• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[사이버금융보안③]단방향 보안체계의 한계 극복 필요 2009.04.28

1. 잇단 해킹사고에 대한 정부차원 대응책 수립된다.

2. 되풀이되는 사이버 금융사고 “문제점은?”

3. 단방향 보안체계의 한계 극복 필요.

4. 사용자의 보안의식 결여 “해결책을 찾아라!”


사이버금융 보안사고가 잇달아 나타나자 기존 보안체계에서 허점이 있는 게 아니냐는 반응이 적지 않다.

 

특히 보안카드와 공인인증서를 이용한 보안체계가 키보드 해킹에 취약하다는 보고가 나타나자 키보드 보안체계를 도입했지만 이 또한 무력화가 가능한 해킹기법이 등장하자 보다 강력한 사이버금융 보안체계의 필요성이 나타나고 있다.


OTP와 보안토큰

금융감독원은 이에 대한 대안으로 OTP(One time password)를 제시했다. 그리고 2007년부터는 고액 거래시 OTP 사용을 의무화했다. OTP는 사이버 범죄자가 키로깅 등 키보드 해킹으로 패스워드 정보를 수집했다 하더라도 매번 새로운 패스워드를 생성해 이용하게 하기 때문에 안전하게 거래할 수 있도록 만드는 장치이다. 하지만 의무 사항이 5천만 원 이상 고액거래에 한정돼 있어 사용이 많지 않을뿐더러 메모리 해킹 등 최신 해킹 기법에 허술하다는 지적도 나오고 있다.


정부는 공인인증서 유출사고를 방지하기 위해 보안토큰을 보급 중에 있다. 보안토큰은 전자서명이 저장장치 내부에서 생성되며, 저장된 전자서명생성키는 저장장치 외부로 나오지 않기 때문에 피싱ㆍ해킹 등으로부터 공인인증서 유출을 방지할 수 있는 휴대용 저장장치를 말한다. 정부는 2007년 6월 한국정보보호진흥원,과 공인인증기관, PKI 전문보안업체, 보안토큰 업체와 공동으로 보안토큰 기반의 공인인증서 이용기술 표준화를 완료하고, 최상위인증기관을 통해 보안토큰 구현적합성 평가를 시행하고 있다. 총 19종의 제품이 구현적합성 평가를 통과했으며, 농협 등 195개 전자상거래업체에서 보안토큰 기반 공인인증서비스를 제공하고 있다.


보안토큰은 공인인증서의 노출을 막기 위한 방책으로 OTP와 경쟁관계라기 보다는 함께 이용할 수 있는 보완체계로 볼 수 있다. 하지만 보안카드가 외부로 유출됐을 경우 공인인증서를 재발급 받을 수 있기 때문에 이 또한 완벽할 해결책은 아니라는 의견도 나타나고 있다.

 

단방향적 보안체계의 한계...사회공학적 해킹도 등장

우리나라의 사이버금융 보안 사고가 잇달아 나타나고 있는 이유를 단방향 보안체계에서 찾는 전문가도 점차 나타나고 있다. 특히 사용자들의 보안 관리가 철저하지 않은 상황에서 PC를 통해 이뤄지는 단방향 보안체계는 한계가 있을 수 있다는 것. 게다가 우리나라는 사고에 대한 원인을 명확하게 규명하지 않으면 은행이 책임을 져야하는 시스템이기 때문에 이를 악용한 사례도 나타나고 있어, 단방향 보안체계에 대한 보완책이 필요하다는 의견이 점차 설득력을 얻고 있다.


특히 메모리해킹이라는 새로운 보안이슈는 현재 이용되고 있는 보안솔루션들에 대한 무력화 가능성을 내포하고 있기 때문에 다양한 수단을 이용한 보안체계를 요구하고 있다.

 

 

게다가 최근 일부 사이버금융 보안사고의 경우, 공모사기를 통한 계좌이체로 의심되는 사례로 파악되고 있어 이에 대한 대비책도 필요하다. 이른 은행이 단방향 보안체계가 완벽한 보안 체계를 갖췄다고 증명할 수 없다는 점에서 허점이 나타난다.


공모사기는 전자금융거래법과 여신법의 허점을 이용한 것으로, 계좌 주인과 한 사람의 공모자가 서로 짜고 통장계좌번호와 비밀번호, 보안카드 공인인증서, OTP를 줘 이체를 시도하고 인터넷뱅킹을 한 적이 없다고 말한다면 은행은 이를 보상할 가능성이 높다. 사용자의 고의나 과실을 증명하지 못한다면 은행이 모든 책임을 져야하기 때문이다.


이런 방식은 기술적인 해킹기법이라기 보다는 사회공학적 해킹기법으로 볼 수 있다.


다중인증 방식 보안체계 필요성 제기

이런 문제점이 PC에서만 이뤄지는 인증방식에 있다고 주장하는 전문가도 나타나고 있다. 업계의 한 전문가는 “현재 국내 사이버 금융 보안체계는 대부분 해킹에 대응할 수 있지만 일부 방식에는 취약한 부분이 나타나고 있다”면서 “이는 PC에 한정된 단방향 인증 때문으로 만약 메모리 해킹 기법이 점차 발전하게 된다면 PC로만 이뤄지는 어떤 보안 솔루션도 안전함을 장담할 수는 없다”고 역설했다.


이런 주장과 더불어 다중 채널을 이용한 인증체계의 필요성도 제기되고 있다. 즉 PC외에 여러 다른 매체를 통해 이체 서비스 인증을 진행하도록 하는 것. 가령 전화나 휴대폰, IPTV 등의 PC에서 분리된 매체를 이용해야한다는 주장이다.


이런 인증방식이 도입된 사례도 조금씩 나타나고 있다. 국민은행의 경우 전화의 ARS 서비스를 이용한 인증방식을 채택해 이용하고 있다.


보안업계의 한 전문가는 “외국에서는 두 개 이상의 인증체계를 의무화하고 있다”며 “아직까지는 OTP나 보안토큰 등 PC를 이용하는 체계를 제외하면 전화나 휴대폰 밖에 없지만 향후 IPTV, 스마트폰, PMP 등 다양한 차세대 매체가 증가할 것으로 예상됨에 따라 다양한 인증기술이 개발될 것으로 보인다”고 말했다.

[오병민 기자(boan4@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>