대부분 금융사이트 키보드 스니핑 공격에 ID·PW 노출가능성 커

순천향대학교 정보보호학과 연구실에서 테스트결과 방지대책 시급

국내 대부분 은행과 제2금융권 그리고 전자결제서비스 사이트들은 대부분 키보드 입력정보를 보호하기 위해 키보드보안프로그램을 사용하고 있다. 특히 은행사이트들은 공인인증서 비밀번호와 계좌비밀번호, 보안카드 번호, OTP값 등을 보호하기 위해 키보드보안프로그램을 사용하고 있는 것이 일반적이다.

이를 통해 고객의 아이디와 패스워드를 보호하고 금융피해가 발생할 수 있는 여지를 차단하고자 한 것이다.

하지만 순천향대학교 정보보호학과 시스템보안연구실의 연구결과 모든 금융기관 사이트의 아이디와 패스워드가 특정의 스니핑 공격에 무방비로 노출될 수 있다는 것이 밝혀졌다. 즉 공인인증서 비밀번호는 물론 암호화 돼 있다는 계좌비밀번호까지도 무방비로 노출될 수 있다는 것이 확인된 것으로 향후 큰 파장이 예상된다.

순천향대학교 정보보호학과 임강빈 교수는 “키보드 정보는 키보드 자체의 보안결함과 운영체제의 한계점으로 인해 현재의 방법으로는 변형된 스니핑 공격을 막기는 힘든 상황”이라며 “현재 금융사이트에 설치된 키보드보안프로그램들이 대부분 새로이 나타날 수 있는 스니핑 공격에 무력화돼 고객들의 아이디와 패스워드가 그대로 노출되는 것을 확인했다”고 말했다.

임교수는 “너무나 많은 사람들이 키보드 스니핑 공격을 간단히 막을 수 있다고 안이하게 생각하고 있다. 크래커들이 이러한 문제를 제대로 파악하게 되면 이를 악용해 손쉽게 금융사이트 아이디와 패스워드를 유출할 수 있는 상황임을 알아야 한다”며 “보다 새로운 해결방법이나 근본적인 대책이 마련되지 않는 한 스니핑 공격을 막는 것에는 시간이 다소 걸릴 것”이라고 설명했다.  

임교수와 순천향대 정보보호학과 시스템보안연구실은 키보드 스니핑 공격에 국내 대부분 사이트들이 위험에 노출될 수 있음을 인지하고 지난 12월말부터 현재까지 금융사이트를 중심으로 실험에 들어갔다. 

대표적인 20개 금융기관 사이트와 포털, 전자지불을 동반하는 서비스 사이트들 10여개를 테스트한 것이다. 이 과정에서 키보드보안소프트웨어 실행파일의 코드정보에 대한 분석은 전혀 없었다고 한다. 즉 키보드보안프로그램의 취약점을 파고든 것이 아니라 하드웨어의 취약점을 통해 스니핑을 한 것이다.

2차에 걸쳐 테스트를 한 결과 금융사이트에서 구동되고 있는 5개 주요 키보드보안프로그램에는 전혀 지장을 주지 않고서도 운영체제와 하드웨어적 취약점을 이용해 전체 30개 사이트의 아이디와 패스워드가 그대로 노출되는 것을 밝혀낸 것이다.

임교수는 “이 스니핑 프로그램은 디바이스 드라이버 프로그램을 공부했던 사람이면 누구나 만들 수 있을 정도로 간단하다. 다만 시스템에서 얻을 수 있는 정보에 약간의 아이디어를 추가한 것으로 시스템 정보를 찾아 분류하고 필터링했던 기술은 예전 기술이지만 이를 스니핑 프로그램에 적용했더니 이와 같은 불안한 결과가 도출됐다”고 말했다.

임교수는 “키보드보안이 단순해 보이지만 사이트 보안에 가장 큰 키를 쥐고 있다. 현재 상황에서는 키보드 기반의 패스워드 인증시스템은 스니핑에의해 키보드 정보가 노출될 가능성이 크다”며 “운영체제상 디바이스 드라이버 관리의 문제점, 접근권한 관리의 문제점, 키보드를 담당하는 하드웨어 자체의 문제점 등이 결합된 것으로 이를 완벽하게 해결하는 데는 어려움이 있을 것”이라고 덧붙였다.

