은행권, 메모리 해킹 방지책 속속 도입

관련 통계자료 다운로드 메모리 해킹 개념도

 은행들이 고객의 PC 메모리까지 침투해 고객이 송금하는 금액을 조작해 돈을 빼내가는 이른바 ‘메모리 해킹’의 방지책 도입에 속속 나서고 있다.

 5일 신한은행은 개인고객과 기업고객이 메모리 해킹을 당할 때에 대비해 이를 차단할 수 있는 종단간(E2E) 방식을 채택한 해킹 방지서비스를 실시한다고 밝혔다.

 E2E 방식은 키를 입력하는 순간부터 암호화하도록 하고 정보가 서버에 도착했을 때 비로소 풀릴 수 있도록 해 중간과정에서 정보를 빼낼 수 없도록 막는 방법이다.

 금융감독원은 그동안 해커가 고객의 PC 메모리까지 침투해 거래 금액을 조작, 돈을 빼내는 메모리 해킹이 가능하다고 보고 은행에 해킹방지책을 마련할 것을 권고해왔다.

 이에 따라 은행 이용자의 금융거래 보안이 한층 강화될 전망이다. 특히 외환·하나은행 등 여타 은행도 상반기 메모리 해킹 대책을 시행할 예정이어서 조만간 금융권 전체로 파급될 것으로 예상된다.

 신한은행이 6일부터 시행하는 메모리 해킹 차단서비스는 웹 환경과 클라이언트서버(C/S) 환경을 사용하는 기업 고객 모두 E2E 방식이다.

 이에 앞서 지난 3월 테스트를 시작했던 농협도 최근 E2E 방식으로 메모리해킹 방지책을 마련, 시행 중이다. 국민은행도 최근 E2E방식의 메모리 해킹 방지책과 더불어 투 채널 인증 부가서비스를 시작했다. 국민은행이 도입한 투 채널 방식은 인증을 이중으로 하도록 해 고객도 모르게 돈이 인출되는 상황을 막는 방식이다.

 이 외에도 외환·우리·하나은행 등 국내 은행권 대부분이 자체 테스트나 금융보안연구원의 테스트를 진행하며 메모리 해킹 방지책을 수립 중이어서 상반기 안에 시중은행 대부분이 메모리 해킹 방지 서비스를 선보일 것으로 보인다.

 성재모 금융보안연구원 팀장은 “고객 불편함을 막는 것뿐 아니라 다른 기타 애플리케이션과 충돌하지 않는지 테스트가 필요하다”면서 “금융보안연구원 또는 자체적으로 테스트를 진행하고 있는 은행이 많아 조만간 금융권 전체가 이와 관련해 방지 서비스책을 도입, 실시할 것”으로 내다봤다.

◆용어설명:

 메모리 해킹은 비밀번호를 빼내 고객 계좌의 돈을 인출해가던 기존 수법과 달리, 고객 PC 메모리까지 침투해 보내는 계좌와 금액을 조작하는 방식으로 돈을 빼돌리는 해킹방법이다. 예를 들어 A라는 고객이 B에게 1만원을 송금한다면 해커는 비밀문으로 A의 PC 메모리까지 침투해 들어가 해커에게 1000만원을 보내도록 조작하는 수법이다. 더욱이 A의 PC 화면에는 B 고객에게 1만원을 송금한 것으로 나타나기 때문에 당시에는 해킹을 당하는 것조차 알 수가 없다.

문보경기자 okmun@