인터넷 뱅킹의 보안 위협과 대책(2)_인터넷 뱅킹 보안 프로그램을 파헤친다

2008.04.04

 

인터넷 뱅킹 보안을 위협하는 금융사기 수법이 지능화하면서 이런 피해를 막기 위해 여러 은행사이트에서는 인터넷 뱅킹 보안에 비상이 걸렸습니다. 인터넷 뱅킹 이용자를 불안에 떨게 하는 각종 금융사기 수법을 알아보고, 은행 사이트에 접속했을 때 무심코 내려받던 인터넷 뱅킹 보안 프로그램을 제대로 알고 설치하자는 의미에서 각종 은행의 인터넷 뱅킹 보안 프로그램과 안철수연구소의 온라인 통합보한 서비스인 'AOS(AhnLab Online Security)'에 대해 살펴보도록 하겠습니다.


인터넷 뱅킹 보안 프로그램을 파헤친다, 팍팍!

 

속수무책으로 당하게 되는 금융 사고를 막기 위해 인터넷 뱅킹 사이트에 접속하자마자 여러 보안 프로그램을 설치하라는 보안 경고 창이 뜬다. 우리가 인터넷 뱅킹을 이용하면서 어떠한 종류의 보안 프로그램을 왜 설치하는지, 현재 보안 프로그램들에서 발견되는 한계는 없는지 알아보았다.

 

2006년도 금융감독원이 인터넷 금융 사고 예방을 위해 의무화한 이래로 은행 사이트에서 필수적으로 설치되어야 하는 보안 프로그램 세 가지가 있다. 바로 방화벽, 키보드 보안, 공인인증서이다.

 

방화벽은 외부에서 내부로 네트워크를 통한 불법적인 침입을 해오는 것을 제한하여 내부 정보가 유출되는 것을 막기 위한 보안 시스템이다.

키보드 보안(Anti-KeyLogger) 프로그램은 ID와 비밀번호 등 키보드로 입력할 수밖에 없는 비밀번호, 계좌번호, 암호 등을 훔쳐가기 위해 이용자의 PC에 몰래 설치되어서 실행되는 ‘키로거’를 막기 위한 것이다. 키보드로 입력되는 개인 정보를 암호화하여 유출되지 못하게 하는 기능을 제공하며, 왼쪽 그림과 같이 대부분 주소 표시줄의 알림 영역(시계/날짜 표시 영역)에 아이콘으로 표시된다.

 

비밀번호를 입력하는 공간에 마우스를 클릭해보면 아이콘이 깜빡거리는데, 이는 키보드 보안 모듈이 실행 중임을 의미한다. 데이터가 입력된 뒤 네트워크를 통해 전송되는 과정에 여러 단계가 있는데, 키로거마다 데이터를 훔쳐가는 단계가 다르고 그 중간 과정에서 계속 데이터를 훔치려고 시도한다. 따라서 키보드 보안 프로그램은 어느 단계에서 방어를 할 것인지를 결정하여 방어한다.

공인인증서는 인터넷을 통해 거래할 때 ‘나’임을 확인하기 위해 전자적으로 신분을 확인하는 디지털 서명이다. 전자서명법에 근거해 만들어진 인증방법으로, 국내 공인인증기관(총 4군데)에서 ‘나’의 신분확인을 증빙했다면 법적으로 인증되어 공인인증서를 발급받게 된다. 공인인증서가 내 신분을 증명하기 때문에 인터넷 뱅킹 시 내 계좌에서 출금과 송금이 가능한 것이다.
현재 시중 은행 사이트에 접속할 때 설치되는 보안 프로그램들은 매우 다양하다. 은행 사이트 한 곳만 접속해도 최소한 세 종류의 보안 프로그램이 깔리며, 다른 은행 사이트에 접속해도 비슷한 기능을 하되 제작사가 다른 또다른 보안 프로그램이 깔린다. 수십 개의 보안 프로그램이 깔려있는 내 컴퓨터에서 인터넷 뱅킹은 안전할 수밖에 없지 않을까?

 

하지만 은행 사이트의 여러 보안 프로그램을 설치하면 각 제품 간 충돌이 자주 발생할 수 있다. 각 프로그램이 더 많이 보안하려고 경쟁하는 과정에서 경합이 발생하기 때문이다. 한 컴퓨터에서 여러 은행의 인터넷 뱅킹을 사용하기 위해 비슷한 기능을 하는 보안 프로그램을 여러 개 깔아놓는 것이 결코 추천할 만한 것은 아닌 셈이다. 따라서 은행 보안 프로그램을 제작한 업체들이 ‘이 수준으로 보안하자’고 규약을 정하는 것이 좋겠지만, 보안 레벨이 공개되었을 경우에 오히려 해킹의 취약점이 될 수 있으므로 쉽게 판단할 문제는 아니다. 또한 보안수준이 높은 보안 프로그램을 많이 깔아놓았더라도 이용자 컴퓨터의 운영체제 자체의 결함으로 해킹이 이루어지기도 한다.

 

일부 이용자들 중에는 은행 사이트에 접속할 때마다 ‘업데이트 설치’ 창이 자주 뜨는 것을 귀찮아하거나 의심하는 경우도 있다. 보안성을 더욱 강화하기 위해 업데이트하는 것이니 오히려 긍정적으로 받아들여야 한다. 또한 현재의 보안 프로그램들은 ASP 방식이라 다른 사이트에서 똑같은 기능을 가진 프로그램을 업데이트했어도 다른 사이트로 이동할 때도 다시 업데이트된다. 업데이트는 바이러스 정보가 나올 때마다 치료 엔진을 업데이트하기 위한 엔진 업데이트와, 제품 자체의 개선을 위한 제품 업데이트로 나뉜다.

※ 팁팁팁 - 인터넷 뱅킹 보안 수칙 1. 통합보안 솔루션을 설치한다. 2. 은행 사이트마다 보안 문제와 관련하여 해결, 처리 방법이 다르기 때문에 문제가 있거나 의심되는 부분이 있다면 은행 고객사이트에 직접 연락하여 문의해본다. 3. 불필요한 소프트웨어, 액티브X는 설치하지 않는다. 4. 포털이나 조그만 인터넷 쇼핑몰, 게임 사이트, UCC사이트, 데이터 관리가 취약한 사이트에서 사용하는 비밀번호와 금융 사이트에서 사용하는 비밀번호는 반드시 다르게 지정한다. 5. 피싱, 파밍, 키로거를 막기 위한 프로그램은 인터넷 뱅킹을 하기 전에 설치해야 한다. 즉 은행에 접속해 ID와 비밀번호 등을 입력한 후에 보안 프로그램이 실시되는 것이 아니라, 개인 정보를 입력하기 전부터 보안 프로그램이 작동하고 있어야 한다. 6. 인터넷 뱅킹을 할 때에만 작동하는 위험 프로그램이 숨어있을 수 있으니, 인터넷 뱅킹을 이용하지 않을 때라도 항상 보안에 신경 써서 PC를 깨끗하게 유지한다.