인터넷 뱅킹 보안 수칙 (안철수랩)

[fbilee]

한국은행의 ‘국내 인터넷 뱅킹 서비스 이용 현황’에 따르면 2007년도 인터넷 뱅킹 이용 건수가 하루 평균 약 1800만 건으로 전년도에 비해 40%나 증가했다. 한편 금융감독원에 따르면 인터넷 뱅킹 보안 사고가 전년도에 비해 8배나 증가했다. 편리한 인터넷 뱅킹이 보안 측면에서는 많은 불안 요소를 안고 있다는 사실을 다시 한번 일깨웠다.

지난 달 모 은행의 인터넷 뱅킹 이용자들의 금융 정보가 유출되어 총 7천만 원이 대포통장으로 송금 및 인출되었다는 언론 보도가 있었다. 언론 보도가 있은 직후, 한 네티즌은 ‘인터넷 뱅킹을 이용할 때 보안 프로그램 설치는 많이 하면서도 고스란히 당하고 있다’고 따끔하게 지적했고 ‘인터넷 뱅킹은 안심할 수 없다, 항상 불안해서 직접 송금한다’는 식의 공감을 표하는 댓글들이 많이 올라왔다. 이런 사고는 몇 년 전부터 심심찮게 발생하고 있다. 인터넷 뱅킹 이용자가 증가함에 따라 지능적인 금융 사기와 해킹 수법이 등장하고 있고, 피해자와 피해 액수가 늘어나면서 인터넷 뱅킹 보안은 심각한 사회 문제가 되고 있는 것이다. 인터넷 뱅킹 사용자를 노리는 위협 요소에는 크게 피싱과 파밍을 비롯한 금융 사기와, 악성코드를 이용한 해킹이 있다.

   연도

 발생 사고

05년

 E은행 키로깅 사건

W은행 해킹 시도

K은행 , H은행 피싱 사건

J상호저축은행 해킹 사건

06년

 안전결제/안심클릭 해킹 사건

신용카드 결제금액 변조 사건

07년 파밍 및 공인인증서 해킹사건

실시간 계좌이체 해킹 사건

신용카드 번호 조합/도용 사건

신용카드 복제 사건

신용카드 정보유출 사건

피싱에서 파밍으로 진화하는 인터넷 뱅킹 사기 수법

인터넷 뱅킹 사기 수법으로는 피싱과 파밍이 대표적이다. 피싱(phishing)은 개인 정보(private data)를 낚시질(fishing)하듯이 빼낸다는 뜻이다. 피싱은 유명 기관을 사칭하여 ‘패스워드를 변경해주십시오. 24시간 이내에 응답하지 않으면 계좌가 정지됩니다. 개인내역을 확인해주십시오.’라는 내용의 이메일을 보내는 방법을 취한다. 이용자가 이메일에 링크되어 있는 인터넷 주소를 클릭하면 실제 사이트와 똑같은 모습으로 위장된 홈페이지에 접속하게 되고, 아무 의심 없이 위장 사이트에서 계좌번호, 비밀번호, 주민등록번호, 인증서 비밀번호 등 금융 관련 정보를 입력하게 된다. 그렇게 입력된 개인 정보는 추후 금융 사기에 이용된다.

파밍(pharming)은 피싱보다 발전된 수법이다. 이용자 컴퓨터에 트로이목마 프로그램을 몰래 설치해 이용자가 은행의 인터넷 뱅킹 주소를 올바르게 입력했어도 위장 사이트로 접속하게 한다. 해당 사이트의 도메인 자체를 탈취했기 때문에 주소 입력 줄에 제대로 된 인터넷 뱅킹 주소를 직접 입력하더라도 해커가 만든 위장 사이트로 이동한다. 따라서 이용자들은 아무런 의심 없이 계좌정보, 주민등록번호, 보안카드 비밀번호 등을 입력한다. 해커들은 이렇게 확보된 개인 정보로 공인인증서를 발급받고 해당 계좌의 돈을 대포통장으로 송금하거나, 신용카드 번호를 이용해 게임 사이트나 쇼핑몰에서 불법 결제하는 등 지능화된 금융 사기를 벌이고 있다.

