인터넷뱅킹 해킹 사고, 그 이후…

금융·보안 관련업계 대책 마련에 분주
해킹 방지 대책으로 OTP 솔루션 각광
 
[업계] 최근 국내 모 은행의 인터넷뱅킹 시스템이 해킹을 당해 5,000만원이 부정 인출된 사건이 발생했다. 이 사건은 ‘키 스토로크’ 방식이라 불리는 일종의 P2P 방식의 해킹 프로그램 ‘넷데블’을 이용해 예금주가 키보드에 입력하는 계좌와 비밀번호, 보안카드 번호 등 공인인증서 암호내용을 알아낸 뒤 몰래 유출해 현금을 인출한 것이다. 이 사건이 인터넷뱅킹 사고의 첫 스타트는 아니겠지만 실제 사용자의 피해 사례로 언론에 보도된 것은 이번이 처음이라 관련업계에 파장이 일고 있다. 특히 이번 사고는 금융권의 키보드 보안 프로그램의 보안 수준이 취약하다는 것을 여실히 보여준 사례라 금융권 보안에 대한 대책 마련이 시급하다는 지적이 일고 있다. 이에 따라 정부, 금융권, 관련 보안업체들의 움직임도 분주해지고 있다. 인터넷뱅킹 사고 그 이후 관련업계에서는 어떠한 대안을 모색하고 있는지 움직임을 살펴봤다.
                                          
                                                            취재 신선자 기자 


지난 6월 초 모 은행의 인터넷뱅킹 시스템이 해킹돼 5,000만 원이 인출되는 사건이 발생했다. 비밀번호의 단순 도용이 아닌 해킹 프로그램을 통해 현금이 인출된 것은 이번이 처음이라 관련업계에 큰 파장이 일고 있다.
이번 사건은 ‘키 스토로크’ 방식이라 불리는 일종의 P2P 방식의 해킹 프로그램 ‘넷데블’을 이용해 예금주가 키보드에 입력하는 계좌와 비밀번호, 보안카드 번호 등 공인인증서 암호내용을 알아낸 뒤 몰래 현금을 인출한 것이다.

 
‘비밀번호·인증서·보안카드’ 3중 방어막 무력화

금융기관은 인터넷뱅킹의 보안을 위해 공인인증서, 보안카드를 발급하고 있지만 이번 사건으로 이중, 삼중의 보안 장치도 무용지물인 것으로 드러났다. 또한 대부분의 금융기관에서 이용하는 공인인증서는 한곳의 은행에서 발급받으면 다른 은행의 인터넷뱅킹을 이용할 때도 사용할 수 있도록 돼 있어, 한곳만 뚫리면 쉽게 해킹이 가능한 것으로 밝혀졌다.
 
업계 전문가들은 4자리 숫자로 구성된 보안카드 번호 역시 그다지 안전하지 않다고 말한다. 인터넷 뱅킹은 예금을 이체할 때마다 보안카드에 적혀 있는 1∼30번의 네 자리 숫자 중 특정번호의 숫자를 입력하도록 하고 있다. 이번 사건의 경우도 보안카드 번호 가운데 한 개만 알아냈지만 자신이 알고 있는 번호의 입력을 요구받을 때까지 로그인과 로그아웃을 반복하면서 쉽게 돈을 인출할 수 있었던 것으로 밝혀졌다.
 
 이렇게 비밀번호가 유출돼 사용자가 피해를 봤을 때 보상받을 길도 막막하다. 금융기관은 “거래시 입력된 정보가 은행에 신고된 것과 같고, 은행의 과실이 없기 때문에 위변조에 따른 사고는 책임지지 않는다”는 전자금융거래 기본 약관을 들어 보상을 꺼리다가 문제가 불거지져 보상해 주는 것으로 방향을 선회했다.
 
관련업계 한 관계자는 “이번 사건은 그간 비일비재하게 일어나던 사고가 수면위로 부상한 것에 지나지 않는다”며 “다행히 이번 사건은 보상을 해주는 것으로 결론이 났지만 수면 위로 부상되지 않은 크고 작은 사건에 따른 피해자들은 아직도 많은 편”이라고 말했다. 따라서 금융권 내에 대책 마련 및 보다 철저한 보안이 뤄질 수 있는 확실한 보안 정책이 요구된다는게 그의 의견이다.
 
이번 인터넷뱅킹 사고로 인해 정부는 ‘인터넷뱅킹 해킹 방지 대책’ 마련과 관련 법안 상정을 위한 공청회를 개최했고, 인터넷으로 금융 서비스를 이용하는 사용자에게 키보드 입력정보가 외부에 누출되지 않도록 이용자 PC에 보안프로그램을 반드시 설치하도록 의무화했다.

