스스로 지키는 금융사고 예방 보안 수칙들

2014.01.25 12:36사용기/S/W

 

예전에는 금융사기 관련 주된 타겟이 개인 PC 였지만 최근에는 스마트폰, 특히 안드로이드 폰으로 집중 되고 있다.

작년 9월 조사 내용이라 좀 오래 되긴 했지만, 블로터의 아래 기사를 보면 공인인증 탈취의 90% 가 스마트폰(아마도 안드로이드)에서 일어났다는 것만 봐도 얼마나 스마트폰이 보안에 취약한 지 알 수 있다.

관련기사 링크 - "모바일 보안, 안녕들 하십니까"

 

이미 우리 개인 정보들은 중국 같은 곳에 공공재가 된 지 오래.

스스로 지키기 위해 노력하지 않으면 언제든 금융 사고가 날 수 있으니 항상 조심하자.

 

안드로이드 폰을 지키는 가장 중요한 설정 – 알 수 없는 소스 허용하지 않기

 

안드로이드 폰을 공격하는 가장 쉬운 방법은 사용자의 폰에 악성앱을 설치하는 것이다.

수 많은 스미싱 문자들은 이 방법으로 폰에 사기 앱들을 설치하고 폰에 있는 정보(공인인증, 문자, 사진 등)를 빼가거나, 인증 문자를 가로챈다.

기계에 익숙하지 않은 친지 분들을 만나면 반드시 [알 수 없는 소스] 설정이 "허용하지 않음"으로 되어 있는지 확인해 드리자.

 

 

대부분 악성 앱이 설치 되는 경로는 아래 2가지

  • 문자나 SNS, 웹에서 실수로 링크 클릭 등으로 일어 난다.
  • 가끔은 지인이나 인터넷을 통해 마켓에 올려지지 않은 앱 설치 파일(APK) 를 주고 받아 설치 하는 경우도 있다.

실수로라도 악성 앱이 설치 되면 그로 인한 피해가 엄청날 수 있으니 자나 깨나 악성 앱 설치에 주의 하자

  • 공인 인증 탈취
  • 개인 정보 탈취 – 문자, 사진(특히 보안카드를 찍은 경우 심각) 등
  • 소액 결제 사기 – SMS 문자 인증 빼가기 등.
  • 키 입력 빼가기 – 비밀번호
  • 화면 캡처 - 사용 중에 나도 모르게 화면을 캡처 당하고 빼갈 수 있다.

당연하게도 악성 앱이 원한다면 이 보다 훨씬 더한 것들도 가능하다. 그러니 절대 이 앱이 안전하다는 믿음이 없으면 알 수 없는 앱을 설치해서는 안 된다.

 

안드로이드 구글 계정은 반드시 2단계 인증으로

 

안드로이드 기기 설정을 하기 위해서는 구글 계정이 필요하다

구글 계정으로 우리는 폰에서 앱을 설치하듯이, 웹(구글 플레이 마켓)에서 원하는 앱을 맘대로 설치할 수가 있다.

구글 계정 탈취로 인한 사고 경로는 대충 아래와 같은 시나리오다.

  • 해커가 구글 마켓에 악성앱을 올린다.
  • 사용자의 구글 계정 비밀번호를 알아 낸 다음 해당 계정으로 웹에서 구글 플레이 마켓에 접속
  • 사용자의 폰에 해커가 원하는 악성 앱을 원격으로 설치

 

물론 해커가 사용자의 비밀번호를 뚫었다는 게 관건인데, 다른 사이트 비밀번호가 수없이 많이 털렸기 때문에 구글이라고 안전할 리 만무하고, 특히 타 사이트와 같은 비밀번호를 사용한다면 더욱 더 위험하다.

그래서 이 블로그에서 여러 번 글을 썼지만 ^^ 반드시 구글 계정은 2단계 인증으로 바꾸자

구글 2단계 인증으로 설정하는 방식은 아래와 같다.

구글 2단계 인증으로 안전하게 접속하기

구글 2단계 인증 코드 앱으로 받기

 

참고로 구글 계정이 털려서 악성 앱이 설치 됐다는 사례

스스로 깔리는 "내꺼하자" 어플 조심하세요! 국민은행 사칭 사기 어플

 

 

보안카드 보다는 OTP(ONE TIME PASSWORD)

 

사고 빈도를 보면 OTP 보다는 당연 보안 카드 사용자의 사고 비율이 훨씬 높다.

OTP 는 한 번 쓰고 버려지는 비밀번호지만, 보안 카드 번호는 비록 그 번호가 30~40 개 정도 되지만 사용자 실수로 유출 될 수 있고, 유출 된 번호로 공인인증 발급이나, 계좌 이체로 바로 사용이 가능하기 때문이다

보안카드 유출되는 예상 경로는

  • PC 에 키로거가 설치 되어 있어서 사용자가 입력하는 모든 번호가 누적 노출 되는 경우 (시간이 오래 걸리겠지만)
  • 보안 카드를 스마트폰에 사진으로 담아 찍어 보관하는 경우 – 해커들이 가장 손쉽게 보안 카드 비밀번호를 빼 내가는 방법
  • 은행이나 금융 사이트를 사칭하는 곳에 잘못 들어가 보안 카드 번호를 사용자가 모두 입력하는 경우 (관련 기사 링크)

이 외에도 상당히 많겠지만, 중요한 것은 보안 카드 번호는 생각보다 쉽게 해커의 손에 들어갈 가능성이 크다.

