비이소프트, 가상화 기술 이용한 개인정보보호 솔루션 출시
‘U-SafeOn’, 금융정보 유출...원천적으로 차단
 

6일 금융감독원은 인터넷 이용자들에게 전자금융거래 주의보를 발령했다. 현재 금융권에서 사용하고 있는 보안카드, 공인인증서, 계좌비밀번호 등이 계속해서 크래커의 공격에 유출되기 때문이다.

현재 금융 사이트에서는 키보드 정보를 빼가는 키로거 공격을 방지하기 위해 키보드 보안 프로그램과, 백신 프로그램 등, 개인정보를 보호할 수 있는 안전장치를 제공하고 있지만, 스니핑 기법에는 개인정보 노출이 가능한 실정이다. 이러한 키보드 보안 프로그램의 약점을 보완하기 위해 보안카드 번호 입력이나 기타 개인 금융정보를 입력할 때 마우스로 클릭하는 가상키보드를 사용하는 금융사이트들이 증가하고 있다.

하지만, 이러한 가상 키보드 또한 사용자 PC의 화면 내용을 그대로 공격자가 볼 수 있기 때문에 해킹의 위험에서 벗어날 수 없음이 확인됐다.

그렇다면, 개인의 금융정보를 보호하기 위한 대안은 무엇인가.

비이소프트(www.besoft.co.kr)는 이러한 개인정보 보안의 취약점을 해결하기 위해 지난 2007년 1월부터 키보드 입력정보 유출과 원격 모니터링에 의한 사용자 화면 해킹 방지를 위해 기술 개발에 착수, 올해 3월 개인정보보호 솔루션인 ‘유-세이프온(U-SafeOn)’을 개발했다고 발표했다.

비이소프트 권철진 부사장은 “인터넷 보급률 및 사용률에 비해 부족한 개인정보 보안의식으로 금융, 보험, 이메일, 게임 등 인터넷을 사용하는 모든 서비스에 대해 스프핑, 스니핑 방식의 해킹 프로그램을 이용하여, 개인정보 유출과 공인인증서 암호 및 보안카드 번호 등의 금융거래정보가 노출되어, 주민등록번호 도용사고, 휴대전화 스팸 피해, 인터넷 뱅킹 사용자들의 금전적 피해 사례가 증가하고 있다”며 현 전자금융거래의 위험성을 경고 했다.
 

또 그는 “키보드를 이용한 컴퓨터 입력장치의 보안이 중요하다고 생각하여 국내의 많은 보안업체들이 앞다퉈 키보드의 입력정보를 보안하기 바빴으나 네트워크로 전송되기 전 이미 윈도우 내에 숨어있는 키보드 해킹 프로그램에 의해 키 입력정보가 유출되는 것을 막을 수는 없다”며 현재 사용되는 키보드 보안 프로그램의 취약점을 설명했다. 

이어서 “이러한 키보드 보안 프로그램의 취약점을 보완하기 위해 도입된 마우스를 이용한 가상키보드 입력방식 또한 키보드 입력정보 노출로부터 자유로울 수는 있으나 화면모니터링기능을 포함한 바이러스 및 해킹 프로그램 등에 의해 제3자에게 사용자가 입력하는 화면이 그대로 노출될 가능성이 충분히 있기 때문에 보안이 제대로 이루어지지 않고 있다고 봐야 한다”고 덧붙였다.

비이소프트 표세진 대표는 “모드 사이트들이 키보드 입력정보 유출 위험으로부터 자유롭고 중요 화면 노출의 위험에서도 벗어나 사용자들의 중요한 개인정보를 지킬 수 있는 보안방법을 찾기 위해 연구를 시작했고 그 결과물이 바로 ‘유-세이프온(U-SafeOn)’이다”라고 강조했다.