관련업계, 인터넷뱅킹 해킹 방지책 마련에 분주

이처럼 금융권에서 사상 초유의 인터넷뱅킹 사고가 일어나 사용자 정보 해킹 방지에 대한 관심이 그 어느때 보다 높아지면서 금융권에서는 긴급히 시스템을 복구하거나 보완하는 정책 수립에 나서고 있고, 관련 보안 솔루션 제공 업체들의 움직임도 분주해지고 있다.
 
특히 보안업체들은 이번 사건을 계기로 제1금융권 외에 제2금융권까지 보안 인프라 및 관련 솔루션 도입이 늘어날 것이라 보고 다양한 해킹 방지 대책과 관련 솔루션을 내놓으며 시장 확산을 꾀하고 있다.
게중에서도 인터넷뱅킹 해킹을 방지하기 위한 하나로 방안으로 등장한 원타임패스워드(OTP; One-Time Password) 솔루션 시장이 활기를 띄고 있다.
 
이번 해킹 사건은 피해자가 키보드에 입력하는 정보를 원격에서 가로챈 후 그 정보를 이용해 예금을 인출한 것으로, 접속시마다 새로운 비밀번호가 부여되는 일회용 패스워드 솔루션(OTP)를 사용하면 충분히 방지할 수 있는 보안사고였기 때문이다.
OTP 솔루션이란 패스워드 이중보안을 위해 매번 시스템에 접근할 때마다 새로운 패스워드를 부여함으로써 해킹이나 사용자의 관리 소홀 등으로 패스워드가 노출되는 것을 방지하는 보안 제품이다.
 
즉, OTP는 일정 시간마다 전용 단말기 등에 새로운 패스워드를 부여해 타인의 불법 접근을 방지하는 방법이다. 때문에 주기적으로 비밀번호를 변경하고 기억하는 번거로움 없이 시스템의 보안성을 높일 수 있는 것이 장점이다.
이 시장에 가장 발빠르게 대응하고 있는 업체로는 퓨처시스템, 인터컴소프트웨어, 모다정보통신 등이 있다.

해킹방지책으로 OTP 솔루션 도입 확산

우선 퓨쳐시스템이 OTP 솔루션 영업 강화 방침을 발표했다. 이 회사는 일회용 패스워드 솔루션에 대한 금융권과 사용자의 관심이 증가할 것으로 전망하고 국내 총판권을 갖고 있는 시큐어컴퓨팅의 일회용 패스워드 솔루션 ‘세이프워드’ 제품군에 대해 공격적인 영업과 마케팅 활동을 벌인다는 계획이다.
 
이 회사 한 관계자는 “이미 시티뱅크가 전 세계적으로 시큐어컴퓨팅의 세이프워드를 1백만개 이상 사용하고 있을 정도로 세계적인 대형 금융기관에서는 OTP 솔루션 도입이 금융보안사고를 방지하기 위한 방편으로서 확고히 자리잡고 있는 실정”이라며 “이번 사고를 계기로 도입을 검토하거나 문의하는 금융권이 많아져 시장 수요가 늘어날 것”으로 전망했다.
 
외산 솔루션인 RSA사의 OTP 솔루션을 공급하는 국내 총판사 인터컴소프트웨어, 모다정보통신 등도 이 시장이 확산될 것으로 보고 관련 솔루션 영업 강화에 나서고 있다.
 
특히 모다정보통신은 이미 올해 초 신한은행에 인터넷 뱅킹 사용자를 위한 RSA OTP 솔루션을 공급했다. 이 회사 관계자는 “해외은행에서는 이미 OPT 솔루션 도입이 확고하게 자리잡고 있는 상황이나 국내는 이제 도입 시점”이라며 “국내에서는 신한은행이 올해 초 자사 인터넷뱅킹 서비스 사용자의 보안과 인증 강화를 목적으로 RSA의 OTP 인증솔루션인 시큐ID를 도입해 사용하고 있다”고 전했다. 
 
인터컴소프트웨어의 한 관계자도 “이번 사건으로 보안에 대한 국내 금융권의 수요가 점차 거세질 것”이라며 “국내은행으로는 최초로 OTP 솔루션을 도입한 신한은행이 추가 도입을 한데 이어 우리은행이 곧 도입할 계획이며, 기업은행, 그리고 알리안츠생명 등의 보험계에서도 OTP 도입을 검토하고 있어 OTP 도입이 더욱 활발해질 것”이라고 전망했다.
 
하지만 일각에서는 금융권 일부에서 적극적으로 인증 및 보안시스템 강화를 고려하고 있긴 하나 그것이 금융권 전반, 나아가 제2금융권까지 확대되는 데는 일정정도 시간이 걸릴 것으로 예상한다. 또한 OPT 솔루션 도입도 대부분 현재는 단말 가격의 부담으로 인해 은행 내부직원 및 기업고객 등 VIP 고객을 대상으로만 적용하고 있어 일반 사용자까지 확산되는데는 시간이 걸릴 것으로 보고 있다. 보안에 대한 의식수준이 여전히 미약하다는 지적이다.
 
