최근 국내외 주요 보안업체들은 2008년에도 발생할 주요 보안 이슈로 봇(BOT, 원격 조정 가능한 악성코드 일종), 서비스거부 공격(DDoS), 홈페이지 공격 등을 꼽았다. 국제피싱대응협의체(APWG) 보고에서도 향후 개인정보 수집을 위한 피싱 및 파밍 공격은 계속 증가할 것이며 금융회사를 대상으로 하는 직접적인 공격이 증가될 것으로 예상했다. 이에 금융권과 이용 고객 모두는 전자금융 정보에 대한 보안 의식을 강화하고 최소한의 보안 조치를 취해야 한다.

금융감독원에 따르면 은행의 전자금융가입자 수는 2007년 6월말 현재 7100만명이며, 인터넷뱅킹을 통한 온라인 거래가 차지하는 비중은 79.6%, 자금이체는 2406조원(2/4분기)이다. 또 온라인 증권거래대금은 1348조원(2/4분기)으로 전체 증권거래 대금의 57.9%이며 인터넷을 통한 신용카드의 거래 건수나 거래금액도 지속적으로 늘고 있다.

이처럼 전자금융 거래가 증가함에 따라 금전적 이득을 노리는 해커들에 의해 이용자PC 등을 겨냥한 해킹 시도 또한 증가하고 있는 추세이다. 특히 이용자 PC는 마이크로소프트사의 운영체제 및 인터넷 익스플로러 등의 보안취약점이 지속적으로 발생하고 있고 반면 이용자의 보안인식은 부족해 해커의 집중 공격 대상이 되고 있다.

일례로 지난 2007년 1월, 취약한 국내 포털사이트를 공격해 악성코드를 삽입한 후, 사이트 방문자 중 보안 패치가 안 된 이용자 PC에 악성코드를 몰래 설치하여 약 5000여 명의 공인인증서를 유출하고 국내은행 인터넷뱅킹 모방사이트에 접속시켜 인터넷뱅킹 이용자들의 공인인증서 비밀번호 등 개인정보를 유출한 금융사고가 있었다.

대부분 악성코드, 게임 ID·PW 유출 목적

한국정보보호진흥원 보고에 의하면 2007년 1월~11월까지 이러한 유형의 악성코드 유포에 악용된 취약사이트가 약 4926개가 발견되어 조치를 취했다. 이로 인한 피해 규모는 알 수 없으나 현재까지 대부분의 악성코드는 게임 ID와 비밀번호를 유출하는 것을 목적으로 하고 있어 국내 온라인 게임사이트 이용자들은 많은 피해를 입고 있다.

이 사건 이후 금융권에는 이와 유사한 사고가 재발되지 않아서 천만 다행이지만 보안이 취약한 이용자를 노리는 해커들의 공격은 계속되고 있다. 국내 은행에서는 인터넷뱅킹 보안을 위해 개인용 침입차단시스템, 키보드해킹방지 프로그램, 암호 프로그램 등을 제공하고 있으나 최신 악성코드들은 이를 우회하는 지능적인 기능이 있을 수 있으므로 이용자는 평상시 전자금융거래에 이용하는 PC에 대한 보안패치 자동업데이트 설정과 백신프로그램 등의 보안 프로그램을 필수적으로 설치해야 할 것이다.

최근 국내외 주요 보안업체들은 2008년도에 발생할 주요 이슈로 봇(BOT, 원격 조정 가능한 악성코드 일종), 서비스거부 공격(DDoS), 홈페이지 공격 등을 꼽고 있다. 또한 국제피싱대응협의체(APWG) 보고에 의하면 앞으로도 개인정보 수집을 위한 피싱 및 파밍 공격은 계속 증가할 것이고 특히 금융회사를 대상으로 하는 직접적인 공격이 증가될 것으로 예상된다.

이와 관련해 금융회사는 물론 동 업종에 종사하는 우리 모두 지능적이고 복합적인 해킹 공격을 사전에 예방할 수 있는 방안을 꾸준히 연구·개발하여 국민들이 안심하고 전자금융거래를 할 수 있도록 최선의 노력을 다해야 할 것이고 이용자들도 이제는 전자금융거래 시 자신의 금융자산 보호를 위한 최소한의 보안 조치를 수행해야 하며 보안인식 또한 제고되어야 한다.

<글: 성재모 금융보안연구원 보안기술팀장>

 

[월간 정보보호21c 통권 제89호(info@boannews.com)]

             

             <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>