금융기관·포털 등 30개 사이트 모두 ID·PW 노출 가능성 커!

 

국내 대부분 은행과 전자결제 서비스가 이루어지는 모든 사이트들에는 이용자의 아이디와 패스워드를 보호하기 위한 방안으로 키보드보안 프로그램이 구동되고 있는 상황이다. 또 대형포털과 공공기관 등에서도 사용자들의 아이디와 패스워드 보호를 위해 키보드보안 프로그램을 사용하고 있다. 하지만 이들 보안제품들이 스니핑(중간에 데이터가 지나가는 것을 가로채는 행위) 공격에 전혀 무용지물이며 아이디와 패스워드가 그대로 노출될 가능성이 있다는 연구 결과가 나와 충격을 주고 있다.

순천향대학교 정보보호학과 임강빈 교수는 “키보드 스니핑을 막을 수 있다는 소프트웨어들이 모든 금융사이트와 포털 등에서 구동되는 것을 보고 그러한 공격을 현재 시스템으로는 막기가 힘들지 않을까란 의구심이 들었다”며 “그래서 지난 12월 말부터 순천향대학교 시스템보안연구실 학생들과 공동으로 연구를 시작했다”고 말했다.

임교수는 “너무나 많은 사람들이 키보드보안을 믿고 있고 키보드 스니핑을 차단할 수 있다고 생각하고 있다. 하지만 연구결과 스니핑 공격에 모든 공공기관 사이트는 물론 은행을 비롯한 전체 금융기관 사이트, 포털 등 국내 모든 사이트들의 아이디와 패스워드가 그대로 노출될 수 있다는 가능성을 확인했다”고 밝혔다.

임교수가 지도하고 있는 순천향대학교 정보보호학과 시스템보안연구실(이하 LISA) 측은 “지난 12월말부터 키보드보안프로그램이 설치된 국내 사이트 30개를 샘플로 조사한 결과 스니핑 프로그램에 30개 사이트 모두 임의의 아이디와 패스워드가 그대로 노출 되는 것을 확인했다”며 “특히 금융사이트의 경우는 임의의 값을 정해 입력한 공인인증서 패스워드 뿐만 아니라 계좌 비밀번호까지도 그대로 노출될 수 있다는 것을 확인했다”고 말했다.

또한 “스니핑을 방지하기 위한 키보드보안 프로그램이 구동되고 있는 대형 포털사이트와 온라인 쇼핑몰 사이트 몇 개도 샘플로 조사한 결과 거의 대부분 임의로 지정한 아이디와 비밀번호가 그대로 스니핑 프로그램에 뜨는 것을 확인했다”고 덧붙였다.

한편 보안뉴스 측과 확인 취재중 추가적으로 국가 공공기관 사이트들도 대부분 임의의 아이디와 패스워드가 그대로 노출되는 것으로 확인돼 충격을 주고 있다.

임교수는 “스니핑은 타인의 키보드입력 정보를 그대로 볼 수 있는 프로그램으로 다양한 해킹기법을 추가해 스니핑과 함께 공격을 한다면 간단하게 아이디와 패스워드를 탈취할 수 있다”며 “또 스니핑은 키보드 입력정보가 그대로 보이는 것이기 때문에 주민등록번호도 그대로 노출될 수 있고 한글입력도 유추할 수 있어 대부분의 개인정보 및 중요 정보를 탈취할 수 있는 위험한 상황을 초례할 수 있다”고 밝혔다.

더욱 위험한 것은 이러한 스니핑 프로그램은 디바이스 드라이버 프로그램을 공부했던 사람이면 누구나 만들 수 있다는 점이다. 악의적인 해외 해커가 국내 사이트들을 대상으로 아이디와 패스워드, 주민등록번호 등을 탈취할 목적으로 충분히 공격이 이루어질 수 있기 때문이다. 

특히 이 스니핑 공격에 능통하고 시스템 해킹 기법을 모두 알고 있는 해외 크래커라면 충분히 은행 사이트를 대상으로 실제 금전적 피해를 발생시킬 수 있다는 점에서 심각한 상황이 아닐 수 없다.

LISA 측은 “이 문제는 키보드보안프로그램 자체의 문제라기보다는 운영체제 혹은 하드웨어적인 문제”라며 “연구결과 하드웨어적인 근본 대책도 생각해봐야할 단계”라고 강조했다.

또다른 관계자는 “금융사이트에 원격연결을 탐지해서 막아주는 솔루션이 있다고는 하지만 실제로 과연 얼마나 막아줄 수 있는지도 의문”이라고 덧붙였다.

 

임교수는 "스니핑은 단순히 아이디와 패스워드를 갈취할 수 있는 프로그램으로 큰 문제를 야기할 수는 없지만 다른 크래킹 기법과 접목돼 사용된다면 문제가 될 수 있다"고 밝히고 "각급 공공기관과 은행사이트들은 전반적인 보안에 더욱 대비해야 한다"고 강조했다.

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>