2013.08.16
예전에 제가 초등학교로 명칭이 바뀌기 전인 ‘국민학교’ 시절에 선생님께서 이런 말씀을 하셨습니다. ‘이제 곧 물도 사먹는 시대가 올 거다.’ 이 말을 들은 -저를 포함한-당시 어린이들은 놀라지 않았습니다. 안 믿었거든요. 하지만 요즘은 생수 브랜드만 해도 수십 개나 있는 세상이 되었습니다.
이와 비슷하게 인터넷이 퍼지기 시작한 시절, 모 TV프로그램에서 인터넷으로만 1주일(한 달이었나요?)살아보기 프로그램을 했던 것으로 기억합니다.여기서 인터넷으로 피자를 시키고, 마트에서 장을 보니 배달까지 해주는 등 당시로서는 ‘획기적인’ 패턴에 방송 진행자도 놀랐던 기억이 납니다.하지만 지금은 누구나 쉽게 인터넷으로 물품 구매는 물론 은행업무까지 보는 세상이 되었죠.
안랩의 보안 바로알기(Know the security)캠페인의 다섯 번째 이야기는 어쩌면 지금까지 주제 중 우리 생활에 가장 밀접한 주제일 수 있는 ‘인터넷뱅킹 보안위협 바로알기’ 입니다.인터넷 뱅킹 이용자 8,000만명이 돌파한 요즘,아래 몇가지 이야기를 통해 ‘인터넷뱅킹 보안위협’에 대한 이해를 높여서더 안전하고 편리한 온라인 생활을 누리시면 좋겠습니다.
금융기관이 침해당해 내 돈이 빠져나간다?
현재까지 알려진 바로는 금융기관 침해로 인해 개인 사용자의 금전이 빠져나간 사례는 없습니다. 통계적으로 볼 때, 우리나라 기관들 중에서 보안에 가장 많이 투자하고 관심을 쏟는 곳이 금융업계라는 것은 사실입니다. 다만 이는 상대적인 규모이고, 이에 더해 아직 보안에 대한 더 많은 고민(금액의 문제가 아니라, 운영 및 인식의 문제입니다)이 필요한 것은 사실입니다.
사실, 쉬운 돈을 만지고 싶어하는 공격자가 대형 은행에 직접 침투해서 돈을 빼내오기란 쉬운 일이 아닙니다.그래서 해커들은 조금 더 수월한 개인 PC를 노립니다.여기서 개인 PC란 기업에서 직원이 사용하고 있는 PC도 포함되는 개념입니다(어차피 비슷한 공이 든다면 개인 보다 기업이 인터넷 뱅킹을 이용하는 금액이 훨씬 크니까요).
즉, 모든 수단을 동원해 개인(기업 내 개인 포함)의 금융정보를 빼내가려 한다는 것입니다 .먼저, 해커는피싱메일, SNS의 URL, P2P사이트, 악성코드를 포함한 문서, 배너광고,프로그램의 보안 취약점 등 광범위한 수단을 통해 악성코드를 감염시킵니다. 일단 악성코드가 침투하면,이후엔 금융정보를 채가기 위한 모든 시도를 합니다.예를들어, 키보드로 입력되는 정보를 빼내기 위해 이를 탈취하는 ‘키로거’를 설치합니다.화면캡처가 필요하면 화면캡처를 합니다.만약 목표 개인(기업 내 개인 포함)이 사용하는 주거래 은행이 보안카드를 사용한다면 보안카드 정보를 빼내기 위해 자신이 만든 가짜 사이트로 유도하는 악성코드를 심습니다.가끔 이거저거 다 필요없이 보이스 피싱도 합니다.
여기에 최근에는 개인 사용자의 PC에 침투해서,감염된 PC로 특정 은행 사이트를 방문할 시,보안을 위해 자동으로 구동되는 키보드 보안솔루션, 공인인증서 등 보안모듈의 메모리를 해킹(수정)해개인의 금융 정보를 유출하는 악성코드도 국내에서 발견되었습니다.즉,사용자는 정상 은행사이트를 이용하는 과정에서 자기도 모르게 금융정보를 탈취당하는 것입니다.
해외 모 기업의 경우 재무 담당직원이 피싱메일에 속아 인터넷뱅킹 접속용 OTP정보를 포함한 로그인 정보가 모두 해커에게 유출되었고, 55만달러가 해커에 의해 해외로 송금되는 결과가 발생했습니다.지루한 법원 공방 끝에 법원은 은행의 책임으로 판단했지만,이는 기업과 은행이 모두 해커에게 속아 넘어간 예시가 되었습니다.물론, 기업과 은행 모두 기업 이미지 실추를 피할 수 없었습니다.
이렇게 공격자들은 은행의 시스템을 직접 노리기 보다,개인의 PC에 악성코드를 감염시키는 것을 공격의 첫 행위로 삼고 있습니다.이것은 보안 사고가 개인의 잘못이라는 뜻이 아니라 명백한 현대 보안의 트렌드입니다.
여기에도 보안 종결론이 등장?
일전에 저희 보안 바로알기 세 번째 주제가 ‘보안 종결론’이었습니다.특정 솔루션을 사용한다면, 혹은 이것을 사용하지 않는다면 은행보안 사고가 대부분 없어질 것이라는 주장입니다.
하지만 나름 자신들의 생계가 달린 문제여서일까요?아쉽게도 악성코드 제작자들은 그 정도에 굴하지 않습니다. 예를 들어,다양한 보안 솔루션을 사용하는 다양한 국가에서도 인터넷뱅킹 사고는 지속적으로 발생하고 있습니다.최근 중동에서 500억원 규모의 해킹 및 현금 불법인출 사건이 있었고,미국안티피싱 워킹그룹과 가트너에 따르면 미국 내 2010년 인터넷 뱅킹사고 금액은 기업피해만10억 달러(약 1천 3백억)로 추정된다고 발표했습니다.일본의 경우도 2007년에 1억 9천만 엔(약 22억원)을 기록한 후 현재는 소폭 감소추세에 있다고 합니다.
