신종 해킹 기법엔 여전히 취약해

전자금융거래법 악용한 공격자에 속수무책

<2007년, 금융기관들은 보안에 사활 을 걸고 있다.> ⓒ보안뉴스

2007년 1월 1일부터 새롭게 시행된 전자금융거래법은 금융사고 발생시 은행의 책임을 강조하고 있다. 자연스럽게 금융권의 보안강화를 유도하는 법이라고 할 수 있다.

그래서 전자금융을 실시하고 있는 금융권에서는 연초부터 정신이 없는 상황이다. 새 법규내용 골자는 전자금융거래의 장애 및 보안사고 발생시, 원인 규명과 배상에 관한 금융기관의 책임 소재를 규정한다는 것이다. 이는 금융기관에 비해 상대적 약자인 이용자들의 권익을 보호한다는 취지를 가지고 있다.

 

◇전자금융법 악용과 새로운 해킹기법 대응 시급

<전자금융 풀어야할 숙제들. 그 한계와 잠재 과제들 목록> 자료제공: 잉카인터넷 ⓒ보안뉴스

 

새로운 거래법에 따르면, 금융기관은 사고 신고가 접수되면 사용자의 고의나 중과실이 있는지 입증할 책임이 있으며, 입증하지 못하면 배상을 해야 한다. 물론, 사고가 날 경우 입증을 위한 복잡한 절차도 금융기관이 감수해야 한다.

잉카인터넷 E-Biz 사업본부 유인향 차장은 “이 법을 악용해 금융권을 상대로 사기를 치려는 사람이 발생할 수 있다. 가령, A와 B가 서로 짜고 A에게 공인인증서와 OTP 등 모든 금융 인증매개체를 넘겨주고 B의 계좌에서 2,000만원을 인출해가도록 한다. 그 후, B는 은행에 가서 내 돈을 누군가가 빼갔다. 빨리 물어내라고 한다면 은행에서는 B의 과실을 입증하지 못하는 이상 고스란히 돈을 물어줘야 하는 상황이 발생할 수 있다”고 경고했다.

즉, 인증수단으로 사용되고 있는 패스워드, 공인인증서, OTP, 보안카드 등도 완전한 보안을 보증한다고 볼 수는 없다는 것이다. 실제로 누가 이 수단들을 사용했는지 은행은 알 수 없기 때문에 돈을 물어줘야 한다.

한편, 유 차장은 “중간자형 공격(MITM: Man In The Middle)을 사용하면 기존 보안매체들은 조작이 가능해지고 다른 곳에 정보를 입력하게 해 이 정보를 빼내갈 수 있는 취약점이 존재한다”고 말했다. 이 공격을 이용하면 중간에서 해커가 계좌번호 등을 조작해 자신의 통장으로 계좌이체 시킬 수 있다. 이렇게 되면 모든 인증수단들은 무용지물이 된다.

이외에도 현재 금융보안 시스템은 전통적 PC 해킹을 막기 위한 시스템으로 신종 수법에는 무방비로 당할 수밖에 없는 상황이다. 또, 트로이목마와 피싱형 등의 사회공학적 공격에 취약한 것으로 전문가들은 지적하고 있다.

최근 사회문제가 되고 있는 전화를 통해 국세청이나 검찰청 직원이라고 사기를 쳐 돈을 빼가는 것도 막을 길이 막막하다. 또 고전적인 폰 뱅킹 도청을 통한 공격에도 취약점은 여전히 존재하고 있다.    

현재 은행에서는 이와같은 취약점에 대응하기 위해 준비를 하고 있다고 한다. 금융감독원과 금융보안연구원에서도 개정법에 맞는 보안 시스템을 만들기 위해 고심중에 있다. 하지만 갈 길이 먼 것만은 사실이다.  

◇전자금융거래 보안... 대안은 없나

잉카인터넷 주영흠 대표는 “현재의 전자금융거래 시스템은 일방향 거래 방식이기 때문에 사회공학적 공격에 약점을 드러낼 수 있다. 반드시 양방향 환인 거래방식으로 전환이 필요하다”고 강조했다. 거래가 발생할 때, 이용자에게 거래 승인을 은행에서 다시 한번 받아야 한다는 말이다.

주 대표는 또 “현재 인증수단으로 사용하는 모든 매체들은 모두 실제 정보를 입력하고 있어서 어디에서 노출될지 알 수가 없으며, 이미 노출됐을 수도 있다. 모든 패스워드 형의 접근 매체는 사용자의 머릿속에만 보관하고 노출되지 않아야 한다. 실제 정보를 어디에도 입력하지 못하게 하는 입력 체계의 변화가 필요하다”고 강조했다.

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>