본문 바로가기
AhnLab 보안in

인터넷 뱅킹의 보안 위협과 대책(1)_진화하는 인터넷 뱅킹 사기 수법

by 보안세상 2020. 4. 4.

2008.04.01

 

인터넷 뱅킹 보안을 위협하는 금융사기 수법이 지능화하면서 이런 피해를 막기 위해 여러 은행사이트에서는 인터넷 뱅킹 보안에 비상이 걸렸습니다. 인터넷 뱅킹 이용자를 불안에 떨게 하는 각종 금융사기 수법을 알아보고, 은행 사이트에 접속했을 때 무심코 내려받던 인터넷 뱅킹 보안 프로그램을 제대로 알고 설치하자는 의미에서 각종 은행의 인터넷 뱅킹 보안 프로그램과 안철수연구소의 온라인 통합보한 서비스인 'AOS(AhnLab Online Security)'에 대해 살펴보도록 하겠습니다.


인터넷 뱅킹 사고 8배 증가

한국은행의 ‘국내 인터넷 뱅킹 서비스 이용 현황’에 따르면 2007년도 인터넷 뱅킹 이용 건수가 하루 평균 약 1800만 건으로 전년도에 비해 40%나 증가했다. 한편 금융감독원에 따르면 인터넷 뱅킹 보안 사고가 전년도에 비해 8배나 증가했다. 편리한 인터넷 뱅킹이 보안 측면에서는 많은 불안 요소를 안고 있다는 사실을 다시 한번 일깨웠다.

연초  모 은행의 인터넷 뱅킹 이용자들의 금융 정보가 유출되어 총 7천만 원이 대포통장으로 송금 및 인출되었다는 언론 보도가 있었다. 언론 보도가 있은 직후, 한 네티즌은 ‘인터넷 뱅킹을 이용할 때 보안 프로그램 설치는 많이 하면서도 고스란히 당하고 있다’고 따끔하게 지적했고 ‘인터넷 뱅킹은 안심할 수 없다, 항상 불안해서 직접 송금한다’는 식의 공감을 표하는 댓글들이 많이 올라왔다. 이런 사고는 몇 년 전부터 심심찮게 발생하고 있다.

연도

발생 사고

05년

E은행 키로깅 사건
W은행 해킹 시도
K은행 , H은행 피싱 사건
J상호저축은행 해킹 사건


06년

안전결제/안심클릭 해킹 사건
신용카드 결제금액 변조 사건

07년 파밍 및 공인인증서 해킹사건
실시간 계좌이체 해킹 사건
신용카드 번호 조합/도용 사건
신용카드 복제 사건
신용카드 정보유출 사건

 
인터넷 뱅킹 이용자가 증가함에 따라 지능적인 금융 사기와 해킹 수법이 등장하고 있고, 피해자와 피해 액수가 늘어나면서 인터넷 뱅킹 보안은 심각한 사회 문제가 되고 있는 것이다. 인터넷 뱅킹 사용자를 노리는 위협 요소에는 크게 피싱과 파밍을 비롯한 금융 사기와, 악성코드를 이용한 해킹이 있다.

 

피싱에서 파밍으로 진화하는 인터넷 뱅킹 사기 수법

 

인터넷 뱅킹 사기 수법으로는 피싱과 파밍이 대표적이다. 피싱(phishing)은 개인 정보(private data)를 낚시질(fishing)하듯이 빼낸다는 뜻이다. 피싱은 유명 기관을 사칭하여 ‘패스워드를 변경해주십시오. 24시간 이내에 응답하지 않으면 계좌가 정지됩니다. 개인내역을 확인해주십시오.’라는 내용의 이메일을 보내는 방법을 취한다. 이용자가 이메일에 링크되어 있는 인터넷 주소를 클릭하면 실제 사이트와 똑같은 모습으로 위장된 홈페이지에 접속하게 되고, 아무 의심 없이 위장 사이트에서 계좌번호, 비밀번호, 주민등록번호, 인증서 비밀번호 등 금융 관련 정보를 입력하게 된다. 그렇게 입력된 개인 정보는 추후 금융 사기에 이용된다.