이렇게 기업 자율이든,공공기관 주도이든, 각기 다른 인증체제와 보안 정책을 사용하든아니든,는 모든 나라에서 인터넷뱅킹 보안위협은 계속 되고 있습니다.다시한번 강조하자면 악성코드를 이용해 개인 PC로 침입한 후 금융정보를 훔쳐가거나, 해킹을 시도하는 것이 현대 보안의 트렌드입니다.그리고 악성코드 제작자는 침투를 위해 특정 솔루션만 이용하는 것이 아니라, 피싱메일, 악성 URL, 소프트웨어 취약점,웹하드 등의 P2P 사이트, 악성코드를 포함한 문서, 배너광고, 프로그램의 보안 취약점 등 침투할 수 있는 모든 수단을 사용합니다.
어떻게 막을 수 있나?
그러면, 인터넷뱅킹 보안위협은 어차피 막을 수 없는 것일까요?저희가 이 캠페인을 시작한 시점에 말씀 드렸지만, 완벽한 보안은 없습니다.다만 보안의 취약한 부분(hole)을줄여나가면서 새로운 취약점이 발견되면 최대한 빨리 보완하고 대응하기 위한 노력이 계속 진행될 뿐입니다. 이런 보안의 취약점을 줄이기 위해서는 어느 한 곳만 노력해서는 되지 않습니다.
먼저 금융 및 공공기관에서는 현재 보안위협의 트렌드를 이해하고 올바른 정책을 실행해나가는 것이 필요합니다. 특히, 시스템에 보안을 맞추는 것이 아니라, 보안에 시스템을 맞추는 외국의 노력을 본받을 필요가 있습니다.예를 들어, 예전에는 아무리 혁신적이고 믿을 수 있었던 솔루션이라도 만약 악성코드 전파에 많이 이용된다면 이를 수정해 나갈 필요가 있습니다.
또한, 보안 솔루션을 도입한 것으로 그치지 말고,이를 적절히 운영할 수 있는 전문 보안인력을 육성하는 것이 필수적입니다. 기관 내에서 지속적으로 임직원 보안 교육을 실시하는 것은 두말 할 것도 없습니다.
개인의 경우엔, 어쩌면 듣기 힘든 말일 수도 있습니다만, 한번 자신에게 “나는 보안을 위해 어느 정도의 불편함을 감수할 수 있을까?”라는 질문을 해보는 것이 시작이 될 수 있습니다. 해외의 모 은행에서는 보안 및 다른 이유로 이체 한도 금액을 매우 축소하거나, 이체 날짜가 3-5일 걸리는 경우도 있습니다(실시간 이체는 수수료가 매우 높습니다).
또한, 사전에 이체 계좌를 등록해야 하고, 새로운 이체계좌를 등록할 때마다 계약서를 작성하는 경우도 있습니다. 인터넷 뱅킹 로그인 시에 본인인증을 위해 2-3개의 절차를 거치기도 합니다. 보안과 편리함은 서로 주고 받는 관계라는 인식을 바탕으로 나온 정책일 것입니다.
효율성과 편의성을 추구하는 성향이 강한 우리나라에서 이렇게 한다면 얼마나 많은 사람들이 이런 불편함을 기꺼이 감수할 수 있을까요? 개인 PC를 최초 시작점으로 노리는 현대의 보안 트렌드에서 사고의 책임이 개인 혹은 기관 어느 곳에 100%있다고 하기엔 어렵습니다. 기관의 경우엔 보안위협의 트렌드를 이해하고 준비하는 자세가 필요하고, 개인의 경우엔 조금 불편하더라도1) 송신자가 불분명한 수상한 메일의 첨부파일 및 링크 클릭을 자제하거나 2)소프트웨어 업체가 제공하는 보안패치 설치, 3)백신 업데이트 최신 버전 유지 4)사내에서 개인적인 인터넷 사용 자제등 기본적인 보안 수칙만 지켜도 대부분의 보안 위협은 막을 수 있습니다
또한, 이렇게만 하면 만사 해결이라는 식의 보안 종결론에 휘둘려서는 안됩니다. 만약 우리가 불의의 피해자가 되었을 때, 그 종결론을 주장하신 분들이 책임져주지 않습니다. 보안 위협은 어떤 시스템, 어떤 환경에서도 반드시 존재하며, 알려진 보안 위협을 막으면 또 다른 지금까지 알려지지 않은 보안 위협이 우리를 기다리고 있습니다. 보안은 함께 고민하고 노력해야 할 우리 모두의 몫입니다. <Ahn>
'AhnLab 보안in > AhnLab 보안 바로알기' 카테고리의 다른 글
[안랩 보안 바로알기(Know the security) 캠페인]#7 스미싱 바로알기 (0) | 2020.04.18 |
---|---|
[안랩 보안 바로알기 캠페인(Know the security)]#6 백신기술 진화 바로알기 (0) | 2020.04.18 |
[안랩 보안 바로알기(Know the security) 캠페인]#4 위장 악성코드 바로알기 (0) | 2020.04.18 |
[안랩 보안 바로알기(Know the security) 캠페인]#3 보안 종결론 바로알기 (0) | 2020.04.17 |
[안랩 보안 바로알기(Know the security) 캠페인]#2 APT 바로알기 (0) | 2020.04.17 |