이에 대해 관련업계 한 관계자는 “단말 가격 부담으로 인해 아직 일반사용자까지 OTP 사용이 확대되고 있는 것은 아니나 하드웨어 방식의 단말 뿐아니라 소프트웨어 방식의 OTP솔루션도 나와 있어 정책적 움직임이 뒷받침 된다면 시장은 확산될 것”이라고 내다봤다.
 
또한 그는 “금융감독원이 자금이체, 사이버 증권거래 등의 주요 거래에 공인인증서와 함께 OTP를 사용할 것을 권고하고 있어 아직 적용 대상은 기업 고객에 한정돼 있지만 권고안으로서 적용 대상을 개인고객으로 넓힌다면 전용 단말기 가격도 낮출 수 있어 OTP 사용이 의외로 빠르게 확산될 수 있을 것”이라고 전망했다.

근본적인 위험 차단 방안 고심, 분주한 움직임

이외에도 많은 보안업체들이 대책 마련에 분주한 움직임을 보이고 있다. 대표적인 업체로 네트워크보안 전문업체인 시스코 행보에도 관심이 모아지고 있다.
이 회사는 애플리케이션 행위 기반으로 악성코드에 대비한 능동적인 위험 차단을 제공하는 시스코 보안 에이전트(CSA; Cisco Security Agent)를 통해 보다 효율적이고 근본적인 위험의 차단 방안을 제시하며 금융권 및 기업을 대상으로 공격적인 영업을 가할 것이라고 밝혔다.
 
CSA에 적용된 애플리케이션 행위 기반은 악성코드나 바이러스에 감염된 애플리케이션이 보이는 네트워크 상의 변이된 동작 행태를 인식해, 감염된 것으로 보이는 경우에는 위험이 퍼지지 않도록 네트워크를 차단하는 것이다. 정상 애플리케이션은 네트워크 상에서 일정한 흐름의 패턴을 보이는데 반해, 악성코드나 바이러스에 감염된 애플리케이션들은 특이한 행동을 보이는데, 이런 원리로 네트워크 모니터링을 통해서 좀 더 능동적인 위험 감지가 가능하다는 얘기다.
 
예를 들어 이번 인터넷뱅킹 해킹사건과 같이 ‘키 스트로크 로거’ 프로그램이 게시판을 통해 PC에 사용자 몰래 설치되려 할 경우나 이메일로 전달되어 사용자가 실수로 프로그램을 실행시켰을 경우, PC에 보안 패치 업데이트가 안되어 보안 프로그램이 위험을 인식하지 못한 경우에도 CSA는 PC상의 애플리케이션 움직임을 모니터링하는 과정에서 악성코드의 침입 시도를 인지하고 자동으로 차단하게 된다. 특히 CSA는 지속적인 패치 업데이트가 필요 없어 사용자의 번거로움을 크게 줄여준다는 장점이 있다.
 
안철수연구소도 이번 사건을 계기로 금융 해킹에 대한 대비책을 강화하고 영업에 박차를 가하고 있다. 이 회사는 최근 특허를 획득한 자사 보안 제품인 MyKeyDefense에 탑재된 키 입력 도용 방지 방법 기술을 해킹 방지책으로 내놓고 시장 수요 확산을 꾀하고 있다. 안철수 연구소의 MyKeyDefense에 탑재된 특허 기술은 사용자 정보를 입력하고자 할 때 액티브-X를 거치지 않고 직접 웹 페이지에 키보드로부터 입력되는 데이터를 전송하도록 함으로써 키 로거가 키보드 입력값을 가로채는 것을 원천 차단하는 것이다.
 
이 회사 관계자는 “이번 인터넷 뱅킹 사고에서 볼 수 있듯이 개인 정보를 빼내는 해킹 프로그램은 전문가가 아니어도 쉽게 구하고 유포할 수 있어 이를 이용한 해킹이 늘어나는 추세”라며 “이번 특허 획득에 따라 키보드 정보 보안제품인 MyKeyDefense의 수요가 증가해 관련 사업에 가속도가 붙을 것”이라고 내다봤다.
 
이외에 키보드보안제품 시장도 활기를 띨 전망이다. 키보드보안 솔루션 개발업체 소프트캠프는 일반적으로 금융권과 공공기관에서는 키보드보안 제품을 사용해 왔지만 이번 사건 이후 추가 도입을 원하고거나 기능 업데이트를 원하는 경우가 많아져 이 시장 영업에 적극적으로 나서고 있다고 밝혔다.
 
