모든 온라인 보안 솔루션은 각기 특성이 있다!

기업이 꼭 해야 할 일 중에서 고객 정보보호는 최근 가장 중요한 업무 중 하나로 분류되고 있다. 이와 관련된 소프트웨어들에 대해 알아보기로 하자.

온라인 사기는 최근 전자상거래와 인터넷뱅킹이 크게 증가하면서 온라인 거래 시스템을 위협하는 가장 큰 요소가 되고 있다. 실제로 피해사례도 늘고 있어 이러한 온라인 사기를 방지하기 위한 대책으로 관련 프로그램들이 주요 제품으로 인식받고 있는 것은 당연한 결과이다. 따라서 온라인 사기가 증가함에 따라 그러한 사기를 감시하고 방지하는 프로그램들도 앞으로 기능적인 면에서 더욱 강화되고 판매도 증가될 전망이다.

온라인 사기의 주요 방법 중 하나는 피싱을 이용하는 것이다. 피싱기법은 계속해서 발전해왔고, 최근 더욱 정교해져서 일반인들이 피싱 사이트를 알아보고 이를 방어하기란 쉽지 않은 상황이다. 또 피싱뿐만 아니라 다른 침입수법도 점차 정교해지고 있어 방어 솔루션에 대한 관심도 높다.

솔트레이크 시티에 있는 시온 은행(Zion Bank) 사장 리 카터(Lee Carter)는 “온라인 사기 범죄자들은 공격수법을 더 정교하게 만들고 있다. 예전에는 글자나 문법적인 실수 등이 많아 조잡한 형태의 위조 메일을 찾아내기가 쉬웠다.  그러나 최근에는 이메일은 더 잘 다듬어지고 믿을만하게 보이도록 잘 꾸미고, 해당 기관의 말투와 성격까지도 흉내내고 있어 찾아내기가 힘들다”고 밝혔다.

하지만 여러 전자상거래 사업장에서 구매자의 휴대폰에 실시간 본인 인증 서비스를 실시하고 있고, 또 사용자의 이름, 암호, 은행계좌번호 등을 갈취하는 키로깅 프로그램을 사용하기 어렵게 만드는 다른 방법들을 포함한 몇몇 혁신적인 기능을 포함하는 다양한 보안기술들을 도입하고 있다.

온라인 사기방지 분야에서 가장 큰 기업은 베리사인, RSA Security(최근 EMC에 인수됨), 그리고 엔트러스트(Entrust)이다. 이들 각각의 기업들은 연방금융기관조사위원회(FEIEC)의 지침을 만족시키기 위해 사용되는 다수의 제품군을 가지고 있으며, 비금융회사도 이 회사들의 제품사용이 가능하다.

이 대규모 3개 회사와 함께, 다수의 소규모 정보보호 기업들이 한두가지 전문 영역들을 가지고 있다. 그렇다면 이 많은 제품들 중 어떻게 적절한 제품을 고를 것인가가 문제다. 그것은 쉽지 않은 문제다. 가격이 어느 정도 되는지도 파악해야 하고 관련 웹 사이트를 들어가보면 구조적인 설명들이 너무 길어 알아보기 힘들다. 그래서 사용자들은 항상 제품관련 정보들이 부족한 실정이다. 여기서는 해당 기관에서 필요한 가장 적합한 솔루션을 선택하도록 도울 수 있는 어떤 실제적인 지침을 도출해내기 위해 여러 벤더들과 나눈 이야기를 근거로 도움이 될 수 있는 정보를 제공하고자 한다.

단순한 해결책 ‘無’

연방금융기관조사위원회(FEIEC) 지침서를 살펴보면, 금융기관들은 자금전송, 고객의 신원, 계좌정보에 접근할 수 있는 권한 등을 인증하는 인증체계 강화를 권장하고 있다. 이를 통해 무단으로 정보에 접근하는 자를  탐지하고 방어하는 것이 중요하다. 금융기관은 자금의 전송이 실시간으로 이루어지기 때문에 인증절차가 중요하고, 이러한 인증절차를 강화하면 돈을 노리는 공격자들로부터 고객의 돈을 안전하게 보호할 수 있게 된다.

