한국정보보호산업협회 20년사를 통해 본 한국 정보보호 20년 역사
2005년, 인터넷 뱅킹 해킹 사태로 커진 파장...보안 프로그램 설치 의무화
KISIA, 정보보호산업 허브 역할 담당...윈스테크넷(현 윈스) 김대연 대표, 제7대 회장 취임
한국 정보보호 업계를 대표하는 한국정보보호산업협회(KISIA, 회장 이민수)가 꽃다운 나이 만 스무 살을 지나고 있다. 아직 완전하진 않지만 무한한 가능성과 희망으로 가득 찬 20살이라고 할 수 있다. 이를 기념하고자 지난 20년 동안의 정보보호산업과 함께 한 협회의 역사와 활동, 그리고 산업의 흐름을 모아 ‘한국정보보호산업협회 20년사’가 발간됐다. KISIA 20년사는 ‘이슈로 살펴본 정보보호 20년’이라는 주제로 KISIA의 역사와 함께 한 정보보호의 역사 20년을 되짚어보고 국내 정보보호산업의 발전방향을 전망하는 ‘읽을거리’가 풍성한 역사서로 제작됐다. 이번 KISIA 20년사의 기획·제작에 참여했던 <보안뉴스>는 KISIA의 동의를 얻어 20년사에 담긴 정보보호 역사의 생생한 현장을 주 1회 연도별로 소개하는 특별기획을 마련했다. [편집자주]
[이미지=iclickart]
[보안뉴스 문가용 기자] 2005년 가장 큰 충격적인 사건은 단연 인터넷 뱅킹 해킹 사건이다. 2005년 5월 한 피해자의 외환은행 계좌에서 5천만 원이 사라지는 사건이 발생했고, 이는 “최초의 인터넷 뱅킹 시스템 해킹 사건”이라는 제목을 달고 보도되기 시작했다. 금융권은 그때나 지금이나 보안이 가장 삼엄한 곳이라는 인식이 있었고, 그러한 인식에 힘입어 인터넷 뱅킹이라는 편리한 서비스가 대중화되기 시작하는 시점이었다. 뉴스 앵커가 “요즘 인터넷 뱅킹 많이 사용하실 텐데요”라는 말로 보도를 시작할 만큼 인터넷 뱅킹이라는 것에 많은 사람들의 관심이 쏠려 있던 때였던 것이다. 실제 당시 한국은행은 인터넷 뱅킹 이용자 수를 중복 가입자 포함 2천 2백만 명으로 보고 있었다.
인터넷 뱅킹 해킹 사건이 일으킨 파장
2005년 발생한 인터넷 뱅킹 해킹 사건의 파장이 컸던 것은 이처럼 인터넷 뱅킹이라는 신문물이 일반 대중 속으로 어느 정도 퍼져나갔던 시기였기 때문만은 아니었다. 전통의 보안 강자인 은행이 이중, 삼중으로 걸어 잠근 문이 뚫렸다는 것 자체도 그렇지만, 범인이 겨우 이십 대의 일당이었고(자료에 따라 고등학생이라고 묘사되기도 한다) 해킹 방법도 꽤나 간단했다는 것이 드러나면서 온 나라가 큰 충격을 받았다. 이들의 공격은 재테크와 관련된 인터넷 카페에 글을 올리는 것으로부터 시작됐다. 물론 멀쩡한 글이 아니었다. 누군가 이들의 글을 클릭하는 순간 넷데블(NetDevil)이라는 멀웨어가 자동으로 설치되도록 꾸며져 있었다. 넷데블은 당시로서는 생소한 ‘키로거’의 일종이었다. 그래서 일부 매체는 이를 ‘키보드 해킹’이라고 부르며 보도하기도 했다.
키로거는 피해자의 시스템에 설치돼 피해자가 키보드로 입력하는 모든 것을 기록하는 스파이웨어 혹은 트로이목마다. 피해자가 키보드로 사용자 ID와 비밀번호를 입력하는 걸 간파할 수 있게 해준다. 즉, 인터넷 뱅킹을 할 때 입력하는 사용자 로그인 비밀번호와 공인인증서 비밀번호, 보안카드 번호까지 모두 알아낼 수 있다는 것이다. 삼중의 안전장치가 무용지물이 된다는 뜻이 된다. 물론 은행이 발급해주는 보안카드의 경우 여러 개의 번호로 구성되어 있고, 거래마다 다른 번호를 입력하도록 되어 있기 때문에 키로거를 사용하더라도 이 마지막 단계를 뚫어내는 게 쉽지 않아 보인다. 그러나 해커에게 필요한 건 보안카드에 적힌 모든 수가 아니라 딱 한 개의 수였다. 보안카드의 번호 하나만 알게 되면, 미리 알아둔 사용자 비밀번호와 공인인증서 비밀번호를 통해 로그인과 로그아웃을 수없이 반복하면서 그 번호가 맞을 때까지 거래를 시도하면 되기 때문이었다.