파밍(pharming)은 피싱보다 발전된 수법이다. 이용자 컴퓨터에 트로이목마 프로그램을 몰래 설치해 이용자가 은행의 인터넷 뱅킹 주소를 올바르게 입력했어도 위장 사이트로 접속하게 한다. 해당 사이트의 도메인 자체를 탈취했기 때문에 주소 입력 줄에 제대로 된 인터넷 뱅킹 주소를 직접 입력하더라도 해커가 만든 위장 사이트로 이동한다. 따라서 이용자들은 아무런 의심 없이 계좌정보, 주민등록번호, 보안카드 비밀번호 등을 입력한다. 해커들은 이렇게 확보된 개인 정보로 공인인증서를 발급받고 해당 계좌의 돈을 대포통장으로 송금하거나, 신용카드 번호를 이용해 게임 사이트나 쇼핑몰에서 불법 결제하는 등 지능화된 금융 사기를 벌이고 있다.

 

그렇다면 위장 사이트를 어떻게 구별해야 할까? 웹 브라우저의 주소 창에 적힌 URL이 틀린 경우는 쉽게 발견할 수 있지만, 웹 브라우저의 주소 입력 줄에 직접 주소를 입력해도 다른 사이트에 접속하게 되었다면 정상 사이트로 오해할 수밖에 없다. 따라서 인터넷 뱅킹을 이용하려는 과정에서 이용자 스스로가 신중하게 다음과 같은 사항을 살펴봐야 한다.

 

계좌번호, 비밀번호, 주민등록번호, 인증서 암호 등의 금융 정보를 하나의 화면에서 한꺼번에 입력하게 되어 있는 경우, 정상적인 사이트와 달리 입력해야 하는 보안카드 비밀번호의 개수가 많은 경우, 계좌번호나 인증서를 선택하는 목록이 나오지 않고 직접 입력하게 되어 있는 경우에 해당 사이트를 의심해볼 필요가 있다.
 
금전 노린 악성코드 갈수록 지능화

피싱이나 파밍은 비록 속아서이기는 하지만 사용자가 자발적으로 개인 정보를 입력하게 되어 있다. 그러나 언제 빠져나가는지도 모른 채 개인 정보가 빠져나가는 경우도 적지 않다. 최근 발생한 예금 인출 사고도 이 경우에 해당한다.

 

이런 해킹 프로그램은 보안에 취약한 웹페이지에 접속했을 때 설치되거나 인터넷 서핑을 할 때 불법복제된 게임 프로그램이나 기타 소프트웨어를 내려받을 때 함께 설치되기도 한다. 일단 설치되면 키보드로 입력되는 정보를 저장해 해커에게 전송하거나 해커에 의해 원격 관리된다.

 

최근 보안 위협은 공격 대상이 전세계 불특정 다수에서 한 회사, 한 커뮤니티 등으로 국지화하고 있으며, 자료의 변조/파괴에서 개인의 신용 정보나 기관의 기밀 정보를 유출로 목적이 바뀌고 있다. 이런 정보를 현금으로 교환하는, 이른바 '사이버 블랙 마켓'이 활성화해 신상 정보 및 신용카드 정보 등이 거래되고 있는 것으로 알려져 있어 심각성을 더한다.

  팁팁팁 - 인터넷 뱅킹 보안 수칙

1. 통합보안 솔루션을 설치한다.

2. 
은행 사이트마다 보안 문제와 관련하여 해결, 처리 방법이 다르기 때문에 문제가 있거나 의심되는 부분이 있다면 은행 고객사이트에 직접 연락하여 문의해본다.

3. 
불필요한 소프트웨어, 액티브X는 설치하지 않는다.

4. 
포털이나 조그만 인터넷 쇼핑몰, 게임 사이트, UCC사이트, 데이터 관리가 취약한 사이트에서 사용하는 비밀번호와 금융 사이트에서 사용하는 비밀번호는 반드시 다르게 지정한다.

5. 
피싱, 파밍, 키로거를 막기 위한 프로그램은 인터넷 뱅킹을 하기 전에 설치해야 한다. 즉 은행에 접속해 ID와 비밀번호 등을 입력한 후에 보안 프로그램이 실시되는 것이 아니라, 개인 정보를 입력하기 전부터 보안 프로그램이 작동하고 있어야 한다.

6. 
인터넷 뱅킹을 할 때에만 작동하는 위험 프로그램이 숨어있을 수 있으니, 인터넷 뱅킹을 이용하지 않을 때라도 항상 보안에 신경 써서 PC를 깨끗하게 유지한다.