본문 바로가기
살아가는 이야기

끝도 없는 창과 방패의 싸움 - 보안과 해킹

by esstory 2007. 8. 1.

여러분들은 인터넷 뱅킹을 얼마나 자주 사용하나요?

제 월급날만 되면 제 집사람은 순식간에 돈을 빼서 몇 년간 제가 번 돈을 직접 본적이 없습니다 저축은행이나, 장기주택마련 대출상환, 공과금 납부, 카드 상환 등으로 재배치(?) 해 버립니다. 물론 모두 인터넷 뱅킹으로요..

이렇게 편리한 인터넷 뱅킹이지만, 시간 내어 방문하고 기다리려야 하는 불편한 은행 창구와는 다르게 자기 돈을 안전하게 보호하는 일은 온전히 개인의 몫이라는 사실 아시나요?


오늘 포스트의 주제는 정말이지 막으면 다시 뚫리고 다시 막기를 반복하는 인터넷 보안과 해킹에 대한 얘기를 해 보려고 합니다.

 

가장 단순한 방패’ – 비밀번호

가장 단순한 형태의 방패는 고객이 정한 비밀번호입니다. 6자리 이상 영문자와 숫자가 혼합된 비밀번호는 그 조합수가 많아 쉽게 유추하기 힘들기 때문에 인터넷 초창기 시절부터 가장 많이 사용된 방패였습니다.

사용자 삽입 이미지
 

인터넷으로 오가는 데이터를 몰래 훔쳐보는 스니퍼와 암호화 프로그램

하지만 이러한 비밀번호를 이용한 방패는 오래 가지 않아 강력한 을 만납니다. 인터넷으로 오고 가는 데이터를 크랙킹할 수 있는 스니퍼라는 하드웨어 및 소프트웨어 툴을 이용하면 네트워크상의 모든 데이터를 손쉽게 꺼내 볼 수 있기 때문에 더 이상 방패의 역할을 할 수가 없게 되었습니다.

이를 막기 위해 인터넷으로 데이터를 주고 받을 때 특히 비밀번호의 경우 반드시 128 비트 암호화한 다음 서버로 전송하도록 변경되었습니다.

처음 암호화 프로그램을 만들 당시에는 브라우저 차원에서 64비트 암호화 밖에 지원하지 않았기 때문에 128비트 암/복호화를 위해서는 아래 그림처럼 많은 사람들이 싫어하는 ActiveX 설치가 의무화되었습니다.

사용자 삽입 이미지
 

 

공인인증서의 등장

정통부와 금감원에서는 모든 금융거래에 공인인증사용을 의무화 하도록 했습니다. 제가 다니는 회사에서 처음 공인인증을 준비한 게 2002년 말 정도였던 거 같은데 벌써 꽤 많은 시간이 흘렀네요.

공인인증이라는 방패를 사용하면 다음과 같은 점이 보안에 도움이 되었습니다.

-       C:/program files/npki 폴더 안에 생기는 공인인증서는 쉽게 위/변조 할 수 없도록 아주 복잡하게 만들어 졌습니다.

-       설사 고객의 일반 비밀번호를 알고 있더라도, 공인인증서 파일을 가지고 있지 않을 경우 무용지물이 됩니다.

 

공인인증서도 소용없는 키보드 해킹프로그램

잘 나가던 공인인증이라는 훌륭한 방패는 2005 6 3일 아래와 같은 기사와 함께 한순간에 무너지고 말았습니다.

'인터넷 뱅킹' 해킹사레, 5천만원 인출

문제의 원인은 고객의 PC 에 몰래 설치한 너무나 초보적인 키보드 해킹 프로그램때문이었습니다.  키보드 해킹프로그램을 이용해서 고객의 계좌비밀번호, 공인인증비밀번호, 주민등록번호 등 모든 개인정보를 이미 전달받은 해커는 다음과 같은 순서로 손쉽게 해킹에 성공했습니다.

-       고객의 개인정보를 이용하여 자신의 pc 에서 공인인증서를 신규로 발급받습니다.