심지어 넷데블이라는 문제의 멀웨어를 구하는 것도 굉장히 간단했다. 지금도 구글에 NetDevil Trojan이나 NetDevil Backdoor를 검색하면, 이를 구한다는 요청 글을 발견할 수 있을 정도다. 당연히 이러한 요청 글에는 프로그램을 구할 수 있는 곳은 물론 사용법까지 친절하게 설명된 안내 댓글들이 달려 있고 말이다.
보안 업체인 트렌드 마이크로(Trend Micro)는 넷데블 백도어(1.2 버전)를 자사가 운영하는 ‘사이버 위협 백과사전’ 사이트에 외환은행 해킹 사태가 일어나기 3년 전인 2002년부터 등재시켜 놓고 있을 정도다. 그 항목에는 넷데블에 대한 기능 설명이 다음과 같이 나와 있다. ‘키스트로크 로깅 가능, 비밀번호 탈취 가능, 레지스트리 편집 가능, 파괴적인 배치 스크립트 실행 가능’ 넷데블은 그 후에도 버전을 바꿔가며 꾸준히 등장해 사이버 공격에 사용됐다.
또 하나의 리스크, 해킹 사건을 대하는 은행의 태도
또 다른 충격 요인은 사건 이후 은행의 태도였다. 외환은행은 “(해커가 비밀번호 등을 훔친 후 실시한)거래 시 입력된 정보가 은행에 신고된 것과 같고, 은행의 과실이 없기 때문에 위변조에 따른 사고는 책임지지 않는다”는 전자금융거래기본 약관을 들어 보상을 하지 않겠다고 한 것이다. 물론 이 때문에 여론이 끓어올랐고 문제가 더 커지자 보상을 해주는 것으로 최초의 결정을 번복했다. 그러나 이는 여론이 도왔을 때의 예외적인 경우로, 비슷한 해킹 사건이 조용히 발생하고 묻혔을 때 피해자는 아무런 보상을 받을 수 없다는 선례만을 남겼다.
실제로 그 후 발생한 2007년 외환은행 800만원 해킹 사건, 국민은행 1,700만원 해킹 사건, 2008년 국민은행 3,700만원 해킹 사건 때 피해자는 은행으로부터 아무런 배상을 받지 못했다. 오로지 최초의 인터넷 뱅킹 사건이라는 타이틀 때문에 세간의 주목을 받은 2005년 외환은행 해킹 사건의 피해자만이 배상을 받은 것이다.
인터넷 뱅킹 보안 강화 수단으로 OTP 시장 활기
정부는 인터넷 뱅킹 해킹 방지 대책 마련에 나섰고, 관련 법안 상정을 위한 공청회를 개최했다. 그러면서 인터넷 금융 서비스 사용자들의 PC에 보안 프로그램을 설치하는 것을 의무화했다. 금융권과 정보보호업계도 분주해졌다.
새로운 보호 방안이 우후죽순 나오기 시작했는데, 그 중 가장 주목을 받은 것은 원타임 패스워드, 즉 OTP였다. 외환은행 해킹 사고는 범인이 키로거를 사용해 비밀번호를 알아낸 뒤, 이를 활용해 예금을 인출한 것으로, 만약 피해자가 입력하는 비밀번호가 보안카드에 인쇄된 ‘고정된’ 번호가 아니라 OTP로 거래 때마다 새롭게 발부되는 번호라면 키보드 해킹 예방이 가능하다는 개념이 많은 지지를 받았다. 또한 OTP 솔루션은 일정 시간마다 전용 단말기 등에 새로운 비밀번호를 부여하기 때문에 사용자가 주기적으로 비밀번호를 변경하고 기억하는 번거로움이 사라질 수도 있었다. 씨티뱅크(Citibank) 등 세계적인 금융기관에서도 이미 OTP를 사용하고 있다는 것도 OTP에 힘을 실었다. 이에 따라 OTP 시장이 활기를 띄게 됐다.
하지만 이러한 대응방안에 불만 섞인 반응이 나오기도 했다. 당시 사용자가 비밀번호와 PC를 재차 확인하고 백신 등의 보안 솔루션으로 점검을 한 후 거래를 진행해야 한다는 권고가 여기저기서 나오기도 했고, 은행 측에서 “우리 과실이 아니므로 배상해주지 못하겠다”는 입장을 취했으며, OTP 역시 사용자가 인터넷 뱅킹 사용 습관을 바꿔야 하는 해결책이었기 때문에, “왜 사용자에게 잘못을 전가하는가?”하는 목소리가 나오기 시작한 것이다. 이에 여러 정보보호 업체들이 발 빠르게 움직이며 조금 다른 대응책을 내놓기 시작했다.
