| 금액·계좌 바꿔치기! 메모리해킹, 어떻게 가능했나? | 2013.10.04 |
키보드 입력값 ‘후킹’ 방식으로 금융정보 가로채 PC 지정과 스마트폰 이용한 투팩터 인증으로 대응해야 [보안뉴스 김태형] 최근 은행의 정상 홈페이지에서 인터넷뱅킹 이체 거래 시 고객이 입력한 계좌 및 금액과 다르게 이체되는 메모리해킹에 의한 피해가 증가하고 있다.
정상적인 홈페이지에서 인터넷뱅킹 도중 보안카드번호 입력 후 거래가 더 이상 진행되지 않고 비정상적으로 종료되는 기존 방법과 다른 특징을 보이는 이 방법은 본지 확인 결과, 키보드 보안 시스템의 허점을 이용했던 것으로 나타났다.
공격자는 이용자 PC에 악성코드를 심어놓고 메모리 상의 키보드 입력값을 후킹하는 방법으로 키보드 입력 정보를 가로챘던 것. 즉 키보드와 본체 사이에서 오가는 정보를 가로채는 ‘후킹’을 이용하는 것으로 파악됐다. 이와 같은 방법은 키보드 보안 솔루션에서 모두 동일하다. 다만 키보드로 입력된 값을 치환하는 값은 각 키보드 보안 솔루션별로 차이가 있는 것으로 알려졌다. 하지만 공격자들은 각 보안회사별로 키보드 입력값의 치환값을 모두 파악하고 있고 이러한 정보들을 가지고 전자금융거래사기에 이용하고 있다는 얘기다. 이러한 보안위협에 대응하기 위해서는 금융권 등에 키보드 보안 솔루션을 제공하고 있는 기업들이 치환값 체계를 바꾸는 주기를 줄여야 한다는 주장이 제기되고 있다. 예를 들면 기존에는 6개월에 한번 치환값 체계를 바꾸었다면 이제는 3~4개월에 한번씩 바꿔야 한다는 것. 그런데 문제는 이용자들은 이러한 메모리 해킹 피해를 막기 위해 취할 수 있는 마땅한 방법이 없다는 것이다. 무엇보다 금융당국이 사용을 권장하는 일회용비밀번호생성기(OTP)도 공격자들은 키보드 보안과 같이 이용자들의 입력값을 탈취할 수 있어 OTP를 이용한 비밀번호 입력도 무용지물이 되는 셈이다. 특히, OTP는 거래정보와 상관없이 승인만하기 때문에 최근 메모리 해킹 사건 피해자도 OTP를 사용했지만 피해를 볼 수 밖에 없었다. 이와 같이 메모리 해킹의 위협은 인증과 관련된 모든 것, 즉 PC지정·PKI인증·키보드 보안 등 모두에 해당된다는 것이 보안전문가들의 의견이다. 이러한 보안취약성을 인식한 금융보안연구원은 몇 년 전부터 키보드 입력값의 후킹 방지와 금융사기 피해를 막기 위해 거래와 연동되는 OTP를 개발했고, 상용화를 위한 정책도 마련했다. 하지만 금융권에서는 별도의 입력 키 패드를 사용해 불편할 뿐더러 도입단가도 높다는 이유로 도입을 꺼리고 있다. 이와 같은 거래와 연동한 OTP는 별도의 번호입력 키패드를 사용해서 본인 계좌번호를 입력하면 이를 통해 일회용 비밀번호를 생성·입력해야만 본인 계좌에서만 금융 거래를 승인하는 방식이다. 즉, 사용자의 계좌번호 입력값으로 비밀번호를 생성해 입력하는 방식이기 때문에 해커가 이 OTP 번호를 탈취할 수도 없고 탈취한다고 해도 다른 계좌번호로 이체가 불가능하다. 이와 관련 한 보안전문가는 “결국은 투 팩터 지정 인증이 메모리 해킹에 대응할 수 있는 방안이다. 즉, 금융거래시 보안을 위해 PC지정과 키보드 보안을 가장 많이 사용하는 만큼 이에 대한 추가적인 보안대책을 마련해야 한다”면서 “예를 들면 PC지정 시에는 논리적 MAC 주소 이용을 금지하고 도용이 어려운 물리적 MAC 주소를 이용하거나 PC지정 정보가 해커에 의해 도용되지 않도록 PC지정 정보에 대한 위·변조 방지 대책을 적용해야 한다”고 말했다. 덧붙여 그는 “스마트폰을 이용해 추가적 비용이 발생되지 않는 투팩터 보안 인증을 통해 보안을 강화한다면 앞서 밝힌 바와 같은 키보드 입력값이나 OTP 입력값의 후킹을 통한 메모리 해킹 피해를 줄일 수 있을 것”이라고 밝혔다. 이와 관련 금감원 담당자는 “금융회사를 통해서 키보드 보안이나 PC지정에 대한 추가적인 보안강화 대책을 마련하라는 지침을 내린 상황”이라며, “이에 대한 조치가 완료된 곳도 있고 현재 보안대책을 마련 중인 곳도 있다”고 말했다. [김태형 기자(boan@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|
 |
