글
| [해커,당신의 지갑을 노린다] ④ 보안 불감증 | |
시중 4대 은행 모두 보안을 외주업체에 의존하고 있다. 이마저 피싱 대응 따로, 방화벽·키보드 보안 따로, 백신 따로 맡는다. 가령 S은행의 경우 방화벽과 키보드 보안은 I사가, 백신은 H사가, 피싱 보안책은 S사가 담당하고 있다. 이렇다 보니 고객돈이 인출되는 사태가 발생해도 책임소재가 명확지 않아 수사가 마무리 되기 전까지 피해 고객 보상은 어려워진다. 국민은행 관계자는 “수사가 진행 중이어서 어떤 대응책을 세워야 할지 아직 내부적으로 결정된 바 없다”며 “보상 문제 역시 수사가 마무리 돼야 결정할 수 있다”고 말했다. 같은 수법의 또 다른 해킹 피해가 일어날 수 있다는 의미다. 또 다른 국민은행 관계자는 “왜 고객의 PC가 해킹당했는데 우리가 책임을 져야 하느냐”고 불만을 털어놨다. 현재 인터넷 뱅킹을 위해서는 키보드해킹 방지· 웹보안·개인방화벽 프로그램 등 3가지가 깔린다. 여기에 보안카드, 인증서·로그인 비밀번호 등 인터넷 뱅킹을 이용하기 위해 알아야 할 개인 정보는 10여개에 이른다. 엄격한 보안이 유지되는 것처럼 보이지만 해커가 사전에 트로이목마를 PC에 침투시켰다면 이 모든 보안 장치는 일순간에 무용지물이 된다. 국민은행 고객돈 인출에 이용됐던 멀드롭 형태의 해킹 기술은 변종 트로이목마로 분류된다. 현재 PC보안 강화를 위해 거론되고 있는 방법은 하드웨어보안모듈(HSM) 보안토큰, E2E(End-to-End) 암호화, 일회용 비밀번호 발생기(OTP) 등 3가지로 압축된다. 금융감독원은 지난 1일부터 보안등급에 따라 1회 송금가능 액수를 기존 10분의 1로 줄이는 극약처방을 내놓았다. 공인인증서와 보안카드만을 가진 고객은 보안등급이 낮게 분류돼 1회 송금 액수가 1000만원(기존 1억원)으로 낮아진다. 대신 보안이 강화된 저장장치 HSM과 OTP를 이용하는 고객은 기존대로 송금액수가 유지된다. 그러나 보안업계는 OTP 역시 해킹 대안은 될 수 없다고 입을 모은다. 보안업체 관계자는 “고객 PC가 변종 트로이목마 바이러스에 감염됐을 경우 해커는 고객의 마우스 움직임까지 알 수 있다”며 “최신 도입된 OTP 역시 근원적 해킹방지책은 아니다”고 말했다. ‘HSM 보안토큰’은 내부에 보안 칩을 탑재해 암호화 키를 생성·관리하는 휴대형 저장장치로 해킹 위협으로부터 비교적 자유로운 수단이다. 그러나 현재까지 HSM보안토큰을 서비스를 제공하는 국내 금융기관은 농협이 유일하다. E2E 암호화 연내 도입도 시급한 실정이다. E2E 암호화는 사용자의 키보드 입력 정보를 암호화해 해커들로부터 고객의 금융정보를 보호하는 역할을 하는 시스템이다. 국민은행도 사고 이후 E2E 암호화 작업을 추진 중인 것으로 알려졌다. |
RECENT COMMENT