인터넷뱅킹 보안위협 '개인PC가 시작점'

[김국배기자] 모바일뱅킹을 포함한 인터넷뱅킹 이용자 수가 8천만 명을 돌파한 가운데 인터넷뱅킹에 대한 보안 위협도 증가하고 있다.

16일 안랩(대표 김홍선)은 다섯 번째 보안 바로알기(Know the security) 캠페인 '인터넷뱅킹 보안위협 바로알기'를 통해 최근 급증하는 인터넷뱅킹 보안위협에 대해 밝혔다.

안랩은 현대의 보안 트렌드가 금융기관이 아닌 개인 PC를 공격의 최초 시작점으로 사용한다는 점을 이해하고 특정 솔루션을 사용하면 '만사형통'이라는 결론은 경계하는 것이 보안 위협을 줄이는 길이라고 강조했다.

◆개인 PC 사용자가 아닌 금융기관이 당해 내 돈이 빠져 나간다?

해커들은 공격 대상으로 조금 더 수월한 개인 PC를 노린다. 대형 은행시스템에 직접 침투해서 돈을 빼내오기란 쉽지 않기 때문이다. 여기에는 기업에서 직원이 사용하고 있는 PC도 포함된다.

안랩에 따르면 현재까지 알려진 바로는 금융기관 침해로 개인 사용자의 금전이 빠져나간 사례는 없다. 통계적으로 봐도 국내 기관 중 보안에 가장 많은 투자와 관심을 보이는 곳이 금융업계다.

공격자는 모든 수단을 동원해 개인(기업 내 개인 포함)의 금융정보 탈취를 시도한다. 피싱메일, SNS의 URL, P2P사이트, 악성코드를 포함한 메일, 배너광고, 프로그램의 보안 취약점 등 광범위한 수단을 통해 악성코드를 감염시킨다.

일단 악성코드가 침투한 후엔 금융정보를 채가기 위한 모든 시도를 한다. 키보드로 입력되는 정보를 탈취하는 '키로거'를 설치하거나 화면캡처를 하기도 한다. 만약 공격 목표인 개인이 사용하는 주거래 은행이 보안카드를 사용한다면 보안카드 정보를 빼내기 위해 자신이 만든 가짜 사이트로 유도하는 악성코드를 심는다.

최근에는 개인 사용자의 PC에 침투해서 감염된 PC로 특정 은행사이트를 방문할 시 보안을 위해 자동으로 구동되는 키보드 보안솔루션, 공인인증서 등 보안 모듈의 메모리를 해킹(수정)해 개인의 금융 정보를 유출하는 악성코드까지 발견됐다.

지난 2010년에는 해외 모 기업의 재무 담당직원이 피싱메일에 속아 인터넷뱅킹 접속용 일회용 비밀번호(OTP) 정보를 포함한 로그인 정보가 모두 해커에게 유출되면서 55만 달러가 해외로 송금되는 결과가 발생하기도 했다.

지루한 법원 공방 끝에 법원은 은행의 책임으로 판단했지만 이는 기업과 은행이 모두 해커에게 속아 넘어간 사례로 남았다.

◆보안 종결론 경계해야

안랩은 특정 솔루션을 사용하거나 혹은 사용하지 않았다면 대부분의 은행 보안사고를 막을 수 있다는 '보안 종결론'을 경계해야 한다고 강조했다. 다양한 보안 솔루션을 사용하는 여러 국가에서도 인터넷뱅킹 사고는 지속적으로 발생하고 있기 때문이다.

최근 중동에서는 500억 원 규모의 해킹 및 현금 불법인출 사건이 있었고 미국 안티피싱 워킹그룹과 가트너에 따르면 미국 내 2010년 인터넷 뱅킹사고 금액은 기업 피해만 10억 달러(약 1천 3백억)로 추정된다. 일본의 경우도 2007년에 1억 9천만 엔(약 22억원)을 기록한 바 있다.

안랩 측은 "이렇듯 기업 자율이든 공공기관 주도이든 각기 다른 인증체제와 보안 정책을 사용하든 아니든 모든 나라에서 인터넷뱅킹 보안 위협은 계속 되고 있다"고 설명했다.

◆어떻게 막을 수 있나?

안랩은 보안의 취약한 부분(hole)을 줄여나가면서 새로운 취약점이 발견되면 최대한 빨리 보완하고 대응하기 위한 노력하는 것이 최선이라고 밝혔다. 완벽한 보안이란 없다는 것이다.

먼저 금융 및 공공기관에서는 현재 보안 위협의 트렌드를 이해하고 올바른 정책을 실행해 나가는 것이 필요하다. 특히 시스템에 보안을 맞추는 것이 아니라 보안에 시스템을 맞추는 외국의 노력을 본 받을 필요가 있다는 게 안랩 측 설명이다.

예전에는 아무리 혁신적이고 믿을 수 있었던 기술이라도 만약 보안적인 측면에서 취약한 부분이 존재한다면 이를 수정해 나갈 필요가 있다는 것이다.

또한 보안 솔루션을 도입한 것으로 그치는 것이 아니라 이를 적절히 운영할 수 있는 전문 보안인력을 육성하는 것이 필수다. 이를 위해 기관 내에서는 지속적으로 임직원 보안 교육을 실시해야 한다.

안랩은 또한 "'나는 보안을 위해 어느 정도의 불편함을 감수할 수 있을까?'라는 질문을 해볼 필요가 있다"고도 했다.

해외의 모 은행에서는 보안 및 다른 이유로 이체 한도 금액을 축소하거나 이체 날짜가 3-5일 걸리는 경우도 있다. 실시간 이체는 수수료가 매우 높다. 또한 사전에 이체 계좌를 등록해야 하고 새로운 이체계좌를 등록할 때마다 계약서를 작성하기도 한다. 인터넷 뱅킹 로그인 시에 본인인증을 위해 2-3개의 절차를 거치기까지 한다.

안랩 측은 "보안과 편리함은 서로 주고 받는 관계라는 인식을 바탕으로 나온 정책일 것"이라며 "개인의 경우엔 조금 불편하더라도 송신자가 불분명한 수상한 메일의 첨부파일 및 링크 클릭을 자제하거나 소프트웨어 업체가 제공하는 보안패치 설치, 백신 업데이트 최신 버전 유지 등 기본적인 보안 수칙을 지키는 것이 중요하다"고 말했다.

김국배기자 vermeer@inews24.com