| [생활 속 안전실천⑦] ‘인터넷뱅킹 보안위협 바로알기’ | 2013.08.16 |
정부·금융 기관·개인의 삼박자 노력 필요...
해커가 금전을 탈취하기 위한 목적으로 대형 은행 시스템에 직접 침투하는 것은 쉬운 일이 아니다. 따라서 해커들은 조금 더 수월한 개인 PC를 노린다는 것이 전문가들의 공통된 의견이다. 여기서 개인 PC란 기업에서 직원이 사용하고 있는 PC도 포함되는 개념을 의미한다. 특히, 공격자는 모든 수단과 방법을 동원해 기업 내 개인을 포함한 사용자의 금융정보를 빼내가려고 시도한다. 이러한 시도 방법에 대해 안랩 측은 “우선 피싱메일, SNS의 URL, P2P사이트, 악성코드를 포함한 메일, 배너광고, 프로그램의 보안 취약점 등 광범위한 수단을 통해 악성코드를 감염시킨다”며 “악성코드를 침투시키면, 그 이후에는 금융정보를 탈취하기 위한 가능한 모든 시도를 실행한다”고 설명했다. 최근에는 해커가 개인 사용자의 PC에 침투해서, 감염된 PC로 특정 은행 사이트를 방문하는 경우도 있다. 해커는 은행 사이트 방문 시 보안을 위해 자동으로 구동되는 키보드 보안솔루션과 공인인증서 등 보안모듈의 메모리를 해킹해 개인의 금융 정보를 유출하는 것이다. 이러한 악성코드가 국내에서 발견된 바 있다. 즉, 사용자는 정상 은행사이트를 이용하는 과정에서 자기도 모르게 금융정보를 탈취 당한다는 것이다. 이렇듯 금전탈취를 목적으로 공격하는 해커들의 수법들이 갈수록 지능화되고 교묘해지고 있다. 일례로 지난 2010년, 해외 모 기업의 경우 재무 담당직원이 피싱 메일에 속아 인터넷뱅킹 접속용 OTP정보를 포함한 로그인 정보가 모두 해커에게 유출되었고, 55만달러가 해커에 의해 해외로 송금되는 결과가 발생한 바 있다. 긴 법정 공방 끝에 법원은 은행의 책임으로 판단했지만, 이는 기업과 은행이 모두 해커에게 속은 예시로 기업과 은행 모두 기업 이미지가 실추를 면할 수 없게 되었다. 이러한 사례와 관련 안랩 측은 “공격자들은 은행의 시스템을 직접 노리기보단 다양한 방법으로 개인의 PC에 악성코드를 심어 감염시키는 것을 공격의 첫 행위로 삼고 있다. 이점은 보안 사고가 개인의 잘못이라기 보단 현 보안의 트렌드”라고 밝혔다. 하지만 일각에서는 보안위협과 피해자가 실제 발생한 것과 관련해 특정 솔루션을 사용하거나, 혹은 금융권에서 사용하는 특정 프로그램을 사용하지 않는다면 은행보안 사고가 대부분 없어질 것이라는 주장이 제기된 바 있다.
[김경애 기자(boan3@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|
 |
[보안뉴스 김경애] 인터넷뱅킹 이용자가 모바일 뱅킹 사용자를 포함해 8000만명을 돌파한 요즘, 인터넷 뱅킹 보안위협도 덩달아 증가하고 있다. 특히, 인터넷뱅킹 관련 사고가 잇따르면서 사용자들의 피해가 늘고 있다. 뿐만 아니라 그 수법이 갈수록 교묘해지고 지능화되고 있어 사용자들의 주의가 각별히 필요한 실정이다.