| [사이버금융보안④]사용자 보안의식 결여 “해결책 찾아라!” | 2009.04.29 | |
1. 잇단 해킹사고에 대한 정부차원 대응책 수립된다.
2. 되풀이되는 사이버 금융사고 “문제점은?” 3. 단방향 보안체계의 한계 극복 필요 4. 사용자의 보안의식 결여 “해결책을 찾아라!”
그렇다면 금융보안에 있어서 공격자들이 생각하는 취약점은 어떤 것이 있을까? 많은 전문가들은 보안시스템 보다 사람의 취약점이 더 크다고 입을 모은다. 사람이라 함은 이용자를 말한다. 즉 인터넷뱅킹이나 전자결재를 이용하는 이용자들이 사이버 금융 보안에 있어서 가장 큰 취약점이라는 것이다. “설마 나한테 그런 일이?” 보안업계의 한 관계자는 “시중에 노출된 개인정보는 수천만에 이르며 이는 우리나라에 있는 국민 거의 대다수의 정보일 수 있다”고 경고하고 있다. 노출된 개인정보는 몇 년 새 잇달아 터진 개인정보 유출사고와 법에서 정한 개인정보취급방침을 잘 지키지 않는 불법사이트에 의한 노출, 사이트 해킹으로 인한 개인정보유출 등 여러 방법으로 악성브로커들의 손아귀에 넘겨져 있는 상황. 수집된 정보는 비교적 저렴한 가격에 거래되고 있다는 것은 이미 널리 알려진 사실이다. 브로커들은 연락처와 이메일 주민등록번호뿐만 아니라, 노출된 개인정보 정보를 일일이 대입해 사용할 수 있는 ID와 패스워드를 추출하고 있으며, 이런 ID와 패스워드는 여러 대형 포털이나 메일, 미니홈피 등에서 사용가능 여부를 파악해 판매하는 조직망까지 갖추는 등 불법 마케팅도 성행하고 있다. 이런 상황은 결국 사용자들이 노출된 정보를 이용한 2차 범죄에 대한 스스로의 충분한 대비가 요구되고 있다는 것을 방증하고 있다. 특히 인터넷 뱅킹과 같은 사이버 금융서비스를 이용하는 이용자의 경우 금전적인 손해를 입을 수 있기 때문에 더욱 철저한 보안이 요구되고 있다. 하지만 문제는 이런 위험한 상황에도 불구, 많은 이용자들은 “설마 나한테 그런 일이 일어나겠어?”라는 생각을 가지고 있다는 것. 업계의 한 관계자는 “인터넷뱅킹에서 절대 외부로 노출되지 말아야할 것은 아이디와 패스워드 뿐 아니라 보안카드, 공인인증서, 이체비밀번호까지 포함된다”고 말하면서 “하지만 보안카드를 꺼내기 귀찮다는 이유로 포털 메일에 저장하거나, 피시방과 같은 외부로 노출된 곳에 공인인증서를 설치하는 등 사용자의 부주의가 심각한 수준”이라고 지적했다. 이 같은 보안의식 결여로 인한 사용자 부주의에 대해 정부 측은 대응방안 만들기에 고심하고 있다. 우선 거론되는 것은 바로 보안의식 고취를 위한 홍보방안이다. 금융감독원은 한국정보보호진흥원(KISA)과 협력해 공인인증서 이용 시 보안강화 홍보문구를 삽입하는 것을 검토 중이다. 또한 금융결제원과 함께 사이버 금융 보안 홍보 수단에 대해 공모전을 개최하고 있다. 아울러 개별은행이 할 수 있는 홍보방안을 구상하고 자체적으로는 5월부터 본격적인 홍보에 나서겠다고 전한다. 불편한 인터넷뱅킹 보안시스템 “한번 인터넷 뱅킹을 하려면 몇 개씩 설치되는 액티브 엑스 때문에 짜증났던 적이 한두 번이 아니다. 이렇게 덕지덕지 붙은 보안프로그램이 작동하고 있는데 보안이 잘되고 있을 거라 생각한다.” “많은 사람들이 긴급하게 돈을 보내기 위해 이용하고 있지만 인터넷뱅킹을 이용하기 위해서는 보안액티브엑스가 몇 개 설치되는 것을 지켜봐야하고 패스워드와 보안카드비밀번호 등 입력해야할 사항이 많기 때문에 편의성을 위해 인터넷에 저장하는 경우가 많다” 많은 인터넷뱅킹 이용자들은 이와 같은 의견을 피력하고 있다. 특히 일부 사용자들은 인터넷뱅킹으로 인해 사용하는 PC가 느려지고 있다고 불만을 토로하면서도 어쩔 수 없이 이용하고 있다고 이야기한다. 결국 복잡한 인터넷뱅킹 환경이 사용자들을 좀 더 빨리 이용하기 위해 보안단계를 단축시키는데 일부 영향이 있다는 의견이다. 