그러니 보안 카드 보다는 당연히 OTP 를 사용하자

OTP 의 또 다른 장점은 각 금융사마다 별도로 지급되는 보안카드와 달리 OTP 는 하나만 발급 받은 후 다른 금융사에 등록하면 된다. 전 금융사에 하나의 OTP 로 사용이 가능하고, 비밀번호가 매번 바뀌니 유출 위험이 보안 카드에 비해 훨씬 덜하다

 

불안한 메모리 해킹, 문제는 순식간에 설치되는 악성 코드

 

며칠 전 신문과 TV 를 떠들썩 하게 한 기사

고객 PC '메모리 해킹' 범인 첫검거..금융보안 경각심 높여

 

이번 해킹은 좀 특이 하다

고객의 PC에 악성 코드를 심어 놓고,

계좌 이체를 하기 위해 모든 보안 통과 절차들을

  • 계좌 비밀번호
  • 공인인증
  • 보안카드나 OTP

아무 문제 없이 통과 한 직후

[입금 계좌 번호], [입금 금액] 메모리를 순식간에 해커가 변경해서 이체한 사건

해당 은행 보안 프로그램은 왜 작동 안 했을까 하는 의구심이 든다.

농협(또 농협!. 주위에 농협 거래 하시는 분들은 강심장), 신한 은행 같은 큰 대형 은행 뱅킹 사이트라면 당연히 확장 E2E 프로그램 작동으로 사용자가 입력한 계좌번호, 금액 이 입력되는 순간 별도 쌍으로 암호화 보관되고 있어야 하고, 해커가 메모리를 바꾸더라도 쌍으로 있는 데이터와 틀리니 이체에서 오류가 나는 게 일반적인 경우인데 이번 사건에는 손쉽게 이체까지 됐다. (정확한 방법을 몰라 그냥 추측만 한 것이라 실제 범행 내용과 다를 수 있다)

 

아무튼 여기서도 문제는 개인 PC 에 설치된 악성 프로그램

개인 PC 를 안전하게 지키지 않으면 보안 프로그램 무력화에서부터 금융사고까지 이어진다.

  • OS 와 백신을 항상 최신으로 업데이트
  • 신뢰할 수 없는 사이트로부터 링크 클릭 및 다운로드 금지
  • 브라우저는 크롬이나 불여우를 사용하는 것이 안전 – 크롬은 알려진 악성 사이트를 원천 차단
  • 주기적으로 시작 프로그램과 서비스를 점검하자. Msconfig 나 작업 관리자의 시작 프로그램(윈도우 8 이상) 에서 이상한 프로그램이 설치 된 게 없는지 주기적으로 확인.
  • 좀 더 전문화 된 툴로는 autorun 이 있다. 시작 프로그램, 서비스, 제작자 등을 한눈에 파악

 

 

간만에 정부에서 잘 한 일 - 전자금융사기 예방 서비스

2013.9.26일 전자금융사기 예방 서비스가 전면적으로 시행됐다.

'전자금융사기 예방서비스' 9월 26일부터 전면시행

전자금융사기 예방 서비스, 줄여서 "전금사" 라고 부르는데 해당 제도 시행으로 공인인증 발급과, 일 누적 300만원 이상 이체 할 때 반드시 SMS 인증/ARS 인증을 통하도록 되어 있어 보안 사고를 획기적으로 줄이는 데 큰 기여를 했다.

시행 한달 만에 보안 피해 건수와 금액이 50% 로 줄었다는 기사

관련기사링크 - 금융사기 예방서비스 한달 만에 피해 급감

물론 폰에 이미 악성앱이 설치 된 경우라면 전금사도 불안하다. SMS 문자 탈취가 가능하니 -_-;

관련기사링크 - 은행들 'SMS 인증' 잇단 중단, 갑자기 왜…

 

보안 사고 문제는 늘 복합적이다. 악성 앱이 설치된 고객이 OTP 도 안쓰고 보안 정보가 모두 털린 복잡한 경우의 수를 만족해야 하는데 이렇게 걸려드는 사용자가 있다는 게 현실

 

게다가 일부 금융사 모바일 앱에서는 전금사 반영이 안된 경우가 있어 해커가 이를 노리고 모바일 단말기에서 공인인증을 발급받거나 이체를 시도할 수 도 있으니 사용하는 금융사 모바일 앱에 전금사가 적용 되어 있는지 확인 하는 것이 좋다.

 

누구나 당할 수 있다. 항상 조심! 조심!

얼마 전 나조차도 좀 황당한 경험을 한 적이 있는데

자주 가던 블로그 하단에 마침 필요한 프로그램 광고(키보드 연습)가 뜨길래 링크를 누르고 해당 사이트(처음 보는 사이트)에서 프로그램을 내려 받자 마자 멀웨어들이 순식간에 설치되는 아찔한 경험

결국 윈도우 복원을 통해 며칠 전으로 돌려서 금방 복구는 했지만, 우리 주변에 정말 수많은 보안 위협들이 우리를 노리고 있다.

편리해진 만큼 늘 위협이 도사리고 있다는 걸 염두에 두고 항상 조심하는 것, 그리고 최신 보안 정보에 늘 관심을 가지자