전자금융 분야에 `메모리 해킹` 주의보가 발령되면서 예방수단 간 시장선점 경쟁이 치열하다.
26일 업계에 따르면 본인 확인은 물론이고 이체 대상자와 금액을 ARS 전화승인을 통해 검증하는 2채널 인증방식을 비롯해 일회성 비밀번호(OTP), 보안토큰이 메모리 해킹 예방 수단으로 거론되고 있다.
메모리 해킹이란 가짜사이트를 이용하는 파밍(Pharming)과 달리 정상적인 인터넷뱅킹 사이트를 이용해도 악성코드 감염으로 피해자 예금이 부당하게 인출되는 방식이다. 정상적인 계좌이체 종료 후 보안강화 팝업창이 뜨면서 보안카드번호 앞뒤 2자리 입력을 요구한 뒤 일정시간 경과 후 피해자 계좌에서 돈을 인출해 나간다. 올해 들어 1월부터 7월까지 메모리해킹 피해금액은 총 6억9500만원을 기록했다. 피해 접수 건수도 112건이었다.
전문가들은 통상 석달 이상 걸리던 해커와 보안 업체 간 `창과 방패`의 싸움주기가 신종 기법 출현으로 1∼2달로 짧아지고 있다고 분석한다. 지난해 말 `피싱` `스미싱`에 이어 올 상반기 파밍이 기승을 부리다 7월 이후 메모리 해킹주의보가 내려졌기 때문이다.
이로 인해 전자금융 사기 예방 서비스 간 기술경쟁도 한창이다. 가장 적극적인 것은 2채널 전화승인 업체다. 특히 SMS가 아닌 ARS 2채널 방식은 사용자 행위와 해커 행위에 미묘한 차이를 전자금융 사기 예방에 활용하는 게 특징이다. 전자금융거래가 이뤄지는 인터넷망과 다른 별도의 전화망 채널을 통해 사용자의 거래내용을 확인하고 인증한다.
한형덕 씽크에이티 사업본부장은 “메모리해킹은 패치가 되지 않은 제로데이 공격처럼 이뤄진다”며 “PC 지정 및 OTP는 PC 기반의 취약점으로 인해 해킹에 지속적으로 노출돼 있어 결코 안전하지 않다”고 설명했다.
앞서 경찰청은 인터넷뱅킹 거래가 비정상적으로 종료되거나 정상 거래 종료 후 보안승급 팝업창 등이 뜬 경우 즉시 금융기관 콜센터로 문의해야 한다고 권고를 한 상태다. 일회성 비밀번호(OTP) 또는 보안토큰도 사용은 하되 주기적으로 교체하는 것이 사고 예방에 도움이 된다는 설명이다.
김원석기자 stone201@etnews.com