온라인 사기방지 솔루션 벤더인 사이델리티(Cydelity)의 밥 시콘(Bob Ciccone) 사장은 “전자상거래 시장에서 입금이 되더라도 바로 배송이 되는 것이 아니기 때문에, 전자상거래 기업은 입금후 배송이 이루어지기 전단계에서 사기인지 아닌지를 판단해 낼 수 있는 탐지 시스템을 적절히 사용해야 한다”고 밝혔다. 한편, 불안한 점은 강화된 인증체계로 인해 고객들이 불편해할 수 있다는 것이다. 즉, 고객의 안전을 위해 만든 인증체계가 고객들이 불편해 한다면 금융기관에서 적극적으로 도입을 꺼릴 수도 있기 때문이다.

산업분석회사인 451 그룹 시니어 분석관이자 보안업무 책임자인 닉 셀바는 “망막 스캔이나 지문 판독기 같은 바이오메트릭 인증기술은 일반인들이 ‘24’와 같은 TV쇼에서 본 것처럼 완벽하게 작동할 것이라고 여기고 있다. 하지만 바이오 인증제품들도 완벽하진 못하다는 것을 알아야 한다”고 밝혔다. 즉, 아무리 뛰어난 기술분야라 할지라도 방대한 시장에서 광범위하게 사용될 만한 제품은 아직 없다”는 것이다.

그는 또 “E*트레이드는 RSA의 시큐어 ID를 자기자본이 많은 무역업자들이 주로 사용하고 있다. 그런데 흥미로운 것은 굳이 보안촉구 예산을 실행하지 않아도 시장에 의해 자연스럽게 실행된다는 것이다. 이렇게 하면 사람들은 계좌를 보호할 때 안전하다고 느끼지만, 실제로 하드 토큰을 광범위한 고객에게 활용하는 것은 비실제적이고 비용도 비싸다”고 말했다.

지침서와 관련된 첨부 문서들은 피싱 공격자들과 개인정보 갈취자들이 정보를 빼가는 것을 어렵게 만드는 방법을 제시하고 있다. 그러나 온라인 기업들이 전자상거래시에 우려는 많지만 막상 사용 솔루션은 비슷하다고 생각하고 있다. 그래서 대부분 중소기업 전자상거래 사이트 기업들은 자기 회사에 맞는 솔루션을 사용하는 것이 아니라, 은행이나 대규모 사업장에서  사용해오던 제품들을 무작정 믿고 사용하는 경향이 있다.

 

솔루션의 선택

우리는 대규모 은행들이 사용하는 온라인 시스템이 서로 통합되었다는 점에서, 이들 은행들에 솔루션을 공동으로 공급하는 대형 3사에 대해 솔루션 관련 조사를 실시했다. 조사시, 우리는 가격에 대해서는 여러가지 조사를 하지 않았다.

왜냐하면 각 솔루션별로 가격이 천차만별이기 때문에 그에 대한 조사는 일단 접어두고 시작했다. 또 이들 3사는 가격보다는 해당 은행에 맞게 맞춤형 컨설팅을 통한 솔루션을 제공하고 있어 가격은 큰 의미가 없는 것으로 조사됐다.

또 우리는 전형적인 전자금융거래 은행을 제외한 또 다른 형태의 금융거래 기업에 대해서는 조사를 하지 않았다. 하지만 이들 중 2Checkout.com과 체크프리(CheckFree) 같은 몇몇은 이 솔루션들 중 하나 이상을 채택하고 있는 것으로 나타났다. 이 조사에서 이러한 제품을 사용하는 다른 어떤 회사라도 주의 깊게 참고해야 할 몇 가지 주요 문제들을 발견했다.

 

클라이언트 소프트웨어. 어떤 제품들은 특정한 소프트웨어 클라이언트, 쿠키, 혹은 플래시 제품이 사용자의 장비에 설치될 것을 요구하는 반면, 다른 제품들은 클라이언트 PC에 전혀 무리를 주지 않고 작동하는데, 이것을 ‘제로 터치’라고 부른다. 이것은 중요한 문제다. 기업이 제공하는 솔루션은 사용자 상황에 좌우되어서는 안된다.