이 회사의 키보드보안 솔루션 ‘시큐어 키스트록(Secure KeyStroke)’은 소프트웨어 보호 솔루션이 적용되어 키로깅 프로그램을 이용한 해킹 뿐만 아니라 전문적인 해커들에 의한 디버깅이나 크랙 등의 보안 프로그램 무력화 시도를 원천적으로 차단하는 등 보안성이 획기적으로 향상된 것이다.
 
소프트캠프 한 관계자는 “지금까지 키보드 보안솔루션은 금융권과 공공기관을 중심으로 적용이 되어 왔으나, 인터넷뱅킹 해킹 사건 이후 금융권 뿐만 아니라 사이버 머니를 취급하는 한게임 등도 관심을 갖고 있어 한게임에 제품을 공급한 바 있다”며 “향후 인터넷 사용자들의 개인정보 보호를 위해 게임, 커뮤니티, 인터넷 쇼핑 등의 모든 인터넷 서비스에의 적용이 지속적으로 확대될 것으로 예상된다”고 말했다.

정부 주도의 공인인증 제도 개선 조짐

금융감독원과 정보통신부도 인터넷뱅킹의 안정성을 높이기 위한 개선방안 찾기에 적극 나서고 있다. 금융감독원과 정보통신부는 개인 신상정보가 해킹 등을 통해 유출되더라도 은행계좌에서 예금주 모르게 자금이 빠져나가는 것을 차단하기 위해 공인인증서 제도를 보완한다는 방침이다.
 
파일형태의 공인인증서는 예금주가 사용하는 PC에 설치돼 있어야 인터넷뱅킹이 가능하기때문에 불법으로 얻은 개인정보를 이용, 자금을 빼내기 위해서는 공인인증서 재발급 절차가 필수적이다. 지난 파장을 일으킨 인터넷뱅킹 해킹 사건 역시 공인인증서, 비밀번호, 보안카드 등 3중 방어막이 아주 쉽게 뚫린 경우였다.
 
이에 따라 정부는 공인인증서 재발급 때 본인 여부를 철저히 확인하기 위해 인터넷뱅킹 계약 때 예금주에게 재발급용 비밀번호를 부여하는 방안을 검토중이다. 비밀번호는 예금주가 PC상에서 자주 이용하기때문에 자칫 온라인상에서 유출될 수도 있지만 재발급용 비밀번호는 공인인증서를 재발급 받을 때만 쓰기때문에 유출 가능성이 거의 없기 때문이다.
 
또 예금주가 소유 휴대폰 번호를 은행에 등록시켜 놓고 은행으로부터 문자서비스(SMS)를 통해 받은 인증번호를 입력해야만 공인인증서를 재발급하고, 재발급 사실도 SMS로 통보하는 방안도 논의되고 있다. 더 나아가 아예 공인인증서를 은행창구에서 본인여부 확인을 거친 뒤 재발급하도록 제한하자는 방안까지도 거론되고 있다.
이와 함께 현재 일회용 비밀번호 제도를 개선, 주요거래 때마다 비밀번호를 뽑아내는 보안카드 방식 외에도 비밀번호 생성기 방식의 도입이 검토 되고 있다.

안전한 금융 거래는 항상 점검·확인해야

이처럼 관련업계에서는 보다 안전한 거래환경을 만들기 위해 다양한 솔루션을 검토, 도입하는 분주한 움직임을 보이고 있다. 그러나 문제는 얼마나 안정적인 기반의 솔루션을 도입했느냐에 있는 것이 아니라 그것을 활용함에 있어 얼마나 주의 깊게 활용하고 사용하느냐가 더 중요할 것이다.
 
지난번 외환은행 사건도 그렇다. 확인된 결과 외환은행의 경우도 이미 키보드보안 솔루션을 도입해 사용하고 있었으나 해킹 당시 해당 키보드보안 솔루션은 작동이 되지 않고 있는 터라고 한다. 어떤 솔루션을 도입하던지 그것을 활용, 지원, 관리가 제대로 이뤄지지 않으면 무용지물이 될 수밖에 없다.
 
이는 사용자들도 마찬가지다. 인터넷뱅킹 사용시 사용자들 역시 각별한 주의가 요망된다. 얼마전 안철수연구소가 안전한 인터넷 금융거래를 위한 이용자 보안수칙 10계명을 발표한 것은 이러한 연유에서 안전한 인터넷뱅킹, 금융 거래 환경은 보안관리자, 개인사용자 모두가 반드시 지켜야할 보안 수칙들을 제대로 지키고 스스로 지켜나가야 진정한 의미의 안전한 사이버 거래 시장이 열릴 것이라 보인다.
 
<저작권자: 보안뉴스(www.boannews.com). 무단전재-재배포금지.>