-       새로 발급 받은 공인인증서를 통해 손쉽게 로그온에 성공합니다.

-       자금 이체를 시도 했는데 여기서 복병을 만났습니다.  제가 생각하는 아직까지 가장 잘 만들어진 보안도구인 보안카드(S/W 가 아닌 H/W 죠)를 만나게 된 것인데요, 보안카드에는 약 30개의 비밀번호가 들어 있어, 실제로 보안카드를 소지 하지 않은 사람들은 비밀번호를 유추해 내기가 힘듭니다.

-       하지만, 그 당시 해킹 당한 ○ ○은행(기사 보시면 다 아시겠지만 ㅋㅋ) 은 치명적인 실수를 했습니다. 보안카드 비밀번호를 물어볼 때 이를 취소한 경우 매번 다른 보안카드 비밀번호를 물어 본 것입니다. 이렇게 되면, 해커가 자기가 알고 있는 비밀번호에 해당하는 보안카드 번호가 나올 때까지 매번 취소하고 기다리기만 하면 되었거든요.

-       결국 자기가 알고 있는 보안카드번호를 만난 해커는 자금 이체까지 성공하여 고객의 돈을 탕진한 것으로 나옵니다.


이 기사가 아직까지 뚜렷하게 생각나는 이유는 이 당시 저희 회사도 보안관련 담당자들이 출근해서 원인파악과 타산지석을 삼아 우리 시스템에는 문제가 없는지 다시 한번 점검해야 했기 때문입니다.

다행히 이후에는 모든 금융회사들은 마지막 보류였던 보안카드의 중요성을 다시금 깨닫고, 고객에게 제시한 보안카드 번호를 고객이 맞추지 않으면, 맞출 때까지 같은 번호만 물어 보도록 프로그램을 수정했습니다.

 

근데. 여기까지 이야기 중에 좀 이상한 것이 있습니다. 그토록 많은 돈과 노력을 들여 개발한 공인인증시스템은 도대체 역할이 무언가 하는 점입니다.

전자 인감이라고까지 여겨지는 공인인증서는 너무나 쉽게 발급되고, 뚫리는 것이 이상하지 않나요?.

저는 개인적으로 매년 돈을 주고 갱신해야 하는 공인인증서에 대해 회의적입니다.  물론 약간의 보안기능이 있긴 하나, 결국 다른 보안 툴의 도움을 받지 않을 경우 무용지물이기 때문입니다.

 

키보드 보안프로그램의 등장

키보드 해킹으로 인해 고객의 돈이 손쉽게 해커에게 넘어가고도 한참 후에야, 모든 금융기간에 키보드 보호 프로그램과 개인방화벽이 의무화 되었습니다.

사용자 삽입 이미지

다들 아시다시피 키보드 보호 프로그램은 키보드 해킹 프로그램보다 먼저 키보드로부터의 입력을 감시해서 해킹프로그램의 작동을 무력화시키는 역할을 합니다.

개인방화벽은 만에 하나 고객의 비밀번호가 해킹프로그램에 노출되더라도 이를 해커에게 전달할 수 있는 인터넷 망을 감시해서 허락 받지 않는 프로그램이 네트워크에 접근하는 것을 막아 줍니다.

 

하지만, 아무리 잘 만든 방패도 곧 이를 뚫는 창이 나오곤 합니다.

USB 방식 키보드 해킹 조심하세요

위 기사에서 처럼 지금 현재로는 대부분의 키보드 보안 프로그램들이 USB 방식 키보드 해킹에 무방비라고 합니다.  PS/2 방식과는 달리 수많은 기계가 붙을 수 있는 USB 의 특성상 키보드입력과 다른 입력을 구분하는 방법을 찾기가 더욱 까다롭고 이에 대한 정보도 부족해서 아직 제대로 된 보안 프로그램이 나오지 않았다고 합니다.  최근 들어 각 보안회사마다 최우선 과제로 이를 해결하고 있다고 하니 곧 방패가 생기겠지만, 그 이전에는 안전한(?) 방법으로 인터넷 뱅킹하시는 게 좋겠습니다.