금융권 고객 잡기 나선 국내외 정보보호 업체들
네트워크 보안 업체인 시스코(Cisco)의 경우 시스코 보안 에이전트(CSA : Cisco Security Agent)라는 걸 선보였다. 넷데블 등의 멀웨어가 네트워크 내에서 보이는 비정상적인 행동 패턴을 탐지해 미리 잡아주는 솔루션으로, 은행이나 금융기관이 아니라 사용자가 설치해야 하는 것이긴 하지만 업데이트를 할 필요가 없어 번거로움이 크게 사라진다는 특징을 가지고 있다는 것을 셀링 포인트로 잡았다.
안철수연구소(현 안랩)는 마이키디펜스(MyKeyDefense)라는 걸 발표했다. 사용자와 인터넷 뱅킹 시스템 사이에 키로거가 끼어들 여지를 주지 않는 것으로, 키보드 해킹이 원천 차단된다는 걸 특징으로 삼았다. 재미있게도 외환은행 해킹 사건 이후 금융권에서 주로 사용하던 키보드 보안 솔루션을 ‘사이버 머니’를 사용하는 게임 업체 등에서도 사용하기 시작했다.
[이미지=iclickart]
보안 프로그램 설치 의무화와 공인인증서 제도
정부도 가만히 있지는 않았다. 가장 먼저는 보안 프로그램 설치를 의무화했다. 현 시점을 기준으로 생각하면 매우 놀랍게도, 이 당시에 보안 프로그램 설치는 선택사항이었다. 은행도 이 부분을 고객들에게 강조하지 않았다. 하지만 외환은행 해킹 사건 이후 인터넷 뱅킹 사용자는 자기 컴퓨터에 보안 프로그램을 설치해야만 인터넷 뱅킹 서비스를 이용할 수 있도록 한 것이다. 그러면서 인터넷 쇼핑 등과 같은 전자상거래 전반에 대한 안전성 실태 조사도 시작됐다. 금융감독원은 시중 금융기관에 보안전문 인력과 예산을 보강하라는 지시를 내렸다.
그 다음 건드린 것은 공인인증서 제도였다. 금융감독원과 정보통신부는 개인 신상정보가 해킹 등을 통해 유출되더라도 은행 계좌에서 예금주 모르게 돈이 빠져나가는 것을 차단하기 위해 공인인증서 제도를 보완한다는 방침을 내세웠다. 파일 형태의 공인인증서는 예금주가 사용하는 PC에 설치되어 있어야 인터넷 뱅킹이 가능한데, 그렇기 때문에 불법으로 얻은 개인정보를 이용해 돈을 빼내려고 할 경우, 해커가 ‘파일 형태 공인인증서’를 재발급 받는 것이 필수적이다. 이 부분을 확인한 정부는 공인인증서 재발급 시 본인 확인을 더 철저히 하면 될 것이라고 생각했다. 그래서 재발급용 비밀번호를 부여하는 방안을 검토하기 시작했다. 이 번호는 사용자가 정하는 게 아니라 재발급 시 은행이나 기관에서 발행되는 것이기 때문에 유출 가능성이 굉장히 낮다는 장점을 가지고 있었다.
그 외에도 예금주가 소유 휴대폰 번호를 은행에 등록시켜 놓고, 은행으로부터 문자서비스를 통해 받은 인증번호를 입력해야만 공인인증서가 재발급되는 제도도 논의됐다. 심지어 재발급 시에는 본인이 은행 창구로 가서 물리적인 확인을 받아야 한다는 주장도 나왔다. 그러면서 인터넷 통신 기술의 최대 장점인 ‘편리함’을 어느 정도 양보해야만 안전할 수 있다는 인식이 뿌리내리기 시작했다.
그래서 은행이 발급해주는 보안카드의 비밀번호 입력 방식이 조금 불편하게 바뀌었어도 큰 불만이 나오지 않을 수 있었다. 해킹 사고 전까지만 해도 인터넷 뱅킹 사용자는, 요구된 번호의 비밀번호 네 자리 수를 그냥 입력하면 되었다. 하지만 사건 이후 사용자는 첫 번째로 요구된 비밀번호의 앞자리 수 2개와, 두 번째로 요구된 비밀번호의 뒷자리 수 2개를 입력하게 되었다. 물론 OTP로 전환하는 사용자들도 늘어나기 시작했다.
‘전자거래 안전성 강화 종합 대책’의 허와 실
그렇게 시끄러웠던 여름이 지나고 2005년 10월 정보통신부와 금융감독원은 ‘전자거래 안전성 강화 종합 대책’을 발표했다. 금융감독원은 먼저 인터넷 뱅킹 사용자 본인 확인 절차를 강화한다는 목적의 의무 규정을 금융기관들이 10월말까지 이행해야 한다고 말했다. 주민등록증 홀로그램, 사진, 성명, 수정 흔적 확인, ARS, 인터넷 진위여부 확인 등을 강화한다는 내용을 담고 있었다.
