 책임으로 결론났다.
■이 솔루션이면 OK 보안종결론 경계 해야
안랩은 이 과정에서 등장한 '보안 종결론'을 경계해야 한다고 설명했다. 보안 솔루션 한 두가지만 있으면 사고가 터지지 않았을 것이다, 혹은 어떤 것을 사용하지 않았다면 사고도 없었을 것이다라는 등의 주장은 위험하다는 것이다.
이 회사는 다양한 보안 솔루션을 사용하는 다양한 국가에서도 인터넷뱅킹 사고는 지속적으로 발생하고 있다고 밝혔다. 최근 중동에서는 500억원 규모의 해킹 및 현금 불법인출 사건이 있었다. 미국 안티피싱 워킹그룹과 가트너에 따르면 미국 내 2010년 인터넷 뱅킹사고 금액은 기업피해만 10억 달러(약 1천3백억원)으로 추정된다. 일본의 경우도 2007년에 1억9천만 엔(약 22억원)의 피해금액을 기록하고 있다.
기업 자율이든, 공공기관 주도이든, 각기 다른 인증체제와 보안 정책을 사용하는 모든 나라에서 인터넷 뱅킹을 노린 보안위협은 지속되고 있다.
■시스템에 보안 맞추기보다, 보안에 시스템 맞춰야
안랩은 결국 이를 막기위해서는 보안상 취약한 부분을 빨리 보완하고 필요한 대응책을 마련하는 것이 최선이라고 밝혔다. 보안을 관리 차원에서 접근해야 한다는 설명이다.
이를 위해 금융 및 공공기관에서는 현재 보안위협의 트렌드를 이해하고 올바른 정책을 실행해나가는 것이 필요하다. 이 회사는 시스템에 보안을 맞추는 것이 아니라 보안에 시스템을 맞추는 외국의 노력을 본받을 필요가 있다고 주장했다. 회사 시스템의 보안 상 취약한 부분이 있을 경우 아무리 기술적으로 혁신적이라고 도입을 재검토해야 한다는 것이다.
또한 보안 솔루션을 도입한 것으로 그치지 말고, 이를 적절히 운영할 수 있는 전문 보안인력을 육성하는 것이 필수라고 안랩은 덧붙였다.
안랩은 이어 개인의 경우 나는 보안을 위해 어느 정도의 불편함을 감수할 수 있을까?라는 질문을 해볼 필요가 있다고 강조했다.
관련기사
- 안랩, 온라인게임 해킹툴 상반기만 795개2013.08.16
- 영역 없는 해킹, 자동차서 의료기기까지2013.08.16
- 中해커, 美수자원 시설 해킹하려다 덜미2013.08.16
- 해킹으로부터 'e커머스' 지키는 법2013.08.16
해외 모 은행에서는 보안 및 다른 이유로 이체 한도 금액을 매우 축소하거나, 이체 날짜가 3일~5일 걸리게 하는 방법을 사용하고 있다. 이 경우 실시간 이체는 수수료를 높이고 있다. 그 과정에서 발생하는 사고에 대해 대처할 수 있을 만한 여유를 두는 것이다. 또한 사전에 이체 계좌를 등록해야 하고, 새로운 이체계좌를 등록할 때마다 계약서를 작성하도록 하는 경우도 있다. 인터넷 뱅킹 로그인 시에 본인인증을 위해 2개~3개의 절차를 거치기도 한다.
이러한 방식은 실시간 인터넷 뱅킹이 일상화된 국내 환경에서는 도입이 어려운 시스템이다. 그렇다고 하더라도 안랩은 송신자가 불분명한 수상한 메일의 첨부파일 및 링크 클릭을 자제하고, 소프트웨어 업체가 제공하는 보안패치 설치하며, 백신 업데이트 최신 버전 유지, 사내에서 개인적인 인터넷 사용 자제 등 기본적인 보안 수칙을 지키는 등 기본적인 노력에 공을 들여야 한다고 밝혔다.