 

방패의 완성 – OTP

위에서 말씀 드린 것과 같이 의무적으로 설치하게 되어 있는 암호화 프로그램, 키보드 보안 프로그램, 공인인증, 개인방화벽과 같은 프로그램으로도 지속적으로 지능화 되고 있는 각종 해킹 프로그램에는 속수 무책입니다. 사실 이미 알려진 방법으로의 해킹이야 막을 수 있다고 하지만, 아직 알려지지 않는 새로운 방식의 해킹에는 어떤 보안 툴로도 막을 수가 없기 때문입니다.

하지만 실망할 필요는 없습니다. 우리에게는 올 하반기부터 거의 모든 금융회사에 보편화 될 수 있는 OTP(One Time Password) 가 있습니다.

30개 정도의 비밀번호가 있는 보안카드와는 달리 OTP 1분마다 하나의 비밀번호가 새로이 만들어지는 기계입니다.

작동방식은 기계마다 고유의 시리얼 번호를 부여 받고 이 기계가 1분마다 만들어 내는 비밀번호를 중앙에 있는 인증서버가 관리하고 확인하는 방식입니다.

현존하는 가장 훌륭한 방패인 OTP는 다음의 2가지 경우를 제외하고는 안전합니다

-       개인이 소지하게끔 되어 있는 OTP 장비를 잊어 버릴 경우

-       인증서버가 해킹되는 경우

 

두 가지 경우 모두 거의 발생할 가능성이 없다 치면, 일반적으로 항상 비밀번호가 변경되는 방식인 OTP 가 왜 중요한지 아시겠죠?

혹시 거래하시는 금융기간에서 OTP 를 공짜로 준다고 하시면 꼭 받아 사용하시기 바랍니다.

제가 알기로, 만드는 벤더마다 그 크기가 제 각각 인걸로 알고 있습니다. 카드 크기만한 OTP 라면 지갑에 넣고 다니기 편할 텐데, 그런 금융회사 아시면 좀 알려주세요 ^^;

 

 

마무리.

요새 각종 보안프로그램 설치로 안 그래도 느려터진 PC 가 많이 힘들어 합니다.

또한 각 금융회사마다 서로 다른 보안프로그램 4종 세트가 설치되고 실행되고 있으니, 은행을 3-4군데 사용하시는 분들이라면 정말 귀찮은 일이지요.

게다가 ActiveX 의 특성상, 윈도우에서만, 그것도 IE 기반 브라우저에서 작동하기 때문에 많은 블로거들의 비난의 화살이 되곤 합니다.

저도 이런 부분들은 반드시 고쳐져야 한다고 생각합니다.

하지만, 자기의 돈은 자신이 지키기 위해 최소한 아래 나열한 내용을 꼭 확인해서 안전한 인터넷 뱅킹을 즐기시기 바랍니다~

-       바이러스는 없는지 확인합니다. 요즘 웬만한 금융기관에서는 백신프로그램을 무료로 제공하는 걸로 압니다. 꼭 바이러스 프로그램을 설치해서 PC 에 벌레가 살지 않게 해 주세요 (저희 회사 고객들도 고객지원부로 연락오는 내용을 보면 바이러스로 인한 전화건수가 장난아니게 많습니다.  저희 회사도 공짜로 백신프로그램을 제공함에도 불구하고 이렇게 많은 사람들이 바이러스에 걸리는지 잘 이해가 안갑니다 ㅠㅠ)

-       백신을 항상 최신상태로 업데이트 하세요. 가끔씩 마지막 백신 갱신날짜를 확인해야 합니다.

-       인터넷 뱅킹을 위해 금융기관에 접속시에는 키보드 보호 프로그램과 개인방화벽 설치 여부를 반드시 확인하시기 바랍니다.  특히 키보드 보호 프로그램은 PC 를 먹통되게 하는 주범이라 이를 꺼버리는 경우가 종종 있는데, 스스로 모든 해킹 프로그램에 대한 대비를 할 수 없으시다면, 꼭 실행 후 거래를 하시기 바랍니다.

 

댓글