인터넷 뱅킹 안전하게 사용하자(2)

2008.04.25

 

인터넷 뱅킹 인구가 늘어나고 있습니다. 그러나 인터넷 뱅킹을 이용하면서도 혹시 내 계좌정보가 새나가지 않을까? 공인인증서의 패스워드가 악성코드에 유출되지 않을까? 불안해 하시는 분들도 많이 계실 것입니다. 안철수연구소 서비스개발팀 황용석 선임연구원이 안전하게 인터넷 뱅킹을 하는 방법에 대해 여러분들에게 알려드립니다.


인터넷뱅킹을 안전하게 하는 법은 딱 두 가지만 염두에 두면 된다.

첫째는 아무것도 믿지 않는다
-누군가 뭘 하라고 하면-예를 들어 뭔가를 다운로드 하라고 한다거나 링크를 클릭하라고 한다거나 한다면 기본적으로 “No”이다.
-이것은 PC에만 국한된 것이 아니라 전화, 우편물, 신문광고 등도 포함한다.
-공인인증서, 보안카드는 “인감도장”과 같은 것이다. 절대로 타인에게 대여하면 안 된다.

둘째는 최소한의 대비를 한다
-최신 OS 설치
-자동업데이트 설정
-IE 보안 설정 확인
-보안제품설치

위에 언급한 것만으로도 정말 충분한지 하나하나 자세히 알아보자.

첫 번째 “아무것도 믿지 않는다.”는 사기와 피싱 등 사회공학적 접근에 대한 것이다. 이것이 첫 번째인 이유는 이 사회공학적 방법으로 이루어지는 사기나 피싱이 기술적인 공격보다 너무 쉽게 이뤄지고 그 피해도 크기 때문이다. “케빈 미트닉”이라고 영화의 소설 주인공으로 여러 차례 다루어진 세계에서 가장 유명한 전설적인 해커가 있다. 이 해커는 1995년 체포되어 기업서버, 정부기관 등 수없이 많은 시스템을 공격하고 신용카드 정보와 휴대폰 제어프로그램을 훔치는 등의 25가지 죄목으로 기소되었다. 그 후 5년 간 감옥살이를 하고 2001년 가석방 후에도 이 해커에게는 3년간 컴퓨터 근처에는 가지도 못하도록 보호관찰 명령까지 받았다. 이와 같은 엄청난 업적(?)의 중심에는 사회공학적 방법이 있다. 이 자가 저지를 해킹의 80%는 전화통화로 시작되었다는 소문이 있을 정도이다. 케빈 미트닉은 시스템을 해킹할 때 가장 취약한 부분을 찾아서 그 곳을 공략했고, 가장 효과적인 것이 사회공학적 방법이었다고 회고한다. 미트닉이 저지른 사회공학적 해킹 사례 하나를 살펴보자. 이 것은 2003년 슬래시닷(온라인 IT 저널)에 올라온 케빈 미트닉과의 대담 기사에서 발췌한 것이다.

언제가 친구가 자신의 스프린트(미국의 통신업자) 전화카드 번호를 알아내 보라고 도발(?)해 왔다. 내가 만약 번호를 알아낸다면, 저녁을 사겠다고 했다. 나는 IT부서 직원인척 하면서 고객 서비스 센터에 전화를 해서 전화를 했다. 나는 그녀에게 그녀 컴퓨터에 어떤 문제가 있냐고 물었고 그녀는 없다고 했다. 나는 내가 올바른 서비스 센터에 업무지원을 해주었는지를 확인해야 한다고 핑계를 대고 그녀에게 그녀가 고객 계정에 접근하기 위해 사용하는 시스템 이름을 물어보았다. 그녀는 나에게 대답해 주었다. 그러고 나서 나는 즉시 다시 전화를 걸었다. 다른 서비스직원이 받았다. 나는 그녀에게 내 컴퓨터가 다운되었고, 고객 계정을 조회하려고 한다고 이야기 했다. 그녀는 그것을 그녀의 터미널에 올려 두고 있었다. 내가 그녀에게 고객의 전화카드번호를 물었다. 그녀는 내게 수 백 가지 질문을 해대기 시작했다. 당신 이름이 뭐라고 했죠? 어디서 일해요? 당신이 지금 있는 곳 주소는? 등등등. 나는 준비를 철저히 하지 않았기 때문에 이름하고 주소만 맞출 수 있었다. 그녀는 내 전화를 보안부서에 신고하겠다고 내게 말했다. 나는 실패한 것이다.