개인정보보호 프로그램인 ‘유-세이프온’은 윈도우에서 제공하는 화면 출력을 사용하지 않고 비디오 채널을 이용해 입력과 출력을 직접 제어하여 윈도우 프로그램(ex, Internet explorer, game, all program)과 상호 동작하게 구성돼 있다.

즉 기존 윈도우즈 화면출력 프로그램 image viewer, chatting, SMS, media player 등의 프로그램들을 비디오 채널에서 직접 입력 및 출력 인터페이스를 제어하기 때문에 키스트로크(key-stroke) 방식 등에 의한 키보드 해킹을 원천적으로 차단시킬 수 있다.

또한 ‘유-세이프온’은 원격접속을 통한 화면 캡처, 녹화에 의한 화면캡처, 사용자가 직접 프린트스크린(print screen) 키를 이용한 화면 캡처, 해킹프로그램에 의한 화면캡처 전송 등을 미연에 방지할 수 있는 획기적인 정보보호 프로그램이다. 

비이소프트 문창선 개발팀장은 “유-세이프온을 사용하게 되면 각종 비밀번호, 메일주소, 통장 또는 카드 번호 등 사용자에게 있어 중요한 개인정보 입력 시, 키보드 입력방식이 아닌 가상 키패드를 제공해 사용하도록 함으로써 키보드 입력정보 유출에 의한 피해를 원천적으로 예방할 수 있다”고 말했다.

또한 “기존 운영체제와는 별도로 특허 기술을 이용하여 생성한 독립적인 인터페이스를 제공하여 사용자 외에 외부 원격 모니터링에 의한 화면 자체의 해킹 및 유출을 원천적으로 차단할 수 있다”고 설명했다.

이 기업 표세진 대표는 “이 보안솔루션을 사용하면 어떠한 공격에도 크래커의 화면에는 이용자 PC에서 사용하고 있는 공인인증서 창이나 개인정보 입력창이 보이지 않게 된다”며 “정보유출이 계속되고 있는 요즘, 금융권이나 전자결제가 이루어지는 많은 사이트, 그리고 대량의 개인정보를 보유하고 있는 기업 등에서 계속 문의가 들어오고 있는 상황”이라고 밝혔다.

얼마 전 실제로 어느 정도 개인정보보호가 되는지 확인하기 위해 비이소프트를 찾았다. 두 대의 PC를 준비했고 한 대는 공격자 PC, 또 한 대는 사용자 PC로 설정했다. 사용자 PC에는 키보드 정보유출과 실시간 화면모니터링이 가능한 바이러스가 침투된 상태였다.

모 금융 사이트에 접속해 임의의 공인인증서 패스워드를 입력하고 보안카드 번호 등을 입력할 때 마우스를 이용한 가상 키보드를 사용했지만 공격자 PC에는 사용자 화면이 그대로 보이기 때문에 쉽게 패스워드를 알아낼 수 있었다.

현재 문제가 되고 있는 공인인증서 패스워드와 계좌비밀번호 등이 이러한 방법으로 유출되고 있다는 것을 알아야 한다.

하지만 사용자 PC에 ‘유-세이프온’을 동작하자 공인인증서 입력란과 계좌비밀번호, 보안카드 번호 등을 입력하는 입력창이 공격자 PC에는 전혀 보이 않았고 입력정보 값도 유출 되지 않는다는 테스트 결과를 확인할 수 있었다. 

이번 비이소프트에서 개발한 개인정보보호 솔루션인 ‘유-세이프온’은 금융권에서 우선 적용될 것으로 보이며, 전자결제 시스템이 적용되는 대형 쇼핑몰, 포털사이트 등 많은 인터넷 기업에 사용되어 웹사이트 로그인 정보, 금융권 거래정보 등의 개인정보를 보호하는 기능과 함께, 디지털콘텐츠 분야에서도 저작권을 보호하는 솔루션으로서 개인정보를 보호하는 중요 프로그램으로 자리매김 할 것으로 보인다. 
[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>