운영체제의 접근권한 관리와 관련하여 디바이스 드라이버를 통하여 크래커가 쉽게 시스템에 직접 접근할 수 있다는 것도 원초적인 문제점으로 대두됐다. 또 최근 보안은 하드웨어보다는 소프트웨어 중심으로 발전하고 있다. 여기서 하드웨어에 대한 보안취약점이 심각하게 되는 것이다. 하드웨어 설계 시에 보안가이드도 없이 하드웨어가 설계되기 때문이라고도 지적했다.

임교수는 “개인적으로 휘발성 하드웨어를 설계해야 한다. 비휘발성하드웨어 설계는 분명히 문제발생의 여지가 있다. 하드웨어 개체간 통신을 할 때 반드시 하드웨어간 통신창구가 휘발성이어야 한다”고 주장하고 또 “정보보호의 기본은 남이 볼 때 알아볼 수 없도록 하는 것으로서 암호화가 단연 중요하지만 뭔가를 주고받고 있다는 사실 자체를 알 수 없도록 하는 것이 무엇보다 중요하다”고 덧붙였다. 

이는 이벤트에 대한 은닉이 안되고 있는 상황이라는 것이다. 임교수는 “소프트웨어적 방어방법 이외에 현재 간과되고 있는 하드웨어적 대책이 병행되어야 한다”고 강조했다.

한편 PC 안쪽에는 마우스와 키보드를 컨트롤하는 장치가 있다. 이 시점에서 확실한 해결책을 바로 찾지 못한다면 해당 장치나 키보드를 다시 설계해야 한다고도 주장했다. 그는 “키보드도 성능이 좋아져서 단순 스캔코드만 전달할 것이 아니라 실제로 은닉채널을 유지할 수 있을 정도의 보안성 키보드가 만들어져야 한다”고 덧붙였다. 

크래커는 각종 다양한 유포방법으로 키보드 스니핑 프로그램 클라이언트를 유저 PC에 설치시키고 클라이언트가 설치된 이용자가 특정 사이트에 접속해 자신의 아이디와 패스워드 혹은 공인인증서 패스워드, 계좌 비밀번호 등을 입력함과 동시에 크래커의 스니핑 창에는 이용자가 입력한 정보가 그대로 보이게 된다.

모 정보보호 관계자는 “이전에 키보드보안에 대한 문제점에 대해 금융기관에 수차례 지적한 바 있지만 이러한 지적들이 그냥 지나가는 공염불에 불과했다”며 “이번 기회를 통해 좀더 근본적인 해결책이 나오길 기대한다”고 말했다.

보안뉴스가 순천향대학교 정보보호학과 시스템보안연구실에서 직접 테스트해본 결과, 앞서 언급한 30개 사이트뿐만 아니라 대부분 금융기관 사이트들의 아이디와 패스워드는 그대로 노출되는 것을 확인할 수 있었다. S생명보험 사이트도 거기에 포함된다. 이는 국내 전체 사이트에서 발생할 수 있는 상황이다. 

또한 그는 “스니핑 기법 하나로만은 네트워크 침해나 심각한 크래킹이 이루어질 수 없지만 다양한 기법을 동원한다면 심각한 보안이슈가 발생할 수 있다”며 “금융기관에서는 스니핑 대비뿐만 아니라 네트워크 보안과 각종 시스템 보안에도 더욱 대비를 해야 할 것”이라고 말했다. 

임교수는 “이번 문제가 사사로이 은행과 보안업체간 문제로 점철될 일은 아니다. 가장 기본인 아이디와 패스워드가 쉽게 노출된다는 것은 보안의 근간을 흔드는 일이다. 전면적인 대책이 필요하다”며 “이 문제는 이번에 테스트한 사이트나 그 사이트를 책임지는 보안업체들만의 문제가 아니다. 국내 전체 사이트들의 총체적 문제다”라고 말했다.

또 그는 “이러한 결과를 가지고 보안을 책임지는 업체에 책임을 전가한다거나 비난한다면 오히려 비난받을 일이며 어느 누구도 보안에 관심을 가지려 하지도 않을 것이다. 지금까지 보안업체들은 업무의 특성 상 남들이 쉴 때에도 한숨 쉴 새 없이 열심히 업무에 충실했고 그 결과 그 동안 안전한 보안 환경이 유지되었다”며 “보안의 특성 상 앞으로 나타날 취약점까지 모두 고려하여 방어할 수는 없으나 현재 나타난 문제에 대한 해결은 보안업체 밖에는 할 수 없는 일이므로 그들을 믿어야 한다. 완벽한 창과 방패를 다 가질 수는 없는 일이지만 보안은 사명감을 가지고 보안업체들이 힘을 합치고 주변에서 많이 도우면 해결될 수 있는 문제라고 생각한다”고 덧붙였다.  

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>