그렇다면 위장 사이트를 어떻게 구별해야 할까? 웹 브라우저의 주소 창에 적힌 URL이 틀린 경우는 쉽게 발견할 수 있지만, 웹 브라우저의 주소 입력 줄에 직접 주소를 입력해도 다른 사이트에 접속하게 되었다면 정상 사이트로 오해할 수밖에 없다. 따라서 인터넷 뱅킹을 이용하려는 과정에서 이용자 스스로가 신중하게 다음과 같은 사항을 살펴봐야 한다.

계좌번호, 비밀번호, 주민등록번호, 인증서 암호 등의 금융 정보를 하나의 화면에서 한꺼번에 입력하게 되어 있는 경우, 정상적인 사이트와 달리 입력해야 하는 보안카드 비밀번호의 개수가 많은 경우, 계좌번호나 인증서를 선택하는 목록이 나오지 않고 직접 입력하게 되어 있는 경우에 해당 사이트를 의심해볼 필요가 있다.

금전 노린 악성코드 갈수록 지능화

피싱이나 파밍은 비록 속아서이기는 하지만 사용자가 자발적으로 개인 정보를 입력하게 되어 있다. 그러나 언제 빠져나가는지도 모른 채 개인 정보가 빠져나가는 경우도 적지 않다. 최근 발생한 예금 인출 사고도 이 경우에 해당한다.

이런 해킹 프로그램은 보안에 취약한 웹페이지에 접속했을 때 설치되거나 인터넷 서핑을 할 때 불법복제된 게임 프로그램이나 기타 소프트웨어를 내려받을 때 함께 설치되기도 한다. 일단 설치되면 키보드로 입력되는 정보를 저장해 해커에게 전송하거나 해커에 의해 원격 관리된다.

최근 보안 위협은 공격 대상이 전세계 불특정 다수에서 한 회사, 한 커뮤니티 등으로 국지화하고 있으며, 자료의 변조/파괴에서 개인의 신용 정보나 기관의 기밀 정보를 유출로 목적이 바뀌고 있다. 이런 정보를 현금으로 교환하는, 이른바 '사이버 블랙 마켓'이 활성화해 신상 정보 및 신용카드 정보 등이 거래되고 있는 것으로 알려져 있어 심각성을 더한다.

인터넷 뱅킹 보안 프로그램을 파헤친다, 팍팍!

속수무책으로 당하게 되는 금융 사고를 막기 위해 인터넷 뱅킹 사이트에 접속하자마자 여러 보안 프로그램을 설치하라는 보안 경고 창이 뜬다. 우리가 인터넷 뱅킹을 이용하면서 어떠한 종류의 보안 프로그램을 왜 설치하는지, 현재 보안 프로그램들에서 발견되는 한계는 없는지 알아보았다.

2006년도 금융감독원이 인터넷 금융 사고 예방을 위해 의무화한 이래로 은행 사이트에서 필수적으로 설치되어야 하는 보안 프로그램 세 가지가 있다. 바로 방화벽, 키보드 보안, 공인인증서이다.

방화벽은 외부에서 내부로 네트워크를 통한 불법적인 침입을 해오는 것을 제한하여 내부 정보가 유출되는 것을 막기 위한 보안 시스템이다.

키보드 보안(Anti-KeyLogger) 프로그램은 ID와 비밀번호 등 키보드로 입력할 수밖에 없는 비밀번호, 계좌번호, 암호 등을 훔쳐가기 위해 이용자의 PC에 몰래 설치되어서 실행되는 ‘키로거’를 막기 위한 것이다. 키보드로 입력되는 개인 정보를 암호화하여 유출되지 못하게 하는 기능을 제공하며, 왼쪽 그림과 같이 대부분 주소 표시줄의 알림 영역(시계/날짜 표시 영역)에 아이콘으로 표시된다.

