국민은행 인터넷뱅킹시스템이 해킹 당하는 사건이 발생했지만 마땅한 해결책이 없어 관련 업계가 발만 동동 구르고 있다.
최근 인터넷뱅킹시스템 해킹 사고로 고객의 예금이 불법 유출된 사건은 총 3건 발생했다. 해커들은 지난 해 9월과 11월, 올해 1월 등 세 차례에 걸쳐 비슷한 수법으로 6천여만원의 예금을 빼돌렸다.
이번 해킹 사고는 키보드 보안 프로그램이 실행되는 시점부터 서버까지의 구간(End-to-End, 이하 E2E) 사이에서 발생했다. 하지만 3월말까지는 제대로 된 E2E 보안 솔루션이 나오기 힘든 것으로 알려져 대책 마련이 시급한 상황이다.
◆멀드롭 바이러스로 악성코드 심어
국민은행 인터넷뱅킹시스템을 공격한 해커는 멀드롭 바이러스를 이용해 사용자 PC에 악성코드를 심은 것으로 밝혀졌다. 멀드롭 바이러스는 각종 악성코드를 내려받도록 해 준다. 사용자 PC가 멀드롭 바이러스에 감염되면 악성코드들이 자동으로 실행된다.
금융당국 관계자에 따르면 국민은행에서 예금을 불법 인출한 해커는 인터넷 사이트를 통해 멀드롭 바이러스를 유포한 뒤 이 바이러스에 감염된 PC에 3개의 악성코드를 내려받도록 했다.
이렇게 내려받은 악성코드는 ▲키보드 보안 프로그램 무력화 ▲특정 사이트(국민은행) 화면 캡처 등의 명령을 수행했다. 또 키로그 프로그램을 다운받은 뒤 감염된 PC에서 작동시켰다.
키보드 보안 프로그램을 무력화하는 방식으로 보안 기능을 정지시킨 뒤 국민은행 사이트 화면을 캡처하는 프로그램을 설치해 사용자가 몇번째 보안카드 번호를 입력하는 지 유추해냈다.
또 사용자가 입력한 키값을 그대로 볼 수 있는 키로그 프로그램을 통해 보안카드의 비밀번호를 빼낸 뒤 미리 만든 대포통장으로 돈을 인출했다.
이번 사건에서 키보드로 입력된 개인정보는 E2E 구간에서 유출됐다. 키보드에 입력된 값은 전송 과정에 암호화 과정을 거치도록 돼 있는 데, E2E 구간에서 허점을 드러낸 것이다.
실제로 국민은행은 방화벽과 키보드 보안 솔루션을 설치했지만, 이 솔루션은 E2E 구간 암호화 기능이 적용되지 않은 것으로 드러났다. 또 악성코드 유입도 감지하지 못했다.
키보드를 통해 정보를 입력하면 키보드 보안프로그램과 공개키기반구조(PKI) 암호 모듈이 서로 정보를 주고받는데, 해커는 이 과정에서 정보가 유출될 수 있다는 점을 악용했다.
◆오는 3월까지 대안 마련 '불가'
E2E 구간의 보안 취약점은 이미 오래 전부터 지적돼 왔던 부분. 금융보안연구원은 지난 해 10월 각 보안 업체에 'E2E 구간 보안 가이드'를 배포하고, E2E 구간 암호화 적용은 물론 계좌번호 변조를 막는 메모리 해킹 방지 기능을 솔루션에 추가하라고 권고했다.
국내 보안 업체를 대상으로 2008년 3월까지 E2E 구간 암호화 기능을 대폭 강화한 솔루션을 내놓으라는 것.
하지만 대부분의 보안 업체는 기존 E2E 구간의 취약점을 보완할 솔루션을 내놓지 못하고 있다. 오는 2월 보안 업체 2곳이 취약점을 개선한 솔루션을 내놓았지만, 새로운 취약성을 대응하는 데는 일부 한계가 있다는 지적이다.
한 보안 전문가는 "키보드로 입력한 정보를 암호화한 뒤 풀리는 구간 없이 서버까지 전송할 수 있는 키보드 보안 프로그램과 PKI 솔루션이 필요하지만 단기간에 개발하는 것이 쉽지 않다"며 "키보드 보안 프로그램이 무력화될 경우 인터넷 뱅킹 자체가 성립되지 않는 정책적인 방안 마련도 시급하다"고 말했다.
또 다른 업계 관계자는 "현재 상황으로서는 개인 사용자가 백신 프로그램을 설치하고, 최신 업데이트를 유지해 악성코드 감염을 방지하는 것만이 최선"이라며 "국가적으로 보안 정책이 전면 강화되지 않는 한 인터넷 뱅킹을 할 때마다 불안에 떨 수밖에 없다"고 말했다.
서소정기자 ssj6@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기