또한, 금융회사에서도 사진 또는 지문에 의한 위조 확인 서비스를 이용할 수 있도록 해 인터넷 뱅킹에 적용하기로 했다. 중요한 거래가 발생할 경우 이를 이용자에게 통지하는 것도 이 때 강화됐다. 공인인증서 재발급 절차도 까다로워졌다. 보안카드 및 보안카드 시리얼 번호, 일회용 비밀번호를 입력해야만 인증서가 발급되도록 한 것이다. 공인인증서 저장 장치를 기존의 PC 하드드라이브가 아니라 ‘이동형 저장 장치’로 권고하기도 했다. 인터넷 뱅킹 서비스 중 빠른 조회는 정보 유출 가능성이 높다는 이유로 11월까지 폐지하도록 했다.
정부 발표로 희비 엇갈린 정보보호 업계
이 발표로 한국 정보보호업계는 희비가 엇갈렸다. USB 제조사나 OTP 시장은 웃었고, 키로거 개발업체와 민간 공인인증 사업자들은 울었다. 은행권에서 OTP 사용자가 늘어나고, 금융감독원마저 USB의 사용을 권장하면서 이 두 시장은 특수를 누리게 됐다.
키로거 소프트웨어는 지금의 인식과 달리 당시에는 합법적인 소프트웨어였다. 자녀 교육 목적 혹은 연구 기관의 기밀 보호를 위한, 일종의 보안성마저 가지고 있던 소프트웨어였던 것이다. 당시의 백신 엔진들은 키로거를 탐지할 수 있었음에도, 키로거 산업에서의 항의와 법적 소송을 꺼려해 키로거 탐지를 하지 않도록 제품을 개발하고 있었다. 그러나 외환은행 사건 이후, 그해 12월부터 백신 소프트웨어가 반드시 키로거를 탐지하도록 되었다. 이 부분에서는 많은 논란이 일었으나, 키로거가 점점 멀웨어와 동급이 되는 분위기를 막지는 못했다. 또한, 민간 공인인증 기관의 인증서 재발급 통로가 막히게 되어 이 시장에 진출해 있던 회사로서는 반발이 극심할 수밖에 없었다.
인터넷·정부기관·금융 분야 3년에 걸쳐 발생한 대형사고가 남긴 것
금융권용 보안 제품 납품 절차에도 변화가 예고됐다. 당시 국내 민간 정보보호업체들은 당시 한국정보보호진흥원의 보안제품 평가와 국가정보원의 승인을 통해 개발한 정보보호 제품을 평가받고 있었는데, 금융감독원이 전자거래 해킹 대응을 위한 전담조직을 구축하면서 판이 조금 바뀌게 된 것이다. 이 새로운 조직에서 은행, 증권, 보험, 전자상거래 등 전자거래 전반에 대한 위험 요인을 분석하고 대응체계를 운영하며 보안제품 평가를 추진하기로 함에 따라 정보보호업체들은 금융감독원의 평가를 한 번 더 받게 되었다. 이 때문에 민간 보안업체들의 반발이 적잖게 나오기도 했다. 인터넷, 정부기관, 금융 시스템이 3년에 걸쳐 연속적으로 위험에 노출되면서 ‘정보보호’라는 개념이 슬그머니 자리 잡기 시작했다.
▲2005년 KISIA 정기총회 모습[사진=KISIA]
KISIA, 정보보호산업 정보의 허브로서의 기능 담당하다
국내 정보보호 시장은 2000년부터 외형적으로는 성장을 거듭해 왔지만, 2004년 이후 IT 시장 침체와 기업들의 보안투자 기피 추세와 맞물리면서 협회 회원사들도 어려움을 겪었다. 이러한 가운데 2005년 2월 제9차 정기총회를 거쳐 제7대 회장으로 취임한 윈스테크넷(현 윈스) 김대연 대표는 “2004년 연말 발표된 벤처활성화 정책에맞춰 정보보호 산업도 질적으로 성장할 수 있는 기반을 갖추는데 협회의 역량을 모을 것”이라고 강조했다.
또한, 정보보호산업 정보의 허브(HUB)로서의 기능과 함께 각종 업계 현안에 대한 의견을 수렴해 정부에 제시하는 제도 개선 활동에도 적극 나섰다. 이와 함께 협회는 2005년 당시 117개사에 달하는 회원사들의 친목도모를 위한 회원사 등반대회와 정보보호의 밤 행사도 개최했으며, PKI, 웹어플리케이션 기술전망 세미나 등 부문별 세미나와 해외 보안·IT 전시회 공동관 운영 등 해외진출 지원사업도 활발히 펼쳤다.
한편, 협회는 2005년 정기총회를 통해 배영훈 니트젠 대표, 정현철 소프트포럼 대표, 김종선 시큐아이닷컴 대표, 최성원 시큐어소프트 대표, 박동혁 어울림정보기술 대표, 임병동 인젠 대표, 조석일 코코넛 대표, 정영재 테스텍 사장, 김광태 퓨쳐시스템 대표, 권석철 하우리 대표 등 10개 부회장을 비롯해 이사사도 9개사로 확대하는 등 임원사 규모를 늘렸다.
*해당 기사의 저작권은 한국정보보호산업협회(KISIA)에 있습니다.
