FDS 만능주의 버려야 결제사기 막는다

고려대 정보보호대학원 김휘강 교수

일반입력 :2015/04/08 16:35

손경호 기자

해외에서는 탐지를 주요 보안수단으로 선택했다면 우리나라는 방어를 선택해왔습니다. 해외 결제가 하루 이틀 지연되는 시간 동안 충분히 사기 여부를 검토해 왔다면, 국내에서는 상대방 계좌에 바로 돈이 결제되는 즉시성을 가진 대신 앞단에서 수많은 보호조치를 취하는 식으로 발전해 온 것입니다.

고려대 김휘강 교수는 국내에서 마치 액티브X 플러그인 기반의 기존 보안솔루션이 사라지고, FDS만 구축하면 결제사기가 없어질 것처럼 논의되는 것은 오히려 제대로 된 보호조치를 하지 못하게 한다고 지적했다. FDS만능주의에서 벗어나 보다 큰 틀에서 시스템적인 보안을 검토해야 한다는 것이다.

8일 서울 삼성동에서 개최된 코드게이트2015에서 세션발표를 맡은 김 교수는 해킹공격이 시스템에 구축한 보호조치를 우회해서 추가적인 권한을 획득하는 일련의 과정이라고 보면 넓은 의미로 탈세자는 조세시스템을, 보험사기는 보험지급시스템을 해킹한 것으로도 볼 수 있다고 설명했다.

그는 특히 특정 기술만 갖추고 있으면 모든 공격을 막을 수 있다는 생각은 위험하다고 지적했다. 김 교수에 따르면 미국 유명 보안전문가 브루스 쉬나이어의 말을 빌려 '시큐리티 씨어터(security theater)'에 빠져있는 것과 같은 상황이라는 것이다.

시큐리티 씨어터는 마치 관객이 영화관에서 영화를 보듯이 보안이 잘 갖춰져 있는 것는 것처럼 보이도록 하는 보호조치들을 말한다. 방어, 탐지, 대응 등의 일련의 보호조치가 있기는 하지만 실제로는 여전히 공격에 노출되고 있는 상황을 빚댄 설명이다.

김 교수는 우리는 액티브X 플러그인을 쓰기 때문에 보안성이 낮고, 해외는 FDS를 쓰기 때문에 안전하다는 말 자체가 마치 시큐리티 씨어터에 있는 것과 같은 상황이라고 말했다.

결제사기의 경우 굳이 특별한 보안기술을 쓰지 않고서도 시스템 상 허점을 파고 들어 이익을 얻는 사례들이 종종 나온다. 김 교수에 따르면 구글 플레이 스토어, 애플 앱스토어 등에서 적당히 인기있는 게임앱을 설치한 뒤 가짜 지메일 계정을 만들어 게임아이템을 구매하자마자 환불 신청을 해 돈을 돌려받은 뒤 구매 취소가 이뤄지기 전에 아이템을 다른 곳에 판매하는 등 사기수법이 등장하고 있는 상황이다.

김 교수는 방어자 입장에서 보안기술은 소모전을 줄여주는 역할을 하는 것이지 공격자가 사는 환경 자체를 없앨 수 있는 것은 아니다라고 전제한 뒤 가입자, 서비스, 결제단에서 어떤 곳을 방어할 것인가에 따른 전략을 잡아야 한다고 밝혔다.

관련기사

이를테면 결제사기를 초래하는 도메인 주소를 추적하거나 이전까지 거래를 제한하지 않았던 대포통장, 대포폰을 통한 결제 등을 제재하는 등의 방법이 있다는 점이다. 또한 부정결제라고 판단되면 환불을 해주지 않는다던가 하는 등 시스템 상에서 여러 문제들을 해결할 수 있도록 해야한다는 것이다.

김 교수는 (삼국지에서) 장비가 장판교에서 적을 무찌를 수 있었던 것은 진입로가 좁았기 때문이라며 온라인 해킹 상당수가 금전을 노리고 있다는 점을 고려하면 결국 결제사기를 통해 최종적으로 자금이 전달되는 대포계좌, 대포폰 등을 막을 수 있어야 한다고 말했다. 공격자들을 완벽하게 막아낼 수 없다면 이전처럼 손쉽게 들어올 수 있게 하는 대신 최대한 이들을 불편하게 만들어야 공격시도를 줄일 수 있다는 설명이다.