안랩은 최근 인터넷 뱅킹의 보안 취약점을 악용한 공격은 금융기관이 아니라 개인 PC가 최초 타깃이 되고 있다며 개인 사용자의 주의를 당부했다.
안랩이 V3 20주년을 기념해 진행하고 있는 ‘보안 바로알기 캠페인’의 일환으로 발표하는 자료에 따르면, 금융기관이 사이버 공격을 당해 개인 사용자의 금전이 빠져나간 사례는 없었으며, 대부분 개인 사용자의 PC나 모바일 기기의 보안 취약점을 악용한 것이었다.
개인 PC란 기업에서 직원이 사용하고 있는 PC도 포함되며, 공격자는 모든 수단을 동원해 개인의 금융정보를 빼내가려 시도합니다. 해커는 피싱메일, SNS의 URL, P2P사이트, 악성코드를 포함한 메일, 배너광고, 프로그램의 보안 취약점 등 광범위한 수단을 통해 악성코드를 감염시킨다.
악성코드가 침투하면 금융정보를 채가기 위한 모든 시도를 한다. 예를들어 키보드로 입력되는 정보를 빼내기 위해 이를 탈취하는 ‘키로거’를 설치한다. 화면캡처가 필요하면 화면캡처를 한다. 만약 목표 개인이 사용하는 주거래 은행이 보안카드를 사용한다면 보안카드 정보를 빼내기 위해 자신이 만든 가짜 사이트로 유도하는 악성코드를 심는다.
최근에는 개인 사용자의 PC에 침투해서, 감염된 PC로 특정 은행 사이트를 방문할 때 보안을 위해 자동으로 구동되는 키보드 보안솔루션, 공인인증서 등 보안모듈의 메모리를 해킹(수정)해 개인의 금융 정보를 유출하는 악성코드도 국내에서 발견됐다. 즉 사용자는 정상 은행사이트를 이용하는 과정에서 자기도 모르게 금융정보를 탈취당한다.
2010년 해외 모 기업의 경우 재무 담당직원이 피싱메일에 속아 인터넷뱅킹 접속용 OTP정보를 포함한 로그인 정보가 모두 해커에게 유출됐고, 55만달러가 해커에 의해 해외로 송금되는 결과가 발생했습니다. 지루한 법원 공방 끝에 법원은 은행의 책임으로 판단했지만, 이는 기업과 은행이 모두 해커에게 속아 넘어간 예시가 됐다. 물론, 기업과 은행 모두 기업 이미지 실추를 피할 수 없었다.
특정 솔루션을 이용하면 이러한 공격에서 완벽하게 보호할 수 있다고 알려지기도 하지만, 악성코드 제작자들은 거의 대부분의 보안 솔루션을 우회하는 기술을 갖고 있기 때문에 단일 솔루션으로 보안사고를 막을 수 있다는 인식은 위험하다.
다양한 보안 솔루션을 사용하는 다양한 국가에서도 인터넷뱅킹 사고는 지속적으로 발생하고 있다. 중동에서 500억원 규모의 해킹 및 현금 불법인출 사건이 있었고, 미국 안티피싱 워킹그룹과 가트너에 따르면 미국 내 2010년 인터넷 뱅킹사고 금액은 기업피해만 10억달러(약 1300억)로 추정된다. 일본의 경우도 2007년에 1억9000만엔(약 22억원)을 기록한 적도 있다.
안랩 관계자는 “완벽한 보안은 없으며, 보안의 취약한 부분을 줄여나가면서 새로운 취약점이 발견되면 최대한 빨리 보완하고 대응하기 위한 노력을 해야 한다”며 “금융·공공기관에서는 보안위협 트렌드를 이해하고 올바른 정책을 실행해야 하며, 개인 사용자도 보안을 위한 노력을 지속해야 한다”고 말했다.
