국정감사장에서 뚫리고 인터넷 뱅킹도 뚫리고...

공인인증서와 OTP 허점 속속 드러나

### 지난 9월 20일 행정안전부 국정감사장에서는 해킹시연이 진행됐다. 공격자가 PC에 악성코드를 설치해 행정안전부의 민원24시와 네이버, 국민은행의 화면을 훔쳐보고 비밀번호를 빼내는 시연을 행정안전부 장관을 앞에 두고 진행한 것. 이 시연은 개인의 PC가 공격자에 의해 주요정보를 탈취할 수 있으며, 더 나아가서는 국가 민원서비스와 금융서비스 등 주요 서비스의 보안이 공격자에 의해 무력화 될 수 있다는 시연이었다.

## 지난 8월 26일 SBS는 ‘거꾸로 가는 보안대책…선택권·자율성이 명분’이라는 제목의 기사에서, 사업을 하는 윤모 씨가 인터넷뱅킹으로 직원의 월급을 이체하다가 170만원이 누군가에 의해 중국인 대포통장에 이체됐다는 사실을 보도했다. 키보드보안 솔루션과 전송 암호화, 공인인증서를 비롯해 OTP까지 이용하고 있었지만 공격자에게 당했다는 이야기다.

# 지난 8월 중순 금융권에서는 OTP를 비롯해 공인인증서까지 무력화가 가능하다는 내용의 보고서가 각 금융기관에 전달된 것으로 보안뉴스는 파악하고 보고서를 입수했다. 보안뉴스에서 입수한 보고서에 따르면 보안솔루션과 연계되는 DLL파일을 리버스엔지니어링을 이용한 후킹방법으로 Export 함수가 추출돼 공인인증서 비빌번호를 패스워드를 알아낼 수 있고 OPT 역시 OTP에서 발행된 암호가 1분간의 유효시간에 공격자의 입력 방해 후 탈취가 가능하다는 내용이었다. 그러나 이 보고서는 여러 가지 이유로 금융권에서 자체적으로 폐기한 것으로 전해졌다.

“보안은 상황에 따라서 그리고 IT기술의 진보에 따라서 동반해 진화해야합니다. 그런데 2011년 10월 현재의 보안은 얼마나 시대에 발맞춰 있는지 검토해 봐야합니다. 만약 뒤쳐져 있다면 그동안은 안전했을지 모르지만 지금도 안전하다고 장담하기 힘든 상황입니다.”  -국내 보안전문가-

[보안뉴스 오병민] 보안전문가들은 우리나라의 이용자 보안체계가 현재 안전 위험 수위에 이르렀다고 이야기한다. 그동안 공격자들의 해킹공격기술은 지속적으로 진화하고 다양화되고 있지만 우리나라를 지탱하는 이용자 보안 체계는 이에 발맞추지 못하고 있다는 이야기다.

특히 공인인증서와 키보드보안 프로그램, OTP는 우리나라 이용자 보안체계의 핵심이지만 전문가들은 공격자들이 이미 이런 핵심 보안체계를 무력화할 준비를 완료했다고 강조한다.

이용자들이 금융거래를 하기 위해 키보드에 암호를 입력하면 암호가 키보드보안프로그램에 보호돼 공인인증서로 넘어단다. 그러나 넘어가는 과정에서 후킹이 가능하다. 그 이유는 키보드보안 프로그램의 DLL 파일에서 허점이 나타나고 있기 때문이다.

보안업계 한 전문가는 “키보드보안 DDL 파일에서 암호값을 공인인증서로 전달하는 익스포트(Export) 함수가 리버스엔지니어링으로 추출이 가능해 허점이 나타난다”면서 “이런 기법을 이용하면 공인인증서 비밀번호는 물론 OTP의 비밀번호 값도 추출해낼 수 있다”고 말한다.

KISA의 한 관계자는 “이 같은 문제는 이미 2005년에 거론됐던 문제로 당시 이 문제를 보완하기 위해 익스포트 함수가 노출되지 않도록 가이드까지 만들었다”고 말하면서 “그러나 개발회사들이 키보드 프로그램을 업데이트 하면서 이 가이드에 맞춰 시큐어코딩을 하지 않는 경우라면 문제가 있을 수 있는데 그런 문제를 지속적으로 세세하게 체크하기는 힘들다”고 말했다.

보안업계의 한 전문가는 이런 상황이라면 OTP도 보안성을 장담할 수 없다고 이야기한다. 그는 “OTP에는 60초라는 인증유효시간이 존재하고 있는데 이는 사용자는 OTP번호를 부여받고 받은 번호를 60초 안에 입력하는 하도록 하는 것”이라면서 “그러나 OPT 암호가 DLL 후킹으로 빼내질 수 있는 상황에서 60초라는 시간은 충분히 무력화 할 수 있다”고 설명한다.

공격자가 입력대기시간 60초 안에 사용자가 입력한 암호만 빼내고 암호가 전달되는 것을 방해하면 공격이 성공할 수 있다는 이야기다.

대안은 없는가?

사실 보안업계에서는 공인인증서나 OTP 문제에 대한 대안을 서둘러 준비 중인 상태다. 이 같은 문제는 기존의 보안체계가 PC기반이기 때문에 나타나는 문제이기 때문에 PC기반이 아닌 스마트폰이나 전화를 이용한 2채널 인증 방식이 거론되고 있다.

보안업계의 한 관계자는 “사실 그동안 2채널 인증방식의 검증방법은 불편하다는 이유로 도입이 꺼려왔지만 지금은 2채널 인증방식이 다양화되고 불편함도 줄어들고 있다”면서 “이에 따라 최근에는 온라인게임업체들도 전화인증과 같은 2채널 인증을 많이 이용하고 있다”고 말한다.  

OTP 역시 보안성 강화를 위한 노력이 진행되고 있다. 금융보안연구원의 한 관계자는 “현재 지금의 OTP의 보안강화를 위해 거래연동 OTP를 도입하고자 한다”면서 “거래연동 OTP는 거래계좌와 전자거래 정보를 담고 있어 사용자가 입력한 계좌에서만 유효한 비밀번호를 발생하기 때문에 지금까지 거론된 문제를 모두 차단할 수 있을 것”이라고 설명했다.

보안업계 한 전문가는 “더욱 강화되고 새로운 보안수단도 필요하지만 문제는 이를 받아들이려는 주체들이 손놓고 있다는 것”이라며 “정부 민원이나 금융권 등 주요서비스는 국민의 주요정보와 민감한 서비스이기 때문에 보안 강화에 대한 노력을 더욱 기울여야 할 것”이라고 지적했다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>