그러나, 나는 그녀의 이름을 알고 있다. 나는 또 다른 내 친구에게 상황을 설명하고 보안 수사관인척하고 리포트를 받아 달라고 부탁했다. 친구는 고객 서비스 센터에 다시 전화를 해서 좀 전에 알아낸 이름의 직원을 바꿔달라고 했다. 보안수사관인 내 친구는 그녀에게 허가 받지 않은 사람이 전화를 걸어 고객정보를 빼 가려는 시도에 대해서 리포트를 받고 있다고 말했다. 의심스러운 전화에 대한 시시콜콜한 정보를 받은 다음 보안수사관(내 친구)은 그녀에게 수상한 전화가 무엇을 물어 봤냐고 물었다. 그녀는 고객전화카드 번호라고 대답했다. 보안수사관(내친구)은 그 번호를 물어봤고 그녀는 대답해 주었다. 와우!

미트닉이 저지른 전화사기는 국내에서 발생하는 것-전화비가 연체되었다 던가-처럼 단순하지가 않다. 꽈배기처럼 한 두 번 꼬아놓은 시나리오로 다각도에서 공략하기 때문에 정신을 바짝 차리고 있어야 한다. 또 다른 사례로 국내에서 있었던 온라인 사기를 살펴보자.

이것은 모 카페에서 2년 전에 있었던 일이다. 어느 날 카페 게시판에 초고속통신망에 가입하면 30만원을 준다는 모집글이 올라왔다. 최근에는 정부의 제재로 이런 일이 많이 줄었지만 1~2년 전쯤만 해도 주변 지인들의 청탁부터 시작해서 난리도 아니었던 것을 기억할 것이다. 당시 이벤트(?)는 초고속인터넷에 가입하면 보통 20만원 정도의 상품이나 현금 지급하는 것이 주류를 이루었었다. 그런데, 이 게시물에는 30만원을 준다고 하니 몇몇 사람들이 혹해서 신청을 했었나 보다. 신청 후 며칠 수 방문기사가 집에 와서 인터넷을 새로 설치해 주고 돌아갔다. 그런데, 며칠이 지나도 현금이 입금되지 않는 것이다. 신청자들은 이벤트를 진행하던 업체에 항의전화를 하기 시작했는데, 업체로부터 돌아온 응답은 이미 현금을 지급했다는 것이다. 이게 어떻게 된 일 일까? 이 사기사건은 사기꾼이 카페에 게시물을 올릴 때 자기 메일주소로 신청서를 보내도록 한 것에서 시작한다. 사기꾼은 신청서를 수집하고 현금지급 계좌번호를 자기 것으로(아마도 대포통장)바꾼 다음 다시 진짜 인터넷업체에 신청한 것이다. 이 사건은 신청자들이 사기인지 아닌지 식별해 내기 쉽지 않다. 거의 불가능하다고 할 수 있다. 왜냐하면 당시 이와 같은 형태로 신청자를 모집하는 케이스가 많았고, 게시물에 적혀있는 전화번호로 확인전화를 해본다 한들 진짜 업체가 전화를 받기 때문에 확인이 어렵다.

특히 최근에는 위와 유사한 수법-신문광고와 전화로 인터넷대출을 빙자하여 고객을 속이고, 인터넷뱅킹에 사용되는 공인인증서와 보안카드 정보를 고객으로부터 직접 건 내받는 사기사건이 발생하고 있다. 공인인증서와 보안카드는 “인감도장”과 동일한 것이다. 절대로 타인에게 주어서는 안 된다.

