김우남 의원, 농협-수협 OTP 보안 취약성 문제 제기

농림수산식품위원회 간사인 김우남 의원(민주당)은 전날 농협에 이어  6일에는 수협도 인터넷뱅킹 이용시 OTP가 쉽게 뚫린다는 의혹을 제기했다. 

농협과 수협의 인터넷뱅킹 보안시스템은 1단계 비밀번호, 2단계 보안카드, 3단계 OTP(One Time Password)카드를 보안등급별로 적용하여 해킹에 대비하고 있다.

김우남 의원이 제기한 OTP 취약성은, 요즘 웹상에서 흔한 영화·음악파일의 다운로드 시 바이러스를 피해자의 컴퓨터에 감염시켜 피해자가 인터넷뱅킹을 시도할 때 OTP번호를 유출해 내는 것이다.

 

□ OTP번호 유출 과정 피해자, 농협 홈페이지 → 금융결재원의 공인인증 거쳐 접속 성공→ 계좌이체 베너 클릭하자 → OTP를 묻는 창이 떠 → OTP 기계가 생성해 낸 번호를 정확히 입력했음에도 오류 메시지 떠 → 그러는 사이 피해자가 누른 OTP 비밀번호가 해커의 컴퓨터로 전송돼 계좌 유출

이에 대해 농협측은 현재 운용 중인 농협의 OTP카드는 제일 안전한 방어책으로 해킹될 우려가 없다고 확신 했다. 특히 OTP(One Time Password)는 일회용 비밀번호로 매번 다른 비밀번호를 생성하기 때문에, 랜덤으로 생성된 번호는 타인이 유추할 수 없다는 것. 아울러 공인인증서나 인증서 패스워드, 계좌이체 비밀번호 등 민감한 고객 정보가 모두 유출됨과 동시에 공격자가 사용가능한  OTP 값을 얻었다 하더라도, 1분 이내에 공격을 성공해야 하기 때문에 공격 성공 확률은 거의 없다는 답변이다.

하지만 김우남 의원은 간단한 기술로 농협이 자신하던 OTP를 뚫어 농협의 인터넷뱅킹을 해킹했다고 주장했다. 그리고 김 의원은 관련 동영상을 종합 국감 때 방영할 예정이라고 밝혔다.

김 의원은 농협만이 아니라 수협도 같은 위협에 노출돼 있다고 주장했다. 김 의원은 실험 결과 수협 역시 OTP가 뚫려 인터넷 뱅킹의 문제점이 드러났다고 말했다. 아울러 OTP의 지속시간에 대한 문제점도 제기했다. 실험 동영상을 보면, OTP가 60초 단위로 비밀번호를 새로 생성해야 하지만 처음 피해자가 OTP 번호를 누르는 당시의 동영상 진행 시간이 1분 53초였고, 해커가 OTP 번호를 눌러 이체에 성공시킬 당시의 동영상 시간은 6분 7초로 나타났기 때문. 즉 한 개의 OTP 번호를 4분간 사용해 이체가 가능했다는 설명이다. 김 의원은 이론상으론 하나의 OTP번호를 1분 이내만 사용 가능하다고 덧붙였다.

이런 문제점이 제기된 것은 이번이 처음은 아니다. 2년 전에도 한 공중파 뉴스에서 인터넷뱅킹 이용시 OTP 번호 탈취가 가능하다고 보도돼 이슈가 됐었다. 이후 이런 취약점을 해결하기 위해 금융감독원과 금융보안연구원은 동시로그인이 되지 않도록 하는 방안을 제시한 바 있다. 이런 기법은 인터넷뱅킹 사용자가 계좌이체를 하는 동시 OTP 번호를 빼내 이용하기 때문에 동시로그인이 되지 않는 다면 돈을 빼낼 수 없기 때문이다.

그러나 농협과 같이 OTP 허점이 드러난 일부 금융사이트들은 동시 로그인에 대한 조치를 취하지 않아 이런 문제가 남아 있던 것으로 파악된다. 금융보안연구원은 작년 2월 이런 취약점에 대한 기술적인 조치로 동시접속에 차단 조치 권고 공문을  발송했던 것으로 알려지고 있다. 하지만 농협 측은 차세대 시스템 교체 등의 진행 절차로 인해 동시접속 조치가 지연돼 올해 11월까지 문제를 해결할 계획이었던 것으로 알려졌다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>