최근 하루가 멀다하고 전자금융의 보안 허점을 노린 해킹 사고가 끊이지 않고 있다. 지난 2005년 사상 초유의 인터넷뱅킹 해킹 사고가 일어난 이후 전자거래 안전성 대책을 마련했는데도 금전적 이익을 노리는 해커의 공격 수위는 오히려 높아졌다. 여기에 금융기관의 전자금융시스템 중단 사고도 심심치 않게 일어난다. 우리나라는 특히 인터넷뱅킹과 CD/ATM, 텔레뱅킹 등 전자금융이 전체 은행 거래 중 73%에 이르는 실정이다. 미국과 자유무역협정(FTA)으로 인한 금융정보 해외이전 허용으로 시스템 안전성 저해에 대한 우려도 갈수록 높아져 해법마련이 시급한 실정이다.<편집자>
대기업 인사과에 근무하는 L 과장은 인터넷뱅킹 계좌를 보다 깜짝 놀랐다. 거래도 하지 않았는데 신용카드에서 200만원이 빠져나간 것이다. 즉시 은행에 신고한 후 비밀번호를 바꿨지만 열흘 뒤 다른 계좌에서 또 돈이 빠져나갔다.
사내 보안 정책상 USB 저장매체에 공인인증서를 저장할 수 없었던 L 과장은 웹 메일에 공인인증서를 올려뒀다. 집이나 밖에서 손쉽게 인증서를 이용하려는 것이었는데 이게 노출된 사고였다. 해커들은 대부분의 사람이 포털과 메일 등 각종 사이트의 ID와 비밀번호를 동일하게 사용한다는 점을 이용, ‘스푸핑’이란 간단한 해킹으로 웹 메일에 저장된 공인인증서를 가져갈 수 있었다.
L 과장은 거래량이 증가하는 월말이나 연말뿐만 아니라 너무 자주 다운되는 은행 인터넷뱅킹 사이트 때문에 불편함도 이만저만이 아니었는데 이번 사고로 전자금융에 대한 불신이 더욱 높아졌다.
◇전자 금융 왜 뚫리나=지난 2005년 5월 인터넷뱅킹 해킹 사건, 2007년 1월 국민·농협 은행 고객정보 대량 유출 피싱사건, 2월 8일 공인인증서 유출로인한 시중은행 불법 인출 사건, 2월 11일 한국시티은행 해킹 사건 등 금전적 이익을 노린 해킹이 급증하고 있다. 유인향 잉카인터넷 차장은 “이들 사건 외에도 알려지지 않는 가운데 사건이 급증하고 있다”며 “현재의 보안 시스템은 전통적 PC 해킹을 방어하는 시스템으로 새로운 해킹 방법에 대응할 수 없는 체계”라고 말했다.
과거 시스템에 침입해 정보만을 갈취해 가던 해커들이 최근 몇년 사이 이른바 ‘돈이 되는’ 해킹에 몰두하면서 전자금융에 막대한 위협을 가하고 있다. 특히 해커들은 그동안 유출됐던 주민등록번호와 전화번호, ID, 비밀번호를 모두 조합해 불법적인 전자금융거래에 성공하고 있다. 몇년 사이 노출됐던 개인정보가 당장의 피해로 나타나지 않은 것뿐이지 최근 전자거래 사고의 단초가 된 것. 심지어 대규모 범죄조직이 해커를 고용해 자금 확보 수단으로 전자거래를 위협하고 있다. 범죄조직과 해커는 피해자의 금융정보를 획득하고 우회경로를 이용해 자금을 유출하며 환금을 통해 자금 세탁까지 일삼고 있다. 과거 도둑에 머물렀던 해커가 칼만 안 들었지 고도의 해킹 수법을 이용한 강도로 돌변한 상황이다.
◇뛰는 보안에 나는 해킹=2005년 당시 인터넷뱅킹 해킹은 전통적인 클라이언트 해킹으로 키로거나 스파이웨어를 이용한 계정 탈취 기법이었다.
이 당시에는 해킹 타깃이 분명했으며 단일 기술에 의존한 형태였다. 2년이 지나면서 해커의 기술 수준은 상상을 초월하게 높아졌다. 최근 피싱의 안전지대로 알려져 있던 국내 은행 2곳이 고객정보를 대량으로 유출하는 피해를 봤다. 해커는 사회공학적 기법인 피싱을 이용해 대량으로 클라이언트 정보를 탈취했는데, 맨 인 더 미들(man in the middle)이라는 중간자 공격과 웹서버를 해킹해 웹 서버 접속자에게 해킹툴이 다운로드되게 했다. 또 이 해킹 툴에 감염된 사용자가 인터넷뱅킹 접속 시 호스트 파일을 변경해 가짜 인터넷 뱅킹사이트에 접속하도록 했고 주요 정보를 입력하게 해 유출했다. 아직 구체적인 사고 사례는 접수되지 않았지만 대규모 개인정보 유출로 인한 연쇄 피해가 예상된다.
이렇게 해킹을 시도한 후 해커는 사회공학적 사기기법을 써서 자금을 도용하고 있다. 이들은 해킹한 돈을 인출하기 위해 현금화가 가능한 상품권이나 사이버캐시를 충전한다. 또 인기가 높은 오픈 마켓에서 ID를 도용해 가짜로 상품을 판매하고 계좌에 돈이 입금되면 잠적한다. 김우한 한국정보보호진흥원 인터넷침해사고대응지원센터장은 “해커는 피싱과 해킹 기법을 총동원해 기존 차원을 뛰어넘는 고도화된 수법으로 전자거래를 위협하고 있다”고 말했다.
김인순·김용석기자@전자신문, insoon@
관련 통계자료 다운로드 주요 전자금융 해킹 사례 비교