더불어 인터넷뱅킹에 사용되고 있는 보안프로그램들은 사용자들에 대한 최소한의 보호를 위해 설치된 것들이지만 최신 해킹 기법에 비해 낙후되고 불편한 솔루션이라는 의견도 적지 않다. 물론 은행이 더 많은 투자를 해 더 좋은 솔루션을 도입하면 좋겠지만 이에 대한 노력이 부족하다는 지적이다. 특히 금융감독원에서 인터넷뱅킹에 대한 보안 솔루션 강제 조치도 은행의 자발적인 참여가 부족하기 때문에 시작된 만큼 은행이 좀 더 새로운 보안체계 구성을 위한 노력도 필요하다는 의견이 설득력 있게 다가오고 있다. 결국 사용자가 보다 쉽고 편리하게 그리고 안전하게 이용할 수 있도록 은행도 투자가 필요하다는 주장이다. 은행권의 한 관계자는 “일부 은행의 경우 보안솔루션을 잘해놓은 경우도 있지만, 현재 경제위기와 금융위기 상황에서 이에 대한 투자는 쉽지 않은 상황”이라며 “따라서 가급적 정해진 원칙에 충실하려고 노력하고 있다”고 말한다. 유명 컨퍼런스에서 한 외국 보안회사의 관계자는 “현재 은행의 대부분은 매출을 위한 서비스에는 충실하지만 보안에 대한 서비스에 부족한 경향이 있는데, 사실 사용자들은 은행이 수익을 올려주는 것도 중요하지만 자산을 안전하게 보호하고 송금과 같은 금융서비스에서 안전성을 느끼길 원하고 있다”고 말한바 있다. 인증서관리 해결해야할 문제 현재 알려진 사이버 금융사고의 대부분은 사용자들이 보안카드 정보를 노출하거나 인증서 관리에 허점을 보였기 때문으로 나타나고 있다. 특히 최근 나타난 범죄에는 공인인증서를 재발급 받아 인터넷뱅킹을 이용한 것으로 파악되고 있어 이에 대한 대책을 요구하고 있다. 이런 문제가 발생하는 것은 사용자들이 인증서 관리에 많은 관심을 두지 않기 때문이다. 특히 심한 경우는 많은 사람들에게 노출된 피씨방이나 공공장소 PC에 공인인증서를 사용하고 그대로 방치하는 경우도 있다. 노출된 공인인증서는 범죄자들의 해킹 수단으로 이용되고 있기 때문에 각별한 관리가 필요하다. 하지만 사용자들의 인식 전환도 중요하지만, 공인인증서의 무분별한 발급절차가 문제가 되고 있다는 지적도 있다. 즉 온라인에서 인증서 발급부터 재발급 갱신 등 모든 업무를 할 수 있기 때문. 이런 서비스는 사용자들이 은행을 방문하는 것을 꺼려하고 있기 때문이다. 결국 사용자의 편의성이냐 보안성이냐의 문제라고 볼 수 있다. 일단 이런 문제에 대한 기술적인 대안은 제시되고 있다. 인증기관(CA)에 인증서 발급에 대한 로그를 분석해, 평범하지 않은 패턴이 발견됐을 경우 사용자에게 SMS나 전화로 알리고 인증서의 사용을 중지시키는 방안이다. 가령, 평소에 자주 접속하지 않는 위치에서 다량의 인증서를 발급받거나, 신규 인증서를 통해 많은 금액을 송금했을 경우 이에 대한 사실을 이용자에게 알리거나 거래를 중지 시키는 방안이다. 현재 금융결재원은 이와 같은 로그분석기 시스템을 도입해 인증서를 통한 범죄 색출 방안을 고려중에 있다. 허나 이런 시스템에도 완벽한 대안이 아니라는 의견도 있다. 인증서를 온라인에서 발급해주는 것 자체가 문제의 원인이라는 것. 즉 갱신 등 어쩔 수 없이 온라인에서 이뤄져야하는 업무를 제외하고는 신규발급이나 재발급에 대해서는 은행을 거치는 것이 보다 철저한 보안 대책이라는 것. 업계의 한 관계자는 “초창기에는 사설인증을 썼지만 보안 강화를 위해 공인인증서로 전환하게 되면서 발급에 대한 문제가 드러나기 시작해 온라인으로 발급이 가능하도록 하는 정책이 등장했다”며 “지금 대다수의 이용자들은 공인인증서를 사용하고 있는 상황에서 온라인 발급은 해킹에 대한 취약성을 나타내고 있어, 이제는 발급을 은행에서 직접 하는 방안도 검토해야한다”고 주장했다. [오병민 기자(boan4@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
||
 |
