하나은행 해킹에 키보드보안 '비상'

하나은행 인터넷 뱅킹 무단 인출 사고가 발생하면서 키보드 보안 업계에 비상이 걸렸다.

범인이 키보드 보안 프로그램을 무력화한 뒤 인터넷뱅킹 이용자의 아이디, 비밀번호, 계좌번호, 공인인증서, 보안카드 정보를 빼내갔을 가능성에 무게가 실리고 있기 때문이다. 이에 따라 금융권에 키보드 보안 프로그램을 공급한 보안 업체들은 이번 사건 조사 결과에 촉각을 곤두세우고 있다.

경찰에 따르면 이번 무단인출 사고는 지난 달 5일 오후 3시40분경 발생했다. 당시 S씨(여. 38세) 계좌에서 2천100만원이 무단 인출된 것. 경찰은 이번 사고가 사용자 PC해킹으로 인한 정보유출이라는 쪽에 무게를 두고 수사를 진행하고 있다.

이번 인출이 성립하려면 범인이 사용자PC에 악성코드를 심고, 백도어 프로그램과 키로그 프로그램을 설치한 후, 사용자가 입력한 키보드 값을 장시간 관찰해야 한다는 게 전문가 의견이다.

◆"API 구조 알고 개발해야"

보안 전문가들은 범인이 키보드 보안프로그램의 취약점을 이용했을 가능성이 높은 것으로 보고 있다. 키보드보안프로그램은 사용자가 키보드를 통해 입력한 값을 암호화하는 역할을 한다. 하나은행도 이 프로그램을 구축한 상태다.

한 보안 전문가는 "키보드 보안 프로그램에서 해킹이 가능한 구간이 존재하는 것은 사실"이라며 "키보드 보안 업체들이 프로그램을 개발할 때 윈도 시스템이 제공하는 다양한 API를 활용하는데, 이 API의 구조와 세부 프로세스를 인지하지 않은 상황에서 사용하기 때문에 API를 우회하는 공격 기법에 노출돼 있는 상황"이라고 꼬집었다.

그는 또 "대부분의 키보드 보안 프로그램들이 메모리 레벨에서 데이터를 처리하는 과정에 취약점을 갖고 있다"며 "해커가 마음만 먹으면 얼마든지 해킹이 가능하다"고 말했다.

대부분의 키보드 보안 업체들은 이 같은 취약점을 인정하고 있는 상황.

키보드 보안업체 관계자는 "리버스 엔지니어링 등 신규 공격 기법이 지속적으로 나오는 상황에서 키보드 보안 프로그램 하나만으로 해킹을 막기란 역부족"이라며 "키보드 보안 프로그램 취약점을 최소화하기 위해 분석을 계속하고 있다"고 설명했다.

하나은행에 키보드 보안 프로그램을 제공한 업체 역시 곤혹스럽기는 마찬가지. 이 업체 관계자는 "현재 경찰 수사단계라 원인 규명을 정확히 하기에는 무리가 있다"며 "하나은행측과 지속적으로 미팅을 하고 있는 상황"이라고 말했다.

이에 대해 금융보안연구원 성재모 팀장은 "현재 각 은행에 키보드 보안 프로그램의 취약점을 보완할 수 있는 일회용비밀번호(OTP) 생성기 등을 대안으로 제시하고 있다"며 "사용자는 일차적으로 보안카드와 공인인증서 관련 정보를 웹메일이나 PC에 저장하지 않아야 하며, 자체적으로 보안을 강화하는 습관을 길러야 한다"고 강조했다.

서소정기자 ssj6@inews24.com