국민은행, 고객정보 유출후 실제 인출피해까지 당해

점점 늘어나는 인터넷 뱅킹...보안대책없으면 치명적

지난 2007년 9월부터 11월까지 국민은행 이용자 개인정보가 유출됐고 실제 계좌인출피해까지 발생한 것이 드러나 인터넷뱅킹에 대한 국민들의 불신이 커지고 있다. 금융권의 대책이 시급한 상황이다.

당시 유출된 12명의 개인정보가 유출됐고 실제 금액피해는 4명이 피해를 봤고 총 피해금액은 7000만 원이다. 국민은행 측 발표에 따르면 중국 IP 주소의 크래킹 용의자들이 멀드롭 형태의 바이러스에 감염된 국내 PC 정보를 악용해 예금 인출에 필요한 정보를 수집한 것으로 나타났다. 유출된 개인정보는 공인인증서, 공인인증서 비밀번호, OTP번호 등인 것으로 밝혀졌다.

정보보호 업계 모 관계자는 “멀드롭은 자신을 숨기는 바이러스로 일종의 변종 트로이목마라고 할 수 있다”며 “감염되면 이용자는 자신의 PC가 감염된지도 모른다. 백신도 이를 탐지해 처리하기 어려울 것”이라고 설명했다.

멀드롭에 감염되면 크래커는 이용자의 키보드 정보뿐만 아니라 이용자 PC에 있는 파일들을 크래커에게 보내준다. 또 원격조정도 가능하게 돼 완전히 크래커에게 장악당하게 된다. 크래커는 감염 PC에 모든 정보를 볼 수 있고 가져갈 수도 있는 것이다.

이러한 트로이목마를 심어놓는 주요 목적은 이용자의 중요 정보를 빼내가기 위함이다. 특히 인터넷 금융거래에 사용되는 공인인증서와 비밀번호 등 대부분의 개인정보가 빠져나가게 된다.

한 관계자는 “이번 크래킹 사건은 오랫동안 계획된 공격으로 보인다. 치밀한 정보수집 끝에 공격이 이루어졌을 것”이라며 “이런 경우 공인인증서를 USB에 저장한다 할지라도 유출된다. 또 이용자가 OTP 값을 입력하는 순간 그 메모리 값을 가로채 공격자에게 전해진다”고 말했다.

 

특히 크래커가 입수한 OTP 값을 1분 안에 사용하면 사용이 가능하다는 점도 OTP의 아킬레스건으로 지적됐다. 

업계 관계자들은 “이러한 메모리 해킹 사고를 막기 위해서는 인증강화와 기밀성강화가 중요하다”며 “인증강화를 위해서는 MAC값(네트워크의 유일한 값), 하드디스크 시리얼 등 이용자 PC의 정보를 통한 이용자 위치인증 및 감사강화가 필요하다. 도 OTP와 함께 HSM 사용이 강화돼야 한다”고 강조했다.

또한 “OTP 입력항목의 보호를 위해 E2E 및 확장 E2E 적용이 반드시 필요하다”고 권고했다. 

국민은행의 사고시점은 9월, 10월, 11월 등이었다. 하지만 메모리 해킹과 변조 등에 대한 보안이슈가 계속 발표됨에도 불구하고 이에 대한 보안패치가 신속하게 이루어지고 있지 않은 점은 분명 금융권과 관리감독 기관의 문제점으로 지적되고 있다.  

덧붙여 “보안카드를 한번 받으면 계속 사용하는데 이는 위험하다”며 “보통 1년 정도 사용하고 교체하는 것이 안전하다”고 보안 전문가들은 강조했다.

또 다른 관계자는 “이러한 문제점은 비단 국민은행만의 문제점은 아닐 것이다. 대부분 금융권의 문제점일 것이다. 메모리 해킹, OTP 문제, 공인인증서 문제 등 전반적인 보안문제는 개별 은행 차원에서 대응하기보다는 전체 금융권 보안기관에서 해결책을 제시하는 것이 바람직하다”고 말했다.

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>