회사원 권모(32)씨는 K은행으로부터 시스템 교체를 위해 개인정보를 입력해달라는 e-메일 한통을 받았다. K은행과 거래가 없었던 권씨는 의심스러운 생각에 K은행에 전화해 그와 같은 e-메일을 보낸 사실이 없음을 확인하고 인터넷침해사고대응지원센터(www.krcert.or.kr)에 메일로 피싱사기 신고를 접수했다.

최근 피싱을 통해 개인 금융정보를 빼낸 다음 예금을 인출해 간 일당이 구속되는 사건이 국내에서도 처음 발생했다. 그 결과 금융권은 피싱사기에 대한 경각심이 높아졌고 전체적인 보안강화에도 더한층 신경을 쓰고 있는 분위기다.

 

은행평가, 시스템 안정성과 보안성이 좌우

<우리은행 본사 전경>

우리은행(행장 황영기 www.wooribank.com)은 지난 10일 ‘2005 e비즈니스대상’에서 국무총리상을 수상했다. 요즘 대부분 은행이 그렇듯 오프라인 은행서비스의 대부분을 온라인을 통해서도 함께 제공하고 있으며 고객이 은행에 가지 않고도 인터넷, 휴대폰, 디지털TV 등 다양한 채널을 통해 은행업무를 볼 수 있다. 그래서 더욱 중요한 요소가 바로 온라인 시스템의 안정성과 보안성이다. 고객들은 이제 은행을 평가할 때 자산 규모나 외적 규모보다는 얼마만큼 내 자산을 안전하게 지켜줄 수 있는지를 은행평가기준으로 삼고 있다.     

우리은행 e-비즈니스 사업단 한 관계자는 “현재 우리은행은 △부유층 고객 전용 뱅킹서비스  △온라인상거래 보안을 위한 ‘우리에스크로’서비스 △고객의 지문을 이용한 생체인증시스템 ‘바이오 인증서비스’ △디지털TV와 리모컨을 통해 은행업무를 이용할 수 있는 TV뱅킹서비스 △홈쇼핑 주문시 전화를 끊지 않고 바로 계좌이체를 할 수 있는 유선전화결제서비스 등 고객자산을 안전하게 보호하고 편리한 이용을 위해 여러 가지 서비스를 제공하고 있다”고 말했다.

<e-비즈니스대상 시상식, 이희범 산자부장관(좌), 황영기 우리은행장(우)>

우리은행은 내년 4월부터 통신판매 사업자들이 의무적으로 도입해야하는 ‘결제대금예치제(에스크로제)’서비스를 (주)코리아센터닷컴과 제휴해 야후에서 이용할 수 있는 180여개 중소형 쇼핑몰에 11월 22일부터 서비스한다고 밝혔다.

에스크로 서비스는 선불결제방식으로 비대면 거래인 쇼핑몰 또는 통신판매에서 물품 구매시 결제의 안정성을 확보하기 위해 공신력있는 제3의 기관이 개입해 거래대금을 보관한 후, 구매자가 물품을 수령하고 이상유무를 확인한 후 거래대금을 판매자에게 넘겨주는 방식이다.

금융기관 최초로 ‘BS7799’ 국제인증서 획득

또한 이 은행은 인터넷뱅킹의 보안성을 강화하기 위해 다양한 노력을 기울이고 있다. 지난 2001년 초, 우리은행은 인터넷뱅킹 시스템국제 인증을 위해 정보보안 전담팀을 구성해 그해 8월 국내 금융기관 최초로 ‘BS7799’인증서를 획득했다. ‘BS7799(British Standard 7799)┖는 1995년 제정된 영국 주도의 정보보호체계 관리규격이며 현재 정보보안 분야에서 전세계적으로 가장 권위있는 국제인증이다.

한편 인터넷뱅킹의 안정적인 운영을 위해 ‘재해복구시스템’을 가동, 업무중단위험 최소화와 대고객 신인도 및 경쟁력 강화에도 힘쓰고 있으며 시스템 부하 분산처리를 통해 365일 지연없는 빠른 서비스를 지원하는 등 다목적 시스템을 구축해 놓고 있다.

피싱방지 위해 로그인시 고객이름과 최종접속시간 표시

PC방화벽, 자동으로 동작시켜 정상적인 로그인 유도

피싱과 관련해서 우리은행 관계자는 “외국의 경우 피싱 대부분이 이메일을 통해 이루어지고 있는 반면 국내의 경우 다음이나 네이버 등의 게시판을 이용하며 방식 또한 많이 다르다”며 “최근 국내 금융권에서 발생한 피싱 사건의 경우 이메일을 무차별로 발송하는 것이 아니라 게시판에 대출 광고 등을 게시한 후 문의가 오는 사람에게 피싱사이트로 접속을 유도하고 고객정보를 절취하는 방식인 것으로 알고 있다”고 말했다.

그는 또 “국내에서 인터넷뱅킹은 ID/PW 이외에도 보안카드, 공인인증서를 모두 체크하기 때문에 외국에 비해 피싱에 의한 피해를 입을 가능성이 거의 없지만, 처음 인터넷뱅킹을 하는 고객 등은 피해 가능성이 있으며 실제 피해를 당한 사례가 발생하고 있다”고 설명했다. 

더불어 피싱 방지를 위해 우리은행은 “로그인시 고객의 이름과 최종 접속 시간을 표시하며, PC방화벽을 자동으로 동작시키는 등 고객이 정상적인 사이트로 로그인했음을 인지하도록 하고 있다. 또한 한국정보보호진흥원, 금융감독원 등과 협조해 포스터부착, 팜플렛 배포 등 고객 홍보활동을 활발히 하고 있다”고 밝혔다.

1천개 유사도메인에 대한 지속적인 모니터링 수행

PC와 서버간 인증, 페이지 자체에 대한 인증 강화

현재 우리은행은 피싱 예방활동으로 국내에서 나타나는 피싱 유형인 유사도메인을 이용한 피싱 피해를 예방하기 위해 유사도메인에 대한 모니터링을 대폭 강화하고 있으며 자체적으로 판단한 약 1천개의 유사도메인에 대한 모니터링을 수행하고 있다.

또 다른 관계자는 “향후 추가적으로 PC와 서버간 인증뿐만 아니라 페이지 자체에 인증을 위한 암호화된 바코드 등을 삽입, 비정상적인 페이지 접근 자체를 차단해 피싱 피해를 방지하는 방법을 검토 중”이라고 밝혔다.

피싱의 경우 은행차원에서의 노력과 국가차원에서의 노력도 중요하지만 개인의 주의도 요망된다. 출처가 불분명한 메일은 절대로 열어보지 않아야 하며, 로그인시 본인의 정보가 제대로 나타나는지 정도만 확인해도 피싱 예방을 할 수 있다. 또한 계좌비밀번호, 보안카드 등을 절대타인에게 유출하지 않는 노력도 필요하다. 

[길민권 기자 (is21@infothe.com)]

<저작권자: 보안뉴스(www.boannews.com). 무단전재-재배포금지>