전화나 카페 게시물 만으로도 이렇게 막강한데 여기에 테크놀로지까지 접목되면 정말 쥐도 새도 모르게 당하고 만다. 이번에 있었던 옥션의 개인정보유출사건이나 청와대 정보 유출 사건이 이와 같은 사례의 대표적인 예라고 할 수 있다. 도대체 어떤 테크놀로지가 이용되길 때 쥐도 새도 모를까? 이 들은 시스템에 존재하는 취약점을 공략하는 방법을 사용한다. 이 취약점은 모든 프로그램에 여러 가지 형태로 존재하게 되는데 해커들은 이러한 취약점을 집요하게 찾아내서 공격을 시도한다. 예전과 달리 지금은 방화벽 등으로 네트워크가 보호되고 있기 때문에 네트워크 외부에서 내부로 직접 침투해 들어가기는 쉽지 않다. 따라서, 해커는 내부의 사용자가 외부로 접속하도록 여러 사회공학적 방법으로 유도하고 있다. 요즘 유행하는 방법은 취약점을 공략하는 코드로 무장된 웹사이트를 준비해 두고, 사용자가 공격용 웹사이트를 방문하도록 메일을 보내거나 메신저로 링크를 보낸다. 메일이나 메신저로 링크를 보낼 때는 당연히 친구가 재미있는 동영상을 보내는 것처럼 위장한다. 이런 링크를 클릭하면? 수초에서 3분 내에 당신의 PC는 공격자의 먹이가 된다. 예전과 달리 지금은 이런 공격을 받아서 악성코드가 설치되어도 PC가 느려지거나 팝업창이 뜨거나 하지 않는다. 은밀하고 조용히 기밀문서를 외부로 전송할 뿐이다.

이런 악성코드는 유용해 보이는 툴바나 기타 유틸리티로 가장해서 배포되기도 하고, 배포시점에는 유용한 유틸리티였지만 어느 순간 악성코드로 돌변하기도 하니 가급적이면 인터넷에서 뭔가를 다운받아서 PC에서 실행하지 않는 것이 좋다.

이런 공격에 우리는 완전히 속수무책일까? 그렇지는 않다. 누군가 보낸 메일이나 메신저의 링크는 클릭하여 열어보지 않으면 그만이다. 사실 중요한 업무나 내용을 저런 식으로 링크로 보낼 리가 없으니-특히 금융기관은 더더욱 그렇다.- 안 열어보면 된다. 궁금할 것도 없다. 정 궁금하면 친구에서 네가 보낸 것이 맞냐고 한번 물어보면 그만이다. 그리고, 시스템이 자동으로 업데이트 되도록 설정해 두었다면 대부분의 경우 위와 같은 웹페이지를 방문한다 하여도 취약점이 패치가 되었기 때문에 아무 일도 일어나지 않는다. 그렇기 때문에 반드시 자동업데이트 설정을 해야 한다. 자동업데이트설정은 아래에서 다시 한번 설명하겠다.

이와 같은 사회공학적인 해킹을 피하는 구체적 실 사례 몇 가지를 살펴보자. 이 것들의 공통점은 “아무것도 믿지 않고, 거절한다”이다. 너무 빡빡하다고 생각될 지도 모르지만, 이렇게 하면 인터넷뱅킹 뿐만 아니라 개인정보유출에도 안심하고 PC를 쓸 수 있게 된다.

-은행/증권사를 제외한 웹사이트에서 배포하는 프로그램은 설치하지 않는다.
-미심쩍은 제목, 발신자의 메일은 열어보지도 않는다.
-이메일 내용에 들어있는 이미지, 버튼, 링크를 클릭하지 않는다.
-메신저로 받은 프로그램이나 링크를 클릭하지 않는다
-신뢰가 가지 않는 작은 쇼핑몰에서는 물건을 구입하지 않는다. 당신은 구별할 수 있는가?
-잘 모르는 프로그램을 설치하겠냐고 물어오면 “예”, “아니오”를 선택하지 않고 창을 닫는다.
-PC방, 전산실 등 공개된 PC에서는 쇼핑이나 인터넷뱅킹을 하지 않는다.

온라인이건 오프라인이건 간에 사기에 당하지 않는 거의 유일한 방법은 이런 류의 개인간 거래나 이벤트에 가능한 참가하지 않는 것뿐이다. 특히, 뭔가 엄청난 혜택을 준다거나 상식을 넘어서는 조건을 제시하는 경우에는 매우 조심해야 한다(세상에 공짜는 없다). 사회공학적인 “사기”와 기술이 접목되면 막강한 파괴력을 갖게 된다. 우리 스스로 의심하고 조심하며 보안에 대한 원칙을 지킬 때 만이 사기범죄를 예방할 수 있다. 케빈은 슬래시닷과의 대담에서 “세상의 어떤 기술도 인간이 속고 조종당하는 것을 멈출 수 없다”고 말하면서 짧은 문장을 하나 소개했다. “There is no patch for stupidity”. 각자 스스로 조심해야 한다.

인터넷 뱅킹 안전하게 사용하자(1)[클릭]
인터넷 뱅킹 안전하게 사용하자(3)[클릭]