• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[특집]금융정보 해킹에 ‘속수무책’ 2010.05.05

지난 2009년에는 유난히 인터넷뱅킹 해킹과 같은 금융보안 사건ㆍ사고가 많이 발생했다. 특히 사용자들이 금융보안에 대해서 중요하게 생각하지 않는 부분도 있지만 시스템과 정책적으로도 미흡한 부분이 많은 것도 사실이다. 이에 금융감독원은 스마트폰에서 이루어지는 인터넷뱅킹에도 공인인증서 등의 사용을 강제하고 PC 인터넷뱅킹 서비스와 유사한 보안 수준을 적용할 계획을 발표하기도 했다.

또한 금융보안연구원도 금융기관 회원사를 대상으로 실시중인 금융보안적합성 시험 서비스를 확대하기 위해 최근 실험실을 확장하고 해당 전문 인력을 보강하는 등 다양한 최신 전자금융보안제품을 시험할 수 있는 환경을 구축했다. 이러한 모든 것이 보안을 위해서 필요한 조치이다. 하지만 이 외에도 금융회사와 이용자들의 보안의식과 이러한 조치들을 잘 준수하면서 사용하는 것도 중요하기 때문에 금융보안에 대한 정부기관의 홍보와 교육도 필요하다.   

끊이지 않는 금융보안 사고

금융권과 사용자, 양방향 보안강화 대책 필요

최근 은행 등 금융권과 금융 이용자들에게 금융사고와 직결되는 해킹이나 보안카드 도용 등, 금융정보 관리 부주의로 보안망에 구멍이 뚫려 빈번하게 사고가 발생하고 있다. 이에 따라 사이버 금융보안 사고에 대한 보안대책 마련이 시급하다는 주장이 끊임없이 제기되고 있다. 특히 사용자 부주의로 인한 과실과 함께 단방향적인 사이버 금융보안정책이 문제점으로 지적되고 있다.


우리의 사이버금융 시스템은 세계 최고 수준으로 평가되고 있지만 그에 걸맞은 보안 시스템 부재는 명성에 걸맞지 않는 문제점으로 나타나고 있다. 금융거래의 83%가 전자적으로 처리될 만큼 많은 사용자들은 인터넷 금융 거래에 익숙해져 있는 상황이지만 보안사고에 대한 불안은 항상 가지고 있다. 일단 안전성이 제일 강조되는 인터넷 금융에서 발생한 사고이기 때문에 나타나는 불안감도 있지만 사고만 났다 하면 은행과 각계 기관이 원인과 결과를 숨기고 있기 때문에 신뢰를 주지 못해 나타나는 불안감이 더 크다는 반응이다.

 

2005년 6월 한 은행에서 해킹 사고가 발생하면서 사이버금융보안 체계에 대한 의문이 제기되기 시작했다. 당시 해킹한 범죄자는 키보드의 입력 값을 빼내 인증서 번호를 알아내고 이를 통해 알아낸 개인정보로 새로 인증서를 발급받아 돈을 빼내다 붙잡혔다. 그동안 은행들은 공인인증서와 보안카드를 이용하기 때문에 해킹이 불가능하다고 주장했지만 이때 사고로 보안에 대한 문제가 본격적으로 제기되기 시작했다.

 

5년이 지난 지금도 여전히 시중은행들은 해킹에 속수무책이다. 개인정보 및 접근매체 유출로 인터넷뱅킹을 통한 금융보안사고가 급증하면서 피해액도 수 억원에 달하고 있다. 과거에는 전산오류, 폰뱅킹, 전자상거래, 현금카드 불법복제 등이 대부분이었는데 지난 2008년부터 해킹을 통해 유출된 개인정보를 이용한 인터넷뱅킹 범죄가 주류를 이루고 있다. 그만큼 전자금융 보안에 구멍이 뚫리고 있다는 증거다.