비밀번호를 입력하는 공간에 마우스를 클릭해보면 아이콘이 깜빡거리는데, 이는 키보드 보안 모듈이 실행 중임을 의미한다. 데이터가 입력된 뒤 네트워크를 통해 전송되는 과정에 여러 단계가 있는데, 키로거마다 데이터를 훔쳐가는 단계가 다르고 그 중간 과정에서 계속 데이터를 훔치려고 시도한다. 따라서 키보드 보안 프로그램은 어느 단계에서 방어를 할 것인지를 결정하여 방어한다. 

공인인증서는 인터넷을 통해 거래할 때 ‘나’임을 확인하기 위해 전자적으로 신분을 확인하는 디지털 서명이다. 전자서명법에 근거해 만들어진 인증방법으로, 국내 공인인증기관(총 4군데)에서 ‘나’의 신분확인을 증빙했다면 법적으로 인증되어 공인인증서를 발급받게 된다. 공인인증서가 내 신분을 증명하기 때문에 인터넷 뱅킹 시 내 계좌에서 출금과 송금이 가능한 것이다.

현재 시중 은행 사이트에 접속할 때 설치되는 보안 프로그램들은 매우 다양하다. 은행 사이트 한 곳만 접속해도 최소한 세 종류의 보안 프로그램이 깔리며, 다른 은행 사이트에 접속해도 비슷한 기능을 하되 제작사가 다른 또다른 보안 프로그램이 깔린다. 수십 개의 보안 프로그램이 깔려있는 내 컴퓨터에서 인터넷 뱅킹은 안전할 수밖에 없지 않을까?

하지만 은행 사이트의 여러 보안 프로그램을 설치하면 각 제품 간 충돌이 자주 발생할 수 있다. 각 프로그램이 더 많이 보안하려고 경쟁하는 과정에서 경합이 발생하기 때문이다. 한 컴퓨터에서 여러 은행의 인터넷 뱅킹을 사용하기 위해 비슷한 기능을 하는 보안 프로그램을 여러 개 깔아놓는 것이 결코 추천할 만한 것은 아닌 셈이다. 따라서 은행 보안 프로그램을 제작한 업체들이 ‘이 수준으로 보안하자’고 규약을 정하는 것이 좋겠지만, 보안 레벨이 공개되었을 경우에 오히려 해킹의 취약점이 될 수 있으므로 쉽게 판단할 문제는 아니다. 또한 보안수준이 높은 보안 프로그램을 많이 깔아놓았더라도 이용자 컴퓨터의 운영체제 자체의 결함으로 해킹이 이루어지기도 한다.

일부 이용자들 중에는 은행 사이트에 접속할 때마다 ‘업데이트 설치’ 창이 자주 뜨는 것을 귀찮아하거나 의심하는 경우도 있다. 보안성을 더욱 강화하기 위해 업데이트하는 것이니 오히려 긍정적으로 받아들여야 한다. 또한 현재의 보안 프로그램들은 ASP 방식이라 다른 사이트에서 똑같은 기능을 가진 프로그램을 업데이트했어도 다른 사이트로 이동할 때도 다시 업데이트된다. 업데이트는 바이러스 정보가 나올 때마다 치료 엔진을 업데이트하기 위한 엔진 업데이트와, 제품 자체의 개선을 위한 제품 업데이트로 나뉜다.

인터넷 뱅킹 이용자들의 SOS를 해결해줄 AOS 서비스

 인터넷 뱅킹 보안 문제가 시급한 가운데 안철수연구소는 해킹에 효과적으로 대응할 수 있는 온라인 통합보안 서비스인 AOS((AhnLab Online Security)를 제공한다.

