최근 한국과학기술원생인 최혁승씨가 인터넷을 통해 금융권에서 제공하고있는 홈뱅킹시스템에 불법 침투하는 해킹사건이 발생하면서 시중 은행들이경쟁적으로 추진하고 있는 버추얼 뱅킹사업에 비상이 걸렸다.
이같은 사건이 발생하자 은행감독원은 지난달말 자체 안전장치가 확보될때까지 인터넷을 통한 홈뱅킹서비스를 중단하라고 각 은행에 지시하기에 이르렀다.
국민, 신한, 외환은행등 일부 은행들도 홈뱅킹 해킹 사건이 발생한 직후인터넷을 이용한 홈뱅킹 서비스를 중단했으며 한일, 제일은행 등 대부분 시중은행들은 PC통신망 운영업체에 홈뱅킹 이용을 위한 인터넷 접속을 차단해줄것을 요청하기도 했다.
또 시중 은행들은 홈뱅킹 화면에 고객들이 인터넷 홈뱅킹 서비스 접속을자제하거나 사고예방 차원에서 비밀번호를 변경할 것등 주의 사항을 게시하기도 했다.
이번 사건은 단순히 시스템을 침입하는 차원을 벗어나 구체적으로 재산상의 피해를 초래했다는 점에서 금융권에 적지 않은 충격을 주고 있다.
최씨의 이번 인터넷 해킹사건은 통신망상에서 ID나 패스워드등 이용자 데이터를 가로채는 일종의 스니퍼공격 기법으로 국내 홈뱅킹 서비스가 사용자인증기법에 문제를 안고 있음을 여실히 보여준 사건이라고 할수 있다.
특히 최씨는 한국통신 인터넷 서비스망의 호스트인 「SOBACK」 시스템 관리자의 요청으로 시스템 보안상태를 점검하고 다른 해커들의 침입을 방지하는 일을 맡았었던 것으로 밝혀져 더욱 충격을 안겨주고 있다.
스니퍼해킹 기법은 인터넷 서버와 이용자 PC간의 통신망에 평문으로 흐르는 이용자번호와 패스워드(비밀번호)를 중간에서 가로채 이용자 데이터를 알아내는 해킹기법으로 인터넷 보안담담자들에게는 널리 알려진 기술.
스니퍼기법으로 해킹할 경우 이용자들이 아무리 패스워드를 변경하더라도안전을 보장받지 못한다. 따라서 은행들이 이용자들에게 권하고 있는 비밀번호(패스워드) 변경만으로는 안전하지 않다는게 일반적인 지적이다.
결국 스니퍼 공격으로부터 시스템을 안전하게 보호하기 위해서는 사용자인증기능을 강화하는수 밖에 별 도리가 없는 셈이다.
업계 전문가들은 사용자 인증 강화방안으로 「원타임 패스워드 기법」과「스마트카드보안시스템」등 기법을 제시하고 있다.
원타임 패스워드기법은 당초 스니퍼 프로그램에 대항하기위해 개발된 기법으로 이용자가 서비스를 이용할때마다 매번 패스워드를 바꿔주는 것이다.
즉 홈뱅킹 이용자들이 수초나 수분간격으로 패스워드를 자동으로 변경시켜주는 모듈을 항상 지니고 다니면서 인터넷 홈뱅킹서비스에 접속할 때마다 변경된 패스워드를 입력하는 방법이다. 원타임패스워드를 호스트에 등록할때는패스워드의 시드값과 키값은 호스트가 인식하고 있기 때문에 호스트서버가변경된 패스워드를 인식,안전한 뱅킹서비스를 제공하게 된다.
원타임 패스워드기법보다 훨씬 안전한 사용자 인증기법은 스마트카드를 활용한 보안시스템이다.
스마트카드는 IC칩내에 DES나 RSA와 같은 암호알고리듬을 보유하고 있어고난도의 보안을 유지할 수 있다.물론 스마트 카드를 이용하기 위해서는 IC카드와 카드리더,SW등으로구성된 별도의 보안시스템을 구축해야한다.
아무튼 이번 홈뱅킹 해킹사건을 계기로 인터넷홈뱅킹 서비스의 보안문제를근본적으로 해결할수는 방안이 마련되어야할 것으로 보인다.이를 위해선 금융권이나 통신서비스업체들이 정보보안분야에 많은 관심을 기울여야한다는게업계 전문가들의 지적이다.
<구근우 기자>