왜냐하면 고객들이 기업에서 제공하는 소프트웨어를 막아버릴 수도 있고, 그들이 기존에 사용하던 PC를 바꿔 버리면 문제가 발생하기 때문이다. 몇몇 솔루션 공급업체들은 기업 고객에게 선택권을 부여하고 있다. 이것은 어떤 금융기관이 고객 컴퓨터 상의 클라이언트 소프트웨어에 대한 확고한 정책을 가지고 있는 것과 마찬가지라고 볼 수 있다.

즉, 금융권에서 제공하는 솔루션이 개인 PC에 상관없이 무조건적으로 적용되는 것과 사용자가 선택해 적용할 수 있는 두가지 방법을 말한다. 두가지 방법 모두 장단점이 있다. 클라이언트리스 솔루션은 불법 PC를 확인하기가 어렵다. 쿠키를 사용하거나 클라이언트 PC 상에 정보를 저장하는 브라우저 기반(액티브X 혹은 자바 스크립트를 말한다) 오브젝트를 실행하는 것은 고객이 그 PC를 사용하고 또 다른 전송을 위해 이 커머스 사이트로 돌아왔을 때, 인식을 용이하게 한다.

그리고 사이트 소유자에게는 그 PC의 불법 사용을 입증하기 쉽도록 한다. 그러나 이것은 쿠키나 액티브X가 PC에 정보를 저장하는 것을 막는 고객들에게는 문제가 될 수 있다. 대부분의 소규모 솔루션 제품들은 클라이언트 잔여물 없이 실행되도록 설계된 반면, 대형 3사에서 만든 제품들은 둘 중 하나만 지원할 수 있다.

베리사인(VeriSign) 제품관리사인 케리 로프터스(Kerry Loftus) 이사는 “우리는 소비자들의 편의를 위해 완전히 클라이언트리스를 유지할 수 있는 선택권을 가지고 있다. 그래서 이용자들의 부담을 덜어 줄 수 있다. 그러나 이용자만 생각할 수 없기 때문에 은행에서 요구하는 이용자 PC와 솔루션의 관계에 대해 은행측이 알기 쉽도록 설명을 하고 있다”고 말했다.

모든 온라인 사기감시 및 방지제품들은, 고객이 어떤 특정한 위치를 통해 이 ISP 상에서의 어떤 특정한 IP 어드레스로부터 하루의 어느 시각, 일주일의 어느 날에, 어떤 특정한 웹 브라우저를 사용하는지와 같은, 공통적인 사용유형과 각 전송작업의 특징을 찾아준다. 이용자들은 가정이나 직장에서 여러 대의 PC를 사용하지만, 이 이용자가 주로 들리는 사이트는 어떠한 전자금융거래 사이트에 로그인한다는 데이터를 가지고 있다.

즉, 이용자가 주로 사용하는 사이트를 인식하고 있다가 만약 사기 사이트가 이 이용자에게 접근한다면 이때 위험을 알려주는 역할을 하는 것이다. 이용자의 의도와는 달리 의외의 사이트가 이용자에게 접근할 경우 이를 사기 사이트로 보고 대응하는 식이다.

 

기반장비에 미치는 영향. 솔루션을 도입하기 전, 유의해야 할 사항이 있다. 기존에 운영하고 있던 시스템들과 솔루션이 잘 연동이 되느냐 안되느냐를 파악하는 것도 중요하다. 이러한 시스템들을 지원하는 기존의 제품 데이터 흐름과 서버에 어떤 변화를 주어야 하는지 고려할 필요도 있다.

고객 PC에 어떠한 부담도 주지않는 몇몇 제품들이 있는 것처럼, 제품 네크워크와 기존 전자금융거래 시스템 코드에 어떤 수정도 없이 인라인 상태로 작동하는 제품들도 있다. 빠른 도입을 원하는 기업들은 그들의 제품 서버를 건드리지 않는 제품에 분명 더 많은 관심을 보일 것이다.

예를 들어 코브라이트 시스템즈, 엔트러스트와 시델리티는 고객의 PC내에 설치되고, 네트워크에 들어오는 트래픽을 근본적으로 획득하는 응용프로그램들을 판매한다. 코브라이트(Covelight) CTO 가스 소머빌(Garth Somerville)은 “우리는 단지 클라이언트 네트워크 상의 스팬 포트나 실제적인 네트워크 탭으로의 액세스가 필요하다”고 말했다.

