“한눈 팔면 다 털리는 사회… 기업인트라넷 보안 특히 취약”

  • 동아일보
  • 입력 2014년 2월 27일 03시 00분


[동아 인포섹 2014-정보보호 콘퍼런스]
진화하는 금융사기 수법

급히 현금이 필요해 근처 편의점을 찾은 A 씨. 현금자동입출금기(ATM)에 카드를 넣었지만 평소와 달리 기기가 전혀 반응하지 않았다. 카드 넣고 빼기를 몇 번 반복하던 A 씨는 편의점을 나와 근처 은행으로 가서 간신히 돈을 찾을 수 있었다. 며칠 후 A 씨는 누군가가 자신의 카드를 복제해 수천만 원을 인출해간 사실을 알았다. 작동이 되지 않았던 편의점의 ATM 안에 정보를 빼내는 특수 프로그램이 설치된 노트북이 연결됐던 것. 범인은 그가 현금 인출을 여러 번 시도할 때 입력한 카드 비밀번호와 카드정보 등을 빼내 복제 카드를 만들어 돈을 무단 인출했다.

26일 서울 중구 전국은행연합회관 국제회의실에서 열린 ‘동아 인포섹 2014-정보보호 콘퍼런스’에서는 가짜 ATM 사기부터 스마트폰 도청, 신종 메모리해킹 등 최근 등장한 다양한 개인정보 유출 및 금융보안 범죄수법이 소개됐다. 보안 전문가들은 “요즘 발생하는 대다수 금융보안 범죄의 대상은 기업이 아닌 개인”이라며 “특히 스마트폰을 활용한 신종 사기가 늘어나고 있기 때문에 각별한 주의가 필요하다”고 말했다.

○ 스마트폰이 공인인증서 유출 창구

‘개인정보·금융보안 범죄의 현재와 미래’를 주제로 발표를 한 정석화 경찰청 사이버안전국 수사실장은 “최근 시중에 유통되는 금융정보는 개인들이 사용하는 컴퓨터, 스마트폰을 통해 주로 유출됐다”고 소개했다. 지난해 7633건의 공인인증서 유출 사고가 발생했는데 이 중 약 90%인 6859건이 스마트폰으로 유출됐다.

정 실장은 “스마트폰 중에서도 안드로이드 계열 휴대전화에서 정보 유출 피해가 주로 발생하고 있다”며 “보안카드 대신 일회용 비밀번호(OTP)를 사용하는 이들의 금융보안 범죄 피해 사례가 거의 없다는 것도 주목할 만하다”고 말했다. OTP는 4자리 숫자 35개가 쓰인 보안카드와 달리 1분마다 새로운 비밀번호를 만들어주기 때문에 안전성이 우수하다. 전자금융 사기에 대한 소비자들의 불안감이 커지면서 OTP 사용자가 빠르게 증가하는 추세다.

끊임없이 진화하는 메모리 해킹 사례도 소개됐다. 초기에는 전체 보안카드 번호 입력을 유도하는 방식이 많았다. 최근에는 예금주가 인터넷뱅킹을 통해 정상적인 계좌 이체를 했는데도 컴퓨터에 심은 악성코드로 수취인 계좌를 ‘대포통장’으로 바꿔치기하는 수법이 등장했다. 악성코드로 컴퓨터 메모리에 있는 데이터를 위·변조하는 메모리 해킹 중에서도 가장 고도화된 수법이다.

○ “인트라넷과 내부 모바일 앱 빈틈 많아”


박찬암 라온시큐어 보안기술연구팀장은 스미싱 과정을 직접 시연해 눈길을 끌었다. 스미싱은 아는 사람인 척하며 문자메시지를 보내 정보를 빼내기 위한 특정 행위를 유도하는 ‘피싱(Phishing)’과 ‘문자메시지(SMS)’의 합성어다.

예를 들어 ‘모바일 돌잔치 초대장을 보내 드렸습니다’라는 글귀와 인터넷주소 링크가 포함된 문자메시지를 받고 아무 의심 없이 첨부된 링크를 클릭하면 자동으로 정보를 빼내는 악성 앱이 설치된다. 이 앱이 깔리면 사용자의 스마트폰에 있는 사진 등 각종 정보는 공격자에게 고스란히 넘어간다.

박 팀장은 “시중에 스미싱 방지 앱이 스무 개 이상 나와 있지만 제대로 스미싱을 잡아내지 못한다”며 “스미싱의 근본 대책은 다운로드 요청을 무조건 ‘수락(Yes)’하는 습관을 버리고 출처가 불분명한 앱을 주의하는 개인의 노력뿐”이라고 말했다.

박 팀장은 국제 해킹대회에서 여러 차례 우승한 경력이 있는 이른바 ‘화이트 해커’ 출신 보안 전문가다. 화이트 해커는 악의적인 목적으로 시스템을 공격하는 기존 해커와는 달리 회사들의 보안 시스템을 공격한 뒤 취약점과 개선점을 알려주고 보안을 개선하는 업무를 하는 보안 전문가를 말한다.

그는 회사 임직원들이 사용하는 인트라넷과 내부자 전용 모바일 앱이 보안에 특히 취약하다고 경고했다. 외부 고객용은 해킹에 대비해 보안에 신경을 쓰지만 내부 보안은 상대적으로 신경을 덜 써 사고 가능성이 높다는 것이다. 그는 “침투를 해보면 상당수 기업의 보안체계가 겉은 딱딱하지만 안은 부드러운 코코넛 같다”며 “처음 뚫는 건 어렵지만 일단 침투하면 마음대로 휘젓고 다닐 정도로 약점이 많다”고 말했다.

신수정 기자 crystal@donga.com
이원진 인턴기자 연세대 응용통계학과 4학년
#기업인트라넷#보안#금융사기#개인정보
  • 좋아요
    0
  • 슬퍼요
    0
  • 화나요
    0

댓글 0

지금 뜨는 뉴스

  • 좋아요
    0
  • 슬퍼요
    0
  • 화나요
    0