[문가용 기자(globoan@boannews.com)]
2005년, 인터넷 뱅킹 해킹 사태로 커진 파장...보안 프로그램 설치 의무화
KISIA, 정보보호산업 허브 역할 담당...윈스테크넷(현 윈스) 김대연 대표, 제7대 회장 취임
한국 정보보호 업계를 대표하는 한국정보보호산업협회(KISIA, 회장 이민수)가 꽃다운 나이 만 스무 살을 지나고 있다. 아직 완전하진 않지만 무한한 가능성과 희망으로 가득 찬 20살이라고 할 수 있다. 이를 기념하고자 지난 20년 동안의 정보보호산업과 함께 한 협회의 역사와 활동, 그리고 산업의 흐름을 모아 ‘한국정보보호산업협회 20년사’가 발간됐다. KISIA 20년사는 ‘이슈로 살펴본 정보보호 20년’이라는 주제로 KISIA의 역사와 함께 한 정보보호의 역사 20년을 되짚어보고 국내 정보보호산업의 발전방향을 전망하는 ‘읽을거리’가 풍성한 역사서로 제작됐다. 이번 KISIA 20년사의 기획·제작에 참여했던 <보안뉴스>는 KISIA의 동의를 얻어 20년사에 담긴 정보보호 역사의 생생한 현장을 주 1회 연도별로 소개하는 특별기획을 마련했다. [편집자주]
[이미지=iclickart]
[보안뉴스 문가용 기자] 2005년 가장 큰 충격적인 사건은 단연 인터넷 뱅킹 해킹 사건이다. 2005년 5월 한 피해자의 외환은행 계좌에서 5천만 원이 사라지는 사건이 발생했고, 이는 “최초의 인터넷 뱅킹 시스템 해킹 사건”이라는 제목을 달고 보도되기 시작했다. 금융권은 그때나 지금이나 보안이 가장 삼엄한 곳이라는 인식이 있었고, 그러한 인식에 힘입어 인터넷 뱅킹이라는 편리한 서비스가 대중화되기 시작하는 시점이었다. 뉴스 앵커가 “요즘 인터넷 뱅킹 많이 사용하실 텐데요”라는 말로 보도를 시작할 만큼 인터넷 뱅킹이라는 것에 많은 사람들의 관심이 쏠려 있던 때였던 것이다. 실제 당시 한국은행은 인터넷 뱅킹 이용자 수를 중복 가입자 포함 2천 2백만 명으로 보고 있었다.
인터넷 뱅킹 해킹 사건이 일으킨 파장
2005년 발생한 인터넷 뱅킹 해킹 사건의 파장이 컸던 것은 이처럼 인터넷 뱅킹이라는 신문물이 일반 대중 속으로 어느 정도 퍼져나갔던 시기였기 때문만은 아니었다. 전통의 보안 강자인 은행이 이중, 삼중으로 걸어 잠근 문이 뚫렸다는 것 자체도 그렇지만, 범인이 겨우 이십 대의 일당이었고(자료에 따라 고등학생이라고 묘사되기도 한다) 해킹 방법도 꽤나 간단했다는 것이 드러나면서 온 나라가 큰 충격을 받았다. 이들의 공격은 재테크와 관련된 인터넷 카페에 글을 올리는 것으로부터 시작됐다. 물론 멀쩡한 글이 아니었다. 누군가 이들의 글을 클릭하는 순간 넷데블(NetDevil)이라는 멀웨어가 자동으로 설치되도록 꾸며져 있었다. 넷데블은 당시로서는 생소한 ‘키로거’의 일종이었다. 그래서 일부 매체는 이를 ‘키보드 해킹’이라고 부르며 보도하기도 했다.
키로거는 피해자의 시스템에 설치돼 피해자가 키보드로 입력하는 모든 것을 기록하는 스파이웨어 혹은 트로이목마다. 피해자가 키보드로 사용자 ID와 비밀번호를 입력하는 걸 간파할 수 있게 해준다. 즉, 인터넷 뱅킹을 할 때 입력하는 사용자 로그인 비밀번호와 공인인증서 비밀번호, 보안카드 번호까지 모두 알아낼 수 있다는 것이다. 삼중의 안전장치가 무용지물이 된다는 뜻이 된다. 물론 은행이 발급해주는 보안카드의 경우 여러 개의 번호로 구성되어 있고, 거래마다 다른 번호를 입력하도록 되어 있기 때문에 키로거를 사용하더라도 이 마지막 단계를 뚫어내는 게 쉽지 않아 보인다. 그러나 해커에게 필요한 건 보안카드에 적힌 모든 수가 아니라 딱 한 개의 수였다. 보안카드의 번호 하나만 알게 되면, 미리 알아둔 사용자 비밀번호와 공인인증서 비밀번호를 통해 로그인과 로그아웃을 수없이 반복하면서 그 번호가 맞을 때까지 거래를 시도하면 되기 때문이었다.