어느 수준까지 탐지가 가능한가. 그렇다면 사기 사이트를 어디까지 탐지할 수 있느냐도 중요하다. 기업에서는 어느 정도 수준의 탐지를 원하는지를 선택해야 한다. 즉 일반적인 탐지와 아주 세밀한 탐지 사이에서 결정을 내려야 한다는 것이다.

그렇다면 관연 이들 탐지 소프트웨어들이 개별적으로 발송되는 사기전송을 적절히 판정할 수 있을까, 아니면 단지 불법 PC들이나 키로거들로부터의 잠재적인 사기 로그인을 방지하는 것에 기능이 한정된 것일까? 그리고 그것이 피싱 공격을 위한 사이트 복제 같은 다른 악성행위를 탐지할 수 있을까?도 의문이다.

예를 들어, 피싱 공격자들은 이러한 탐지 시스템을 피해가기 위해 자신들이 악용할 피해 사이트를 획득한 다음, 피싱 정보를 발송하기 전에 탐지를 피하기 위한 모든 노력을 기울일 것이다. 피싱 공격자들은 그들이 목표로 한 전자금융거래 사이트의 메인 페이지를 우선 복사해 이와 아주 유사한 사이트를 구축하는 것을 먼저 하게 된다. 이들은 이 메인 페이지를 위조해 웹 상에 비슷한 URL로 저장한다.

그 다음 불법으로 획득한 대규모 이메일 주소를 불법발송 프로그램에 저장하게 된다. 그후 엄청난 대량 메일을 방출한다. 이때 피해자들이 메일을 받고 사기 사이트로 접속할 수 있도록 메일 내용을 교묘하게 만들어 발송하게 된다. 이러한 피싱 사이트를 구분할 수 있는 방법은 무엇일까?

예를 들면, 코릴리안(Corillian)은 피싱 사기꾼이 발송한 이메일을 검사함으로서 이러한 행동을 탐지할 수 있다. 이 방법은 고객의 네트워크 내부에 어떠한  하드웨어도 설치하지 않은 채 실행이 가능하다. 즉 고객 네트워크에 어떠한 지장도 초래하지 않고 들어오는 메일을 필터링해 그 속에서 피싱 메일을 탐지해 대응할 수 있도록 지원하는 솔루션이다.

반면, 다른 제품들은 이런 종류의 정보를 획득하기 위해 회사 네트워크의 내부에 접근해 수상한 데이터들을 뒤져본 후 탐지해내는 경우도 있다. 코릴리안은 콜렉터 에이전트를 주요 인터넷 상에 설치해 놓고, 대량 메일링에 대한 이메일 트래픽을 검사한다.

그런 다음, 잠재적인 피싱 공격이 준비되고 있음을 고객에게 알리고, 위조 사이트에 대한 고객들의 접근을 통제하는 것으로 자신의 본분을 다한다. 코릴리안 CSO 그렉 휴즈(Greg Hughes)는 “우리는 설치되고 있는 피싱 사이트를 잡을 수 있는데, 이것은 홈페이지와 다른 세부사항을 복사하는 등의 행위를 추적하기 때문이다. 즉 피싱 사기자들이 해당 홈페이지를 복사할 때부터 은밀히 접근해 이들의 움직임을 파악할 수 있다. 그래서 우리는 종종 피셔가 피싱 사이트가 포함된 대량 이메일들을 발송하기 전에 포착해 이들을 잡을 수 있다. 그래서 피싱 피해를 사전에 예방할 수 있게 된다”고 말했다.

 

인증 옵션. 어떤 응용 프로그램들은 어떠한 상황이 탐지되었을 때 중앙 감시 콘솔로 경고만을 보내는 단지 수동적인 관찰자들에 불과한 경우가 있다. 반면 대형 3사에서 제공하는 솔루션들은 다양한 기술개발을 통해 적극적인 대처를 할 수 있는 기능을 내장하고 있다. 즉 이용자들에게 많은 선택권을 부여하고 있는 것이다.

