위협받는 인터넷 뱅킹 보안수칙 9가지

2009.08.24

 

인터넷 뱅킹 보안 수칙

 

인터넷 뱅킹과 관련된 해킹 사고가 심심찮게 발생하고 있다. 얼마 전 중국 해커가 국내 은행에서 거액을 인출하는 사건이 발생했다. 이는 수십 명의 금융 정보를 알아내어 그들 계좌에서 수억 원이라는 거액을 훔쳤기 때문이다. 언론 보도에 따르면 이는 피해자들의 대부분이 계좌번호, 보안카드 번호 등 중요한 개임 금융정보를 스캔하여 이메일 계정이나 웹하드 등에 올려 놓았고 이를 해커가 해킹을 통해 빼간 것으로 나타났다.

 

한 방송사의 보도에는 보안 프로그램의 문제점을 지적하는 내용이 포함되어 있었다. 이는 키보드로 입력되는 정보를 스니핑하는 해킹 프로그램에 대해 키보드 보안 프로그램이 완벽하게 막아내지 못한다는 내용의 시연이 있었다. 시연에 사용된 키보드 스니퍼는 국내에서 꽤 유명한 보안 연구그룹에서 제작한 프로그램으로 보다 정확한 명칭은 키보드 포트 폴링을 통한 스니퍼 프로그램이다.

 

현재 안철수연구소에서 확인 한 바로는 국내 몇 보안 회사에서 제공하는 키보드보안 제품에는 키보드 포트 폴링 방식에 취약점을 가지고 있다. 반면 안랩의 AOS(안랩온라인시큐리티) 제품의 경우 키보드 포트 폴링에 대한 차단 기술기술에 대한 특허를 보유하고 있다. 해당 방송사에서 실시한 시연의 방식에 대한 문제점이 제기 되기도 하였다. 이는 시연 시 사용된 키보드 스니퍼 프로그램 설명 문서에서 프로그램의 한계를 명확히 하고 있다는 것이다.

 

SMM(System Management Mode)을 이용하여 해킹하는 이 방식은 2004년 이후 기술 보안으로 인해 현실에서 적용하기 힘들다는 견해이다. 하지만 중요한 점은 제대로 된 보안시스템이 없는 PC에서 인터넷뱅킹을 하면 해킹의 표적이 될 수 있다는 점이다.

 

안철수연구소는 홈페이지와 언론을 통해 수 차례 인터넷 뱅킹 사용 수칙을 발표한 적이 있다. 물론 그 내용에는 개인정보 저장에 관한 방법들이 포함되어 있었다. 그러고 보면 아직까지 보안에 관심이 상대적으로 적은 혹은 문제를 인식 못하는 사용자들이 많아 안타까운 마음이다.

다시 한번 인터넷 뱅킹 사용시 지켜야 할 보안 수칙을 알아본다.

 

인터넷 뱅킹 보안수칙

1.  공인인증서, 보안카드, 비밀번호 등을 스캔해서 사진파일이나 엑셀파일 형태로 개인 이메일 계정 또는 인터넷 하드에 저장하지 않는다.

2.  가급적 공인인증서는 PC보다 USB나 외장하드 등 이동저장매체에 보관해서 인터넷 뱅킹 사용시에만 PC에 연결해서 사용한다.

3.  보안카드보다 OTP(One Time Password)나 MOTP(Mobile One Time Password) 등을 사용한다.

4.  은행 인터넷뱅킹 계정이나 포탈 메일 계정 비밀번호 주기적 변경 및 관리한다.

5.  인터넷 금융거래 계정 ID와 비밀번호는 포탈 메일 계정 ID비밀번호와 다르게 사용하고 절대 타인에게 알려주지 않는다.

6.  PC방 등 공공장소에서 인터넷뱅킹 사용은 물론 각종 사이트에 로그인을 하지 않는다.

7.  MS 윈도우 보안패치 및 백신을 설치하여 주기적인 백신 업데이트를 해 늘 최신으로 유지한다.

8. 업데이트 한 백신의 실시간 검사를 이용하고 주기적으로 수동 검사를 한다.

9.  계좌이체, 공인인증서 재발급 등 이용 내역을 알려주는 휴대전화 문자(SMS)서비스 이용한다

글: ASEC 대응팀

위 글은 안랩닷컴  

  페이지에서도 제공되고 있습니다.

보안에 대한 더 많은 정보 안랩닷컴에서 찾으세요 :D