심지어 넷데블이라는 문제의 멀웨어를 구하는 것도 굉장히 간단했다. 지금도 구글에 NetDevil Trojan이나 NetDevil Backdoor를 검색하면, 이를 구한다는 요청 글을 발견할 수 있을 정도다. 당연히 이러한 요청 글에는 프로그램을 구할 수 있는 곳은 물론 사용법까지 친절하게 설명된 안내 댓글들이 달려 있고 말이다.
보안 업체인 트렌드 마이크로(Trend Micro)는 넷데블 백도어(1.2 버전)를 자사가 운영하는 ‘사이버 위협 백과사전’ 사이트에 외환은행 해킹 사태가 일어나기 3년 전인 2002년부터 등재시켜 놓고 있을 정도다. 그 항목에는 넷데블에 대한 기능 설명이 다음과 같이 나와 있다. ‘키스트로크 로깅 가능, 비밀번호 탈취 가능, 레지스트리 편집 가능, 파괴적인 배치 스크립트 실행 가능’ 넷데블은 그 후에도 버전을 바꿔가며 꾸준히 등장해 사이버 공격에 사용됐다.
또 하나의 리스크, 해킹 사건을 대하는 은행의 태도
또 다른 충격 요인은 사건 이후 은행의 태도였다. 외환은행은 “(해커가 비밀번호 등을 훔친 후 실시한)거래 시 입력된 정보가 은행에 신고된 것과 같고, 은행의 과실이 없기 때문에 위변조에 따른 사고는 책임지지 않는다”는 전자금융거래기본 약관을 들어 보상을 하지 않겠다고 한 것이다. 물론 이 때문에 여론이 끓어올랐고 문제가 더 커지자 보상을 해주는 것으로 최초의 결정을 번복했다. 그러나 이는 여론이 도왔을 때의 예외적인 경우로, 비슷한 해킹 사건이 조용히 발생하고 묻혔을 때 피해자는 아무런 보상을 받을 수 없다는 선례만을 남겼다.
실제로 그 후 발생한 2007년 외환은행 800만원 해킹 사건, 국민은행 1,700만원 해킹 사건, 2008년 국민은행 3,700만원 해킹 사건 때 피해자는 은행으로부터 아무런 배상을 받지 못했다. 오로지 최초의 인터넷 뱅킹 사건이라는 타이틀 때문에 세간의 주목을 받은 2005년 외환은행 해킹 사건의 피해자만이 배상을 받은 것이다.
인터넷 뱅킹 보안 강화 수단으로 OTP 시장 활기
정부는 인터넷 뱅킹 해킹 방지 대책 마련에 나섰고, 관련 법안 상정을 위한 공청회를 개최했다. 그러면서 인터넷 금융 서비스 사용자들의 PC에 보안 프로그램을 설치하는 것을 의무화했다. 금융권과 정보보호업계도 분주해졌다.
새로운 보호 방안이 우후죽순 나오기 시작했는데, 그 중 가장 주목을 받은 것은 원타임 패스워드, 즉 OTP였다. 외환은행 해킹 사고는 범인이 키로거를 사용해 비밀번호를 알아낸 뒤, 이를 활용해 예금을 인출한 것으로, 만약 피해자가 입력하는 비밀번호가 보안카드에 인쇄된 ‘고정된’ 번호가 아니라 OTP로 거래 때마다 새롭게 발부되는 번호라면 키보드 해킹 예방이 가능하다는 개념이 많은 지지를 받았다. 또한 OTP 솔루션은 일정 시간마다 전용 단말기 등에 새로운 비밀번호를 부여하기 때문에 사용자가 주기적으로 비밀번호를 변경하고 기억하는 번거로움이 사라질 수도 있었다. 씨티뱅크(Citibank) 등 세계적인 금융기관에서도 이미 OTP를 사용하고 있다는 것도 OTP에 힘을 실었다. 이에 따라 OTP 시장이 활기를 띄게 됐다.
하지만 이러한 대응방안에 불만 섞인 반응이 나오기도 했다. 당시 사용자가 비밀번호와 PC를 재차 확인하고 백신 등의 보안 솔루션으로 점검을 한 후 거래를 진행해야 한다는 권고가 여기저기서 나오기도 했고, 은행 측에서 “우리 과실이 아니므로 배상해주지 못하겠다”는 입장을 취했으며, OTP 역시 사용자가 인터넷 뱅킹 사용 습관을 바꿔야 하는 해결책이었기 때문에, “왜 사용자에게 잘못을 전가하는가?”하는 목소리가 나오기 시작한 것이다. 이에 여러 정보보호 업체들이 발 빠르게 움직이며 조금 다른 대응책을 내놓기 시작했다.
금융권 고객 잡기 나선 국내외 정보보호 업체들
네트워크 보안 업체인 시스코(Cisco)의 경우 시스코 보안 에이전트(CSA : Cisco Security Agent)라는 걸 선보였다. 넷데블 등의 멀웨어가 네트워크 내에서 보이는 비정상적인 행동 패턴을 탐지해 미리 잡아주는 솔루션으로, 은행이나 금융기관이 아니라 사용자가 설치해야 하는 것이긴 하지만 업데이트를 할 필요가 없어 번거로움이 크게 사라진다는 특징을 가지고 있다는 것을 셀링 포인트로 잡았다.
