금융보안, 기술로 막을 수 있는 한계 점차 드러나...

해킹으로 추정되는 인터넷 뱅킹 사고가 또다시 발생했다. 최근 한 인터넷뱅킹 사용자의 국민은행과 외환은행 계좌에서 400만원의 돈이 누군가에 의해 신한은행으로 이체됐다. 다행히 이 사용자는 요청하지 않은 공인인증서 재발급에 대한 문자 메시지를 보고 신속히 대처해 해외 인출은 막은 것으로 알려졌다.

최근 들어 인터넷뱅킹을 노린 범죄가 기승을 부리고 있는 가운데 이번 사고도 해킹 범죄에 대한 의혹이 제기되고 있다. 문제는 은행의 인터넷뱅킹 보안시스템이 아무리 완벽하게 작동하고 있더라도 사용자에 대한  보안이 제대로 이뤄지지 않는다면 이런 사고는 언제든지 일어날 수 있다는 것.

보안업계 한 관계자는 “현재 나타나고 있는 인터넷뱅킹 해킹 사고는 사용자의 부주의거나 개인 PC 해킹과 연관이 깊은 것으로 추정되고 있다”며 “현재 인터넷뱅킹 보안 시스템은 인터넷뱅킹을 이용할 때 만 작동하기 때문에, 보안카드를 인터넷 상에 올려놓거나 인터넷을 이용하다 악성코드에 감염돼 원격 제어 되는 등 문제에 대해서는 허점이 나타날 수 있다”고 말했다. 즉, 인터넷 뱅킹 사고에 대한 취약점은 은행에서 할 수 있는 보안의 한계를 넘어서고 있다는 이야기다.

특히 최근 들어, 외국 악성 해커들이 VPN(가상 사설망)으로 인한 네트워크 보안 취약점이나 개인 PC를 노리는 악성코드 등으로 인한 취약점으로 사용자 PC에 침투해 인터넷뱅킹 계좌 탈취하는 사례가 증가하고 있어 이에 대한 대책이 필요해 보인다.

결국 사용자 PC의 보안에 좀 더 관심을 가져야한다는 주장이다. 하지만 아직도 많은 사용자들이 인터넷 상에 보안카드나 인증서를 올려놓는 경우가 많아 이용자들에 대한 인터넷뱅킹 보안 홍보가 절실해 보인다.

아울러 PC 만을 이용한 단일 인증체계는 최신 해킹 도구에 의해 완벽한 보안이 유지 될 수 없기 때문에, 정부나 금융권에서는 전화인증이나 보안토큰, OTP 등을 함께 이용하는 다중인증 체계를 이용하도록 권장하고 있지만 편의성이나 금전적인 부담이 뒤따르고 있어 보급이 원활하게 되지 못하고 있다.

따라서 정부 측은 인터넷뱅킹에 대한 사용자 보안 의식 강화를 위해 여러 방법이 제시되고 있다. 우선 거론되는 것은 바로 보안의식 고취를 위한 홍보방안이다. 금융감독원은 한국정보보호진흥원(KISA)과 협력해 공인인증서 이용 시 보안강화 홍보문구를 삽입하는 것을 검토 중이다. 또한 금융결제원과 함께 사이버 금융 보안 홍보 수단에 대해 공모전을 개최하고 있다. 아울러 개별은행이 할 수 있는 홍보방안을 구상하고 자체적으로는 이달부터 본격적인 홍보에 나서겠다고 전했다.

■ 인터넷뱅킹 보안 수칙

1. 공인인증서는 USB메모리나 이동형 저장장치에 저장할 것.

2. 보안카드는 절대로 웹메일이나 P2P, 웹하드 등에 저장하지 말 것.

3. 전화인증이나 보안토큰, OTP 중 하나를 함께 이용할 것.

4. PC의 보안업데이트는 꾸준히 빼먹지 말 것.

5. 주기적으로 PC에 바이러스나 악성코드 검사를 진행할 것.

6. 공인인증서에는 주로 쓰는 비밀번호나 유추가 가능한 비밀번호는 절대 쓰지 말 것

7. PC방 등 공용 PC에서는 공인인증서를 사용하지 말 것.

8. 공인인증서가 노출됐다고 확인되면 즉시 폐기할 것.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>