엔트러스트 CTO 크리스 보이스(Chris Boyce)는 “우리는 단일 소프트웨어 플랫폼에 전반적인 인증방법들을 제공할 수 있다”고 말한다. 엔트러스트는 지난 수년간 비즈니스 서명을 사들였고, 그동안 RSA는 패스마크 시큐리티(PassMark Security)와 쿄타(Cyota)를 매수한 바 있다. 패스마크에서 개발한 기술들은, 사용자가 이전에 자신의 PC에 조건으로 걸어놓은 여러가지 질문조항들을 기억한 후, 사용자가 자신도 모르게 피싱사이트에 접근하려고 할 때 이를 통제하는 기능을 지원하고 있다.

코릴리안의 지능인증과 베리사인의 VIP 사기 감지 같은 솔루션들은 실질적으로 사용자의 가정과 휴대폰 번호로 전화를 걸어 자신의 이메일에 피싱 사이트가 포함돼 있다는 것을 알려줄 수도 있다. 개인정보를 탈취하는 프로그램과 피싱 사기 사이트를 탐지하는 솔루션 개발업체 바로사(Bharosa)는 키로거를 방지하기 위해 키보드의 자바스크립트 이미지 맵을 올려놓는다.

키로거 공격은 이용자 몰래 공격자가 이용자 PC에 해킹 프로그램을 설치해 이용자가 금융권 사이트나 게임사이트에 접속시, 원격에서 이용자가 타이핑 하는 키보드의 내용을 다 볼 수 있는 해킹 기법이다. 바로사는 이에 대한 대응 솔루션을 내놓고 있다.

인증방법이 강력해지면 질수록, 인증 프로세스가 제대로 작동하지 않는다면 이용자의 항의가 늘어난다. 그래서 콜센터에 과부하가 걸릴 수도 있다. 뱅크 오브 아메리카는 지난해 RSA/패스마크 사이트키의 대규모 활용을 언급했다. 하지만 그 결과 이용자들의 문의가 쇄도해 은행 콜센터에 과부하가 걸렸고, 많은 고객들이 특정한 이미지를 매치시키고 부수적인 로그인을 확인하기 위해 쿠키를 사용자의 장비에 저장할 것을 요구하는 이 기술을 사용하기를 거부했다.

 

위스콘신 크레딧 유니온 대학교 인터넷 서비스 이사 에릭 뱅거터는 “코릴리안의 지능형 인증 시스템을 시행한 후, 가장 큰 변화는 우리가 운영하는 콜센터에 문의전화가 폭주한 것이다. 많은 회원들은 시스템이 어떻게 작동하는지 설명을 요구했고, 몇 몇은 이러한 까다로운 인증절차에 불만을 표시하며 이러한 추가적인 보안사항을 철회할 것을 요구했다”고 밝혔다. 

코릴리안의 제품은 한 고객이 은행계좌에 액세스하기 위해 필요한 유형과 장비를 제대로 사용하고 있는지를 알기위해 PC 프로파일(IP 어드레스, ISP, 출신국가)을 추적한다. 이와 관련해서 신용조합은 온라인 금융거래시 이루어져야 할 개선점을 찾고, 그 가운데 강력한 인증과정을 사용하면서도 고객에게 불편이 가지 않도록 다양한 방법을 선보였다.

 

RSA의 보안 솔루션 부문 마케팅 VP인 아미르 오라드(Amir Orad)는 “보통의 소비자는 강화된 인증에 많은 에너지를 투자하려 하지 않는다. 원활한 전자금융거래가 이루어지기 위해서는 강력한 인증도 중요하지만 고객들이 이를 이해하고 따라올 수 있도록 하는 방법도 강구해야 한다”고 조언했다.

맞춤형 보고서. 몇몇 제품들은 실시간으로 사기 사이트와 관련된 활용 가능한 보고서를 작성한다. 또 다른 제품들은 하루 사이에 발생한 온라인 사기 사이트를 분석한 보고서를 만들어내는데 더 유용한 프로그램도 있다. 즉 실시간이냐 아니면 하루 동안 발생했던 이상유무를 묶어서 보고서로 제출하느냐의 차이다.