안철수연구소(현 안랩)는 마이키디펜스(MyKeyDefense)라는 걸 발표했다. 사용자와 인터넷 뱅킹 시스템 사이에 키로거가 끼어들 여지를 주지 않는 것으로, 키보드 해킹이 원천 차단된다는 걸 특징으로 삼았다. 재미있게도 외환은행 해킹 사건 이후 금융권에서 주로 사용하던 키보드 보안 솔루션을 ‘사이버 머니’를 사용하는 게임 업체 등에서도 사용하기 시작했다.
[이미지=iclickart]
보안 프로그램 설치 의무화와 공인인증서 제도
정부도 가만히 있지는 않았다. 가장 먼저는 보안 프로그램 설치를 의무화했다. 현 시점을 기준으로 생각하면 매우 놀랍게도, 이 당시에 보안 프로그램 설치는 선택사항이었다. 은행도 이 부분을 고객들에게 강조하지 않았다. 하지만 외환은행 해킹 사건 이후 인터넷 뱅킹 사용자는 자기 컴퓨터에 보안 프로그램을 설치해야만 인터넷 뱅킹 서비스를 이용할 수 있도록 한 것이다. 그러면서 인터넷 쇼핑 등과 같은 전자상거래 전반에 대한 안전성 실태 조사도 시작됐다. 금융감독원은 시중 금융기관에 보안전문 인력과 예산을 보강하라는 지시를 내렸다.
그 다음 건드린 것은 공인인증서 제도였다. 금융감독원과 정보통신부는 개인 신상정보가 해킹 등을 통해 유출되더라도 은행 계좌에서 예금주 모르게 돈이 빠져나가는 것을 차단하기 위해 공인인증서 제도를 보완한다는 방침을 내세웠다. 파일 형태의 공인인증서는 예금주가 사용하는 PC에 설치되어 있어야 인터넷 뱅킹이 가능한데, 그렇기 때문에 불법으로 얻은 개인정보를 이용해 돈을 빼내려고 할 경우, 해커가 ‘파일 형태 공인인증서’를 재발급 받는 것이 필수적이다. 이 부분을 확인한 정부는 공인인증서 재발급 시 본인 확인을 더 철저히 하면 될 것이라고 생각했다. 그래서 재발급용 비밀번호를 부여하는 방안을 검토하기 시작했다. 이 번호는 사용자가 정하는 게 아니라 재발급 시 은행이나 기관에서 발행되는 것이기 때문에 유출 가능성이 굉장히 낮다는 장점을 가지고 있었다.
그 외에도 예금주가 소유 휴대폰 번호를 은행에 등록시켜 놓고, 은행으로부터 문자서비스를 통해 받은 인증번호를 입력해야만 공인인증서가 재발급되는 제도도 논의됐다. 심지어 재발급 시에는 본인이 은행 창구로 가서 물리적인 확인을 받아야 한다는 주장도 나왔다. 그러면서 인터넷 통신 기술의 최대 장점인 ‘편리함’을 어느 정도 양보해야만 안전할 수 있다는 인식이 뿌리내리기 시작했다.
그래서 은행이 발급해주는 보안카드의 비밀번호 입력 방식이 조금 불편하게 바뀌었어도 큰 불만이 나오지 않을 수 있었다. 해킹 사고 전까지만 해도 인터넷 뱅킹 사용자는, 요구된 번호의 비밀번호 네 자리 수를 그냥 입력하면 되었다. 하지만 사건 이후 사용자는 첫 번째로 요구된 비밀번호의 앞자리 수 2개와, 두 번째로 요구된 비밀번호의 뒷자리 수 2개를 입력하게 되었다. 물론 OTP로 전환하는 사용자들도 늘어나기 시작했다.
‘전자거래 안전성 강화 종합 대책’의 허와 실
그렇게 시끄러웠던 여름이 지나고 2005년 10월 정보통신부와 금융감독원은 ‘전자거래 안전성 강화 종합 대책’을 발표했다. 금융감독원은 먼저 인터넷 뱅킹 사용자 본인 확인 절차를 강화한다는 목적의 의무 규정을 금융기관들이 10월말까지 이행해야 한다고 말했다. 주민등록증 홀로그램, 사진, 성명, 수정 흔적 확인, ARS, 인터넷 진위여부 확인 등을 강화한다는 내용을 담고 있었다.