AOS의 장점은 첫째, 설치가 간편하다. 기존 은행 사이트에서 보안 제품별 제작사가 다르기 때문에 설치의 복잡성과 타사 제품과의 충돌 여부에 대한 우려가 있었다면, AOS는 키보드 보안, 방화벽, 안티바이러스/스파이웨어 기능을 통합하여 설치와 실행도 간소화되고 타사 제품과의 충돌도 피할 수 있다. 둘째, PS/2 키보드뿐 아니라 USB키보드까지 함께 보안하는 기능이 있어 보안 수준을 더 높였다. 셋째, 온라인 상에서 도움말을 제공하는 것이다. 기존의 ASP제품은 문의사항을 제품에 같이 설치하지 않았기 때문에 인터넷 뱅킹 과정에서 궁금증이 생겨도 해결하기가 어려웠다. 그러나 AOS는 카테고리로 분류된 온라인 도움말을 마련하여 실시간 온라인 해결 방법을 제공한다. 넷째, 메모리 해킹을 막아준다. 또한 DOS 차원의 로레벨(low level)에서 명령어를 통해 이루어지는 해킹도 막아낸다.

AOS는 'AOS 안티키로거', 'AOS 파이어월', 'AOS 안티-바이러스/스파이웨어'로 구성된다. 'AOS 안티키로거'는 키보드로 입력되는 비밀번호나 계좌이체번호 등 중요 정보를 가로채 해커에게 전송하는 '키로거(Key Logger)' 프로그램으로 인한 피해를 막아준다. 'AOS 파이어월'은 실시간으로 해킹을 감지/차단할 뿐 아니라 네트워크 통신 감지, 공유 폴더 제어 등 PC에 대한 네트워크 보안을 모니터링/경고/차단해준다. 'AOS 안티-바이러스/스파이웨어'는 20년간 축적된 안철수연구소의 핵심 보안 엔진이 신속하고 정확하게 진단/치료해준다.

사용자의 관심과 실천이 관건

인터넷 뱅킹을 위협하는 지능화된 해킹 프로그램이 늘어나면서 보안 프로그램은 꾸준히 업그레이드 중이다. 공격에 효과적으로 대응할 수 있는 방어책을 치밀하게 연구하고 있고, 이용자들의 불편을 최소화하기 위해서 편리하게 보안 프로그램이 설치되고 실행될 수 있도록 편의성을 추구하고 있다. 보안 업체의 노력과 함께 인터넷 뱅킹 이용자들도 적극적으로 보안 문제에 관심을 기울이되 신중하게 행동해야 할 것이다. 

※ 팁팁팁 - 인터넷 뱅킹 보안 수칙

1. 통합보안 솔루션을 설치한다.

2. 은행 사이트마다 보안 문제와 관련하여 해결, 처리 방법이 다르기 때문에 문제가 있거나 의심되는 부분이 있다면 은행 고객사이트에 직접 연락하여 문의해본다.

3. 불필요한 소프트웨어, 액티브X는 설치하지 않는다.

4. 포털이나 조그만 인터넷 쇼핑몰, 게임 사이트, UCC사이트, 데이터 관리가 취약한 사이트에서 사용하는 비밀번호와 금융 사이트에서 사용하는 비밀번호는 반드시 다르게 지정한다.

5. 피싱, 파밍, 키로거를 막기 위한 프로그램은 인터넷 뱅킹을 하기 전에 설치해야 한다. 즉 은행에 접속해 ID와 비밀번호 등을 입력한 후에 보안 프로그램이 실시되는 것이 아니라, 개인 정보를 입력하기 전부터 보안 프로그램이 작동하고 있어야 한다.

6. 인터넷 뱅킹을 할 때에만 작동하는 위험 프로그램이 숨어있을 수 있으니, 인터넷 뱅킹을 이용하지 않을 때라도 항상 보안에 신경 써서 PC를 깨끗하게 유지한다.