이것은 특정 제품마다 차이는 있다. 이는 시스템에서 인식하고 있는 주의 메시지들이 실시간으로 보고할 수 있을 만한 시스템이 되느냐도 관건이다. 또 원활한 탐지 보고를 위해서는 공급자와 고객들을 위한 24x7 서비스 감시센터를 유지하고 있는지의 여부도 중요한 부분이다.  코브라이트사와 바로사, RSA 등의 제품은 온라인 사기 행동을 실시간으로 분석하는데 사용하기 제일 좋은 프로그램으로 알려져 있다.

베리사인의 로프투스(Loftus)는 “서버 통합 접근 프로그램을 받아들이지 않으면, 변칙적이거나  사기적인 행위에 대한 로그 파일을 검토해야 한다. 그러므로 얼마나 보고서가 실시간에 가까운지는 프로그램이 얼마나 자주 로그를 뒤지는지에 달려 있다. 더 많은 실시간 보고를 원한다면, 서버 응용 프로그램에 뭔가를 통합할 필요가 있다”고 말했다.

정찰 기능. 또 하나의 중요한 부분은 바로 가짜 어드레스와 사기정보 등을 전체 네트워크상에서 공유가 가능하도록 하는 것이다. 하나의 라인에서 들어온 사기징후에 대해 다른 라인에서도 이를 탐지하고 차단할 수 있도록 해줘야 한다. 그리고 이 온라인 사기정보는 공급업체가 공급하는 다른 기업에도 적용돼야 한다는 것이다.

공격자는 엄청난 루트를 통해 메일을 발송하기 때문에 하나의 기업에서 발생한 정보를 제신들이 공급하고 있는 다른 기업에도 적용이 되야 한다는 것이다. 이것은 안티바이러스 보안 대응 팀이 감염을 추적하는 방식과 비슷하다. 이 문제는 대형 3사의 협력으로 인해 정보공유가 더욱 확대돼 좋은 방향으로 가고 있다.

RSA는 사기행동 탐지제품에 대해 다른 제품과 정보를 공유하는 것을 기본으로 하고 있며, 베리사인도 이와 유사한 기능을 제공해 서로 악성정보를 공유해 함께 차단하는 역할을 지원하고 있다.

 

RSA의 오라드(Orad)는 “엄청나게 많은 고객 때문에 사기 시도의 60% 정도는 단지 이 네크워크를 살펴보기만 해도 잡을 수 있다”고 말한다. 또 다른 접근법인 체크프리의 프로드넷(FraudNet)은 전자결제 네트워크의 실시간 사기분석 서비스를 제공하기 위해 분석 파트너인 액티마이즈(Actimize)와 손을 잡았다. 이렇게 주요 기업들이 손을 잡고 정보를 공유하는 방향으로 나가고 있다.

 

통합에 대한 요구. 마지막으로, 벤더사가 강화된 인증과 고객 ID 관리와 함께 침투하는 사기 탐지 제품을 스스로 개발해 제공하고 있는가, 혹은 다른 벤더들과 비슷한 제품을 개발하는데 그치고 있는가도 중요하다. 다른 회사 제품의 다양한 기능들을 섞어서 하나의 제품을 만드는 것은 아닐까?

하지만 그것이 결코 나쁜 결과만은 아니다. 현재 대형 3사는 그들의 다양한 제품 라인들을 통합하기에 분주하다. 불필요한 경쟁을 줄이고 서로 통합해서 최적화된 솔루션을 은행과 서비스 이용자들에게 공급하는 일은 무엇보다 중요한 일이다.

소규모 벤더들 역시 그들의 사기탐지 시스템을 강화된 인증 제품들과 연결하기 위해 열심히 연구하고 있다. 그러나 대형 3사와의 경쟁제품들과 함께 작동하는 것도 좋지만, 그들만의 특화된 기술개발은 반드시 이루어져야할 필수요소라고 할 수 있다. 그래야만 서로 통합했을 때도 더욱 강력한 힘을 발휘할 수 있을 것이다.

<글: 데이비드 스톰>

Copyright ⓒ 2006 Information Security and TechTarget

 

[월간 정보보호21c 통권 제77호(info@boannews.com)]

            

             <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>