또한, 금융회사에서도 사진 또는 지문에 의한 위조 확인 서비스를 이용할 수 있도록 해 인터넷 뱅킹에 적용하기로 했다. 중요한 거래가 발생할 경우 이를 이용자에게 통지하는 것도 이 때 강화됐다. 공인인증서 재발급 절차도 까다로워졌다. 보안카드 및 보안카드 시리얼 번호, 일회용 비밀번호를 입력해야만 인증서가 발급되도록 한 것이다. 공인인증서 저장 장치를 기존의 PC 하드드라이브가 아니라 ‘이동형 저장 장치’로 권고하기도 했다. 인터넷 뱅킹 서비스 중 빠른 조회는 정보 유출 가능성이 높다는 이유로 11월까지 폐지하도록 했다.
정부 발표로 희비 엇갈린 정보보호 업계
이 발표로 한국 정보보호업계는 희비가 엇갈렸다. USB 제조사나 OTP 시장은 웃었고, 키로거 개발업체와 민간 공인인증 사업자들은 울었다. 은행권에서 OTP 사용자가 늘어나고, 금융감독원마저 USB의 사용을 권장하면서 이 두 시장은 특수를 누리게 됐다.
키로거 소프트웨어는 지금의 인식과 달리 당시에는 합법적인 소프트웨어였다. 자녀 교육 목적 혹은 연구 기관의 기밀 보호를 위한, 일종의 보안성마저 가지고 있던 소프트웨어였던 것이다. 당시의 백신 엔진들은 키로거를 탐지할 수 있었음에도, 키로거 산업에서의 항의와 법적 소송을 꺼려해 키로거 탐지를 하지 않도록 제품을 개발하고 있었다. 그러나 외환은행 사건 이후, 그해 12월부터 백신 소프트웨어가 반드시 키로거를 탐지하도록 되었다. 이 부분에서는 많은 논란이 일었으나, 키로거가 점점 멀웨어와 동급이 되는 분위기를 막지는 못했다. 또한, 민간 공인인증 기관의 인증서 재발급 통로가 막히게 되어 이 시장에 진출해 있던 회사로서는 반발이 극심할 수밖에 없었다.
인터넷·정부기관·금융 분야 3년에 걸쳐 발생한 대형사고가 남긴 것
금융권용 보안 제품 납품 절차에도 변화가 예고됐다. 당시 국내 민간 정보보호업체들은 당시 한국정보보호진흥원의 보안제품 평가와 국가정보원의 승인을 통해 개발한 정보보호 제품을 평가받고 있었는데, 금융감독원이 전자거래 해킹 대응을 위한 전담조직을 구축하면서 판이 조금 바뀌게 된 것이다. 이 새로운 조직에서 은행, 증권, 보험, 전자상거래 등 전자거래 전반에 대한 위험 요인을 분석하고 대응체계를 운영하며 보안제품 평가를 추진하기로 함에 따라 정보보호업체들은 금융감독원의 평가를 한 번 더 받게 되었다. 이 때문에 민간 보안업체들의 반발이 적잖게 나오기도 했다. 인터넷, 정부기관, 금융 시스템이 3년에 걸쳐 연속적으로 위험에 노출되면서 ‘정보보호’라는 개념이 슬그머니 자리 잡기 시작했다.
▲2005년 KISIA 정기총회 모습[사진=KISIA]
KISIA, 정보보호산업 정보의 허브로서의 기능 담당하다
국내 정보보호 시장은 2000년부터 외형적으로는 성장을 거듭해 왔지만, 2004년 이후 IT 시장 침체와 기업들의 보안투자 기피 추세와 맞물리면서 협회 회원사들도 어려움을 겪었다. 이러한 가운데 2005년 2월 제9차 정기총회를 거쳐 제7대 회장으로 취임한 윈스테크넷(현 윈스) 김대연 대표는 “2004년 연말 발표된 벤처활성화 정책에맞춰 정보보호 산업도 질적으로 성장할 수 있는 기반을 갖추는데 협회의 역량을 모을 것”이라고 강조했다.
또한, 정보보호산업 정보의 허브(HUB)로서의 기능과 함께 각종 업계 현안에 대한 의견을 수렴해 정부에 제시하는 제도 개선 활동에도 적극 나섰다. 이와 함께 협회는 2005년 당시 117개사에 달하는 회원사들의 친목도모를 위한 회원사 등반대회와 정보보호의 밤 행사도 개최했으며, PKI, 웹어플리케이션 기술전망 세미나 등 부문별 세미나와 해외 보안·IT 전시회 공동관 운영 등 해외진출 지원사업도 활발히 펼쳤다.
한편, 협회는 2005년 정기총회를 통해 배영훈 니트젠 대표, 정현철 소프트포럼 대표, 김종선 시큐아이닷컴 대표, 최성원 시큐어소프트 대표, 박동혁 어울림정보기술 대표, 임병동 인젠 대표, 조석일 코코넛 대표, 정영재 테스텍 사장, 김광태 퓨쳐시스템 대표, 권석철 하우리 대표 등 10개 부회장을 비롯해 이사사도 9개사로 확대하는 등 임원사 규모를 늘렸다.
*해당 기사의 저작권은 한국정보보호산업협회(KISIA)에 있습니다.
[문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
 TH.jpg)
 TH.jpg)
 TH.png)
 TH.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