해킹으로 인한 ID, PW유출로 피해

지난해 하나은행의 인터넷뱅킹이 해킹을 당해 2,100만원이 빠져나간 사건이 바로 대표적인 예다. 하나은행의 한 고객은 지난 8월 인터넷뱅킹 범죄에 이용됐던 IP가 자신의 계좌에 접속한 사실을 은행에서 보낸 문자메시지를 통해 알게 됐다. 그는 곧바로 인증서를 바꾸고 콜센터에 전화해 인출 정지를 요청했지만, 이미 돈은 2,100만원이나 빼내간 후였다. 하나은행 고객 PC에 입력한 ID, PW 등이 실시간으로 사용자 키보드 입력 내용을 빼가는 ‘키로그(Key Log) 프로그램’을 통해 개인정보가 유출된 것이다. 지난해 4월에는 우리은행 인터넷 뱅킹 고객의 계좌가 해킹을 당해 640만원이 무단으로 인출되기도 했다.

 

지난 2008년에는 저축은행 해킹 사건이 많았다. 5월 말 경찰에 의해 붙잡힌 대부중개업자는 2007년 4월 대부중개업체를 설립하고 함께 구속된 미국인 해커를 고용해 2009년 초까지 1년여 간 제 2금융권 저축은행 7곳의 시스템을 해킹했다. 이뿐만이 아니었다. 이들은 또 270개 기관의 시스템에 전격 침투하기도 했다.

 

이러한 피해 재발을 막기 위해서는 은행들이 지금이라도 자체 인터넷뱅킹 시스템의 보안강화 대책을 마련하는 것이 시급하며 개인들은 공인인증서 관리나 비밀번호 관리에 만전을 기해야 한다는 것이 전문가들의 견해다.


사용자 보안의식 결여 ‘심각’

최근 인터넷뱅킹을 통해 돈을 빼낸 중국 악성 해커와 범죄 일당이 중국공안과 경찰에 붙잡힌 사건이 있었다. 검거된 중국인 악성해커 2명은 모두 83건 86명의 한국인의 계좌에서 4억 4,000만원을 편취한 것으로 드러났다.

 

이들은 인터넷뱅킹 이용자들이 이메일 계정이나 개인 PC에 보안카드 등 금융정보를 스캔 복사해 저장겫린?사용하는 등 관리 소홀을 틈타 범행을 벌였다.

전문가들은 잇달아 나타나고 있는 사이버금융사고의 문제점을 사용자들의 보안의식 결여에서 찾고 있다. 최근 밝혀진 사고가 대부분 보안카드나 개인정보 관리의 허점에서 나오고 있다고 보고 있기 때문이다.

 

보안업계의 한 관계자는 “사용자 PC의 악성코드 감염은 키로거나 메모리해킹 등 인터넷 뱅킹 해킹 사고의 주 원인이 될 수 있지만 아직도 사용자의 PC에 예방 백신이나 실시간 감지 툴이 설치되지 않은 경우도 적지 않다”며 “아직도 많은 사용자들이 보안에 돈을 들이는 것을 낭비라고 생각하는 경우가 많은데 최소한 최근 보급되고 있는 무료백신이라도 설치하는 것이 좋다”고 조언했다.

 

그러나 사용자의 보안취약에 대한 과실도 문제지만 단방향적인 사이버 금융보안정책도 문제라는 의견도 나타나고 있다. 금융감독원은 2005년 키보드해킹에 의한 사고가 발생하자 키보드보안 프로그램을 의무적으로 도입하도록 했고 2007년부터는 OPT를 이용하도록 강조했다.

 

즉, 정부의 의무적인 보안솔루션 도입권유로 인해 사이버금융보안 기술이 일방적으로 치우치게 됐다는 것. 결국 다른 기술과의 경쟁으로 인한 발전이 필요했지만 은행권 보안강화를 위한 의무화가 오히려 이를 저해하는 요소가 됐다는 주장이다.

<글 : 김태형 기자(is21@boannews.com) | 호애진 기자(is@boannews.com) | 오병민 기자(boan4@boannews.com)>


[월간 정보보호21c 통권 제116호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>