인터넷 뱅킹 서비스, 더욱 안전하게 사용하기

2010.02.16

 

얼마 전 뉴스에 인터넷 뱅킹을 통해 고객 본인도 모르게 돈이 유출된 사건에 대해 보도된 적이 있었다. 범인은 중국동포 2명으로 해킹의 진원지를 숨기기 위해 국내 업체의 IP를 경유하는 이른바 'IP세탁'을 했고, 컴퓨터 자판 입력 내용을 몰래 엿볼수 있는 바이러스를 퍼뜨려 고객 정보를 알아낸 것으로 조사됐다. 당시 3백여 개의 아이디가 해킹당했고, 그 가운데 86명의 계좌에서 4억 4천만 원이 빠져나간 것으로 보도되었다. 그들은 해킹한 아이디와 패스워드로 피해자의 웹메일 사이트에 접속을 했고, 그 중 이메일에 보안카드(스캐닝한 이미지)를 보관했던 사람이 범죄대상이 되었다.

 

웹메일에는 절대로 보안카드와 공인인증서 정보를 남기면 안된다.

 

대부분의 인터넷 사용자는 사이트마다 아이디와 패스워드를 동일하게 사용하는 패턴을 가지고 있다. 별도로 관리하는 것이 귀찮고, 동일한 계정정보를 사용하지 않으면 헷갈리기 때문이다. 그렇기 때문에 해커가 특정한 사이트의 계정을 확보했다면 다른 사이트도 그 계정으로 접속이 될 가능성이 높고, 웹메일 또한 접속이 될 것이기 때문이다. 웹메일에 보안카드, 공인인증서 등을 남기는 것은 길거리에 통장과 도장을 놓고 다니는 것과 다름이 없다고 본다(웹메일 사이트의 보안이 취약해서가 아니라, 앞서 말했듯이 사이트마다 계정을 동일하게 사용하기 때문이다). 다시 한번 더 말하지만 절대로 보안카드나 공인인증서 등 인터넷뱅킹을 접속할 수 있는 정보를 웹메일에 남겨놓으면 안된다.

 

뱅킹 보안프로그램은 어떤 것이 있을까?

 

상당수의 사용자가 인터넷뱅킹 사이트에 접속했을 때에 설치되는 보안프로그램을 귀찮아 하는 경우가 있다. 필자도 뱅킹을 자주 사용하는 사용자로서 그 마음을 이해하지 하지만, 인터넷 뱅킹은 인터넷에서는 가장 크리티컬한 서비스 중에 하나이므로 보안은 필수적인 요소라고 생각한다. 또한 국내의 은행사이트는 금융감독원의 지침 하에 인터넷 뱅킹 이용 시 보안프로그램의 의무적으로 동작이 되도록 구성되어 있다.

 

한번은 이런 일이 있었다. 인터넷 뱅킹 접속장애가 있는 고객이 있어서 그 분의 PC를 확인하다 보니 고객 스스로 보안프로그램을 동작하지 않도록 해놓은 것이었다(인터넷 어디서 찾아보고 해봤다고 한다). 필자가 사유를 물어봤더니 귀찮아서라는 답변이 돌아왔다. 그때 고객께 말씀 드리지 못했지만 이렇게 말을 하고 싶은 마음이 굴뚝같았다. “집의 대문을 열고/닫기 귀찮다고, 대문을 열어두고 다니실 거냐고…”

 

그러면 이제 인터넷 뱅킹시 동작되는 보안 프로그램을 알아보기로 하자.

 

- 공인인증서

공인인증서는 인터넷을 통해 거래할 때 본인임을 확인하기 위해 전자적으로 신분을 확인하는 디지털 서명이다. 전자서명법에 근거해 만들어진 인증방법으로, 국내 공인인증기관에서 ‘나’ 라는 신분확인을 증빙했다면 법적으로 인증되어 공인인증서를 발급받게 된다. 공인인증서가 내 신분을 증명하기 때문에 인터넷 뱅킹시 내 계좌에서 출금과 송금이 가능한 것이다. 

