• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[기자수첩]하나은행 예금 무단인출, 금융보안 허점 드러나 2009.02.09

새로운 사용자 보안 체계 필요성 두각


유출된 고객의 정보를 이용해 인터넷뱅킹으로 돈을 빼내는 수법의 피해가 발생했다.


하나은행의 한 고객은 지난 8월 인터넷뱅킹 범죄에 이용됐던 IP가 자신의 계좌에 접속한 사실을 은행에서 보낸 문자메시지를 통해 알게 됐다.

 

그는 곧바로 인증서를 바꾸고 콜센터에 전화해 인출 정지를 요청했지만, 이미 돈은 2100만원이나 빼내간 상황. 


피해자는 이후 이 일을 강남경찰서에 신고해, 서는 범인을 추적하는데 수사력을 집중하고 있는 것으로 알려졌다.


하나은행 측은, 내부적으로 해킹의 흔적이 없어 익명의 범죄자가 고객의 인터넷뱅킹을 도용해 돈을 빼낸 것으로 추정된다고 밝히고 있다. 그러나 은행 측은 아직까지 정확한 사실 확인이 안 되고 있기에 이 건에 대한 보상은 수사로 어느 정도 정황이 파악된 후에야 논의 될 것이라고 답변하고 있다.


이 사건을 토대로 인터넷 뱅킹 사용자를 노린 범죄 시나리오를 만들어본다면, 두 가지로 나뉠 수 있다. 첫 번째는 물리적인 정보유출이며 둘째는 이용 PC의 정보유출이다. 물리적인 유출은, 지갑이나 가방의 분실로 신분증이나 은행계좌 정보가 담긴 수첩, 보안카드 등이 분실됐을 경우다. 이 경우 사용자의 주민등록번호와 계좌번호, 보안카드를 통해 새로운 인증서를 만들 수 있어 돈을 빼낼 수 있다.


이용하는 PC를 통한 정보유출의 경우, 인터넷사이트에 숨겨놓은 악성코드가 사용자 PC에 다운로드 되고 이 악성코드는 원격제어나 키로커 기능을 가지고 있어 인터넷 뱅킹 접속시 키보드 입력정보를 빼내는 수법을 이용했을 수 있다.


은행의 인터넷뱅킹 허점을 노린 범죄가 늘어나고 있지만 이에 대한 대책은 마땅치 않다. 그 이유는 사이버 범죄의 영역이 확대되고 있지만 보안영역은 확대되지 않고 있어서라고 볼 수 있다.


은행들은 지금까지 은행자체에 대한 보안을 강화해왔다. 따라서 내부 서버나 스토리지 등의 IT시스템에 대한 보안수준은 과히 최고를 자랑한다. 하지만 문제는 해커들이 보안에 철저한 은행서버보다는 은행을 이용하는 사용자를 노리고 있다는 점. 이 때문에 아무리 은행 내부 보안이 철저해도 사용자에 대한 보안이 철저하지 못하다면 인터넷뱅킹의 보안에 허점을 보일 수 있다.


만약 앞서 말한 범죄 시나리오 중 후자라면, 사용자가 개인 PC에 대한 보안에 신경을 쓰지 않음과 동시에 은행에서 제공한 키보드 보안시스템에도 문제가 발생했을지도 모른다고 유추해볼 수 있다. 그렇다면 은행의 책임이 전혀 없다고 말할 수 없을 것이다.

 

또한 2007년에는 한 금융사이버 범죄로 인해 USB 키보드가 해킹에 취약할 수 있으며, 메모리 해킹을 통해 온라인 금융 거래가 위조될 수 있다는 가능성이 제기됨에 따라 금융감독원은 실제 피해가 발생한 것은 아니지만 대비 차원에서 USB 키보드의 보안 취약성과 메모리 해킹 가능성에 대한 대응책을 의무화하라는 지침을 내린바 있다.


현재 이용하고 있는 키보드 보안 시스템들은 웹상이 아닌 액티브엑스로 윈도우상에서 보안을 유지하고 있기 때문에 여러 은행의 인터넷뱅킹을 이용하고 있을 경우 키보드 보안시스템에 성능저하가 올수도 있다.


보안 업계에서도 좀더 강화된 인터넷뱅킹 사용자 보안 서비스를 제공하려는 노력을 기울이고 있지만 쉽지는 않은 상황이다. 최초 액티브엑스 기반 키보드보안 제품으로 출발한 온라인 PC보안 서비스는 날로 발전하는 해킹 위협에 대응하기 위해 개인 방화벽, 안티 바이러스/스파이웨어의 기능들이 추가로 필요하게 되었다.


이로 인해 사용자들은 인터넷 뱅킹을 위해 3~5가지의 프로그램을 설치해야 하는 불편함을 초래하게 되었다. 또한, 메모리 해킹, USB 키보드 보안 이슈 등 지속적인 대응이 이루어져야 하는 현 상황을 감안하면, 앞으로 발생할 사용자의 불편함은 더욱 가중될 것으로 보인다.


이제 은행 보안시스템의 강화도 자체적인 보안뿐만 아니라 사용자나 개발에 필요한 서드파티, 협력업체까지 아우르는 보안 강화가 필요한 시점이다. 뭐 액티브엑스에 대한 문제는 앞서 여러 차례 거론했기 때문에 더 이상 말하지 않겠지만, 현재 이용되고 있는 보안시스템이 사용자 보안에 허점을 보이는 사례가 나타나고 있는 이상 은행권에도 새로운 사용자 보안체계 도입의 필요성이 요구되고 있다고 볼 수 있다.

[오병민 기자(boan4@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>