| 日 금융보안 현황 들어보니...보안교육 시급 | 2013.08.28 |
일본 금융권, 모바일뱅킹 증가...인터넷뱅킹은 ID와 패스워드만으로 [보안뉴스 김태형] 일본의 인터넷 뱅킹 보안강화를 위해 가장 중요한 것은 최신 보안동향을 조사해 이에 대응할 수 있는는 최신 보안 솔루션을 도입하는 일과 금융보안 관련 교육인 것으로 나타났다.
넷무브는 일본 금융시장을 타깃으로 보안서비스 SaAT와 결제대행 서비스 관련 사업 등을 하고 있는 기업으로 일본의 주요 은행과 거래하고 있다. 일본은 시중은행인 메가뱅크가 5개, 신탁은행이 16개, 지방은행이 64개, 제2지방은행이 41개 등 여러 은행들이 있다. 사와다 대표는 “일본에서는 지난 1997년 1월 스미토모 은행에서 처음으로 인터넷 뱅킹을 시작했다. 현재는 대부분의 은행에서 혼잡 완화와 업무 분산을 목적으로 인터넷 뱅킹 서비스를 제공하고 있지만, 최근 스마트폰 이용이 늘어나면서 스마트폰을 이용한 모바일 뱅킹이 증가하고 있다”고 말했다. 이러한 일본 은행들의 인터넷 뱅킹 시스템은 메가뱅크의 경우, 자체 시스템을 사용하고 작은 지방의 은행들은 특정 벤더에서 제공하는 시스템을 사용하고 있다. 특정 벤더의 시스템을 사용하는 은행들은 타사와 차별화되는 보안대책을 중요하게 생각해 도입한다는 것. 이러한 이유는 최근 급증하는 인터넷 범죄 때문이다. 특히, 일본은 보이스 피싱을 통해 예금을 가로채거나 통장과 현금카드의 위조·도난으로 인한 피해, 그리고 ATM기 소매치기 등의 피해가 크게 증가하고 있다. 하지만 본격적인 사이버 금융범죄는 지난 2005년 미츠비시 도쿄 은행을 사칭한 이메일이 일본 내에서 처음 발견됐던 것으로, 그후 2011년까지는 크게 늘어나지 않았다는 게 사와다 씨의 설명이다. 이어 사와다 씨는 “하지만 지난 2012년 들어서 사이버범죄 피해신고가 급증했다. 다른 범죄에 비해 피해규모는 작지만 은행별 대책이 시급한 상황”이라면서 “올해 사이버범죄 신고건수는 398건, 3억6천만 엔으로 이는 과거 가장 많았던 2011년 165건, 3억8천만 엔보다 2배 이상 많은 것”이라고 설명했다. 이러한 범죄 대부분은 악성코드(85%)에 의한 것으로 54개 금융기관 136계좌가 피해를 입었으며, 피싱(15%)을 통해서는 2개 기관 24계좌가 피해를 입은 것으로 조사됐다. 사와다 씨는 “이에 일본은행들은 보안대책으로 키보드 보안 솔루션이나 EV SSL(확장 유효성 검사, Extended Verification SSL) 등은 도입했지만, PKI(공개키 기반 구조)는 많이 사용하지 않는다. 오직 아이디와 비밀번호만 가지고 사용하고 있다”라고 설명했다. 이 외에 기타 보안 솔루션들은 은행 정책에 따라 각각 적용하기 때문에 은행별로 보안상황이 다른 게 일본 금융권의 특징이다. 특히, 브라우저를 지원하는 PKI는 법인 뱅킹에서만 도입됐으며 OTP는 일본에서 그리 많이 알려지지 않다는 것. 대부분의 일본 은행들은 로그인 시에는 계약자 번호와 제1 비밀번호 입력, 출금 시엔 난수표에 의한 제2 비밀번호 입력, 조건변경(한도액 인상 등) 시는 사용자 임의 설정 비밀번호 입력이나 제3 비밀번호 입력 등의 단계별 보안 인증을 통해 인터넷 뱅킹이 가능하게 되어 있다. 이러한 상황에서 일본에서는 악성코드 감염자가 정상은행 사이트에 접속해 로그인 하면 조작된 팝업 창이 표시되고 이를 통해 자신의 금융정보를 입력해 피해를 입거나 ‘보안을 강화하라’는 내용의 이메일로 피싱 사이트로 유도해 금융정보를 빼내는 방법 등으로 피해를 입는 사례가 잇따르고 있다. 우리나라가 한창 겪었던 피해사례가 일본에서도 현재 큰 문제가 되고 있는 셈이다. 사와다 씨는 “이처럼 일본의 사이버범죄 수법은 날로 교묘해지고 다양하게 진화하고 있다. 또한, 사이트 중지 및 발견을 지연시키는 등의 날로 지능화되고 있다”면서 “특히, 제우스나 스파이아이 등과 같은 툴 깃의 진화로 인해 향후에는 안드로이드기반으로 공격하는 것이 주류를 이룰 것”이라고 전망했다.
[김태형 기자(boan@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|
 |