 

공인인증서 화면

- 키보드보안

키보드 보안 프로그램은 ID와 비밀번호 등 키보드로 입력할 수밖에 없는 비밀번호, 계좌번호, 암호 등을 훔쳐가기 위해 이용자의 PC에 몰래 설치되어서 실행되는 ‘키로거’를 막기 위한 것이다. 이 키보드 보안 프로그램은 키입력에 대한 방어를 목적으로 주로 하기 때문에 키로거를 차단하는 기능을 일반적으로는 가지고 있지 않다. 키로거 차단은 방화벽의 추가기능인 실시간 감시 및 차단기능에서 하는 것이 보통이다.  

 

우리은행 접속 시 동작하는 키보드 보안 프로그램

- 방화벽

방화벽은 네트워크를 통해서 불법적인 침입을 해오는 것을 제한하여 내부 정보가 유출되는 것을 막기 위한 보안 프로그램이다. 외부에서 내부로 들어오는 침입, 내부에서 외부로 나가는 정보를 모두 제한할 수 있다. 그리고, 뱅킹에서 사용되는 방화벽은 방화벽 본래의 기능에 추가적으로 실시간 감시 및 차단기능을 통해서 해킹툴을 제거하는 기능도 갖추고 있는 경우도 많다. 

 

방화벽 화면

 

뱅킹 보안 프로그램만 믿으면 될까? 더 안전한 방법은 있을까?

 

은행사이트에 적용된 보안프로그램이 설치된 상태에서 뱅킹에 접속할 경우 비교적 안전하게 은행거래를 할 수 있다. 하지만 한가지 알아둘 것이 있는데 그것은 뱅킹 보안프로그램의 동작구조상 취약점이 있는 부분이 있다는 것이다. 일반적으로 백신(안티바이러스) 프로그램 등은 컴퓨터를 부팅하면서 동시에 작동이 되기 때문에 보호구간 기준으로 봤을 때 취약점이 없다. 컴퓨터를 켜놓는 동안 계속 보안기능이 작동하기 때문이다. 하지만, 뱅킹 보안프로그램은 은행에 접속했을 때 실행이 되는 구조이기 때문에 이미 바이러스에 감염이 되어있다던지, 키로거 등이 이미 설치되어 있는 상태로 뱅킹에 접속할 수 있다는 것이다. 물론 최근 뱅킹 보안프로그램들은 이런 상황에 대처할 수 있도록 동작하고 있지만, PC가 바이러스에 장악(?)되어 있는 상태에서는 동작에 한계가 있는 것도 사실이다.

 

결론적으로, 뱅킹 보안프로그램은 상주형 보안프로그램이 아니기 때문에 좀더 안전한 뱅킹 서비스를 이용하려면 상주형으로 동작하는 백신 또는 통합보안프로그램을 설치해야 한다는 것이다. 하루에도 수 만개의 악성코드가 만들어지는 현실에서 안전한 인터넷 뱅킹은 개인PC 보안에서부터 출발한다는 것을 잊지 말자.

 

한 가지 팁

어느 하나의 웹사이트에서 개인정보가 유출 될 경우 줄줄이 피해가 일어날 가능성이 높으므로, 가능하면 사용하는 웹사이트의 보안 체계나 필요한 보안 등급을 나름대로 정리를 하여 패스워드를 등급에 따라 다르게 만드는 것이 좋다. Ahn

 

글 : 이연조 선임연구원 / 안철수연구소 보안기술팀 

 

위 글은 안랩닷컴 

 페이지에서도 제공됩니다.
안랩닷컴 보안정보 中 보안포커스 / 전문가 칼럼
http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=1&menu_dist=3&seq=15609&columnist=0&dir_group_dist=0&dir_code=
보안에 대한 더 많은 정보 안랩닷컴에서 찾으세요 :D