올해 1월부터 8월까지 발생한 전자금융사기 피해 금액이 439억원에 달한다는 통계가 발표되면서 전자금융 보안에 비상이 걸렸다.
최민희 민주당 의원이 미래창조과학부포부터 제출받은 자료에 따르면 8개월 동안 통신·인터넷을 통한 피싱·보이스 피싱, 파밍, 스미싱, 메모리 해킹 등 전자금융사기로 인한 피해건수가 2만8827건, 피해액은 439억원에 달하는 것으로 나타났다.
특히 스미싱은 휴대전화 문자메시지를 이용해 금융정보를 빼가거나 금전적인 피해를 입히는 것으로, 모바일 뱅킹을 비롯한 모바일 전자상거래에 치명적인 영향을 미치고 있다.
최근 빈번하게 발생하고 있는 메모리 해킹은 사용자가 입력한 정보가 서버에 전송되기 전 메모리에 저장될 때 정보를 빼내는 수법으로, 금융거래와 관련된 보안모듈이 정상적으로 작동되고 있는 가운데 발생해 사용자나 금융기관이 이상징후를 발견하지 못한다.
전자금융사기를 방지하기 위해 지난달 부터 전자금융사기예방 서비스가 전면 실시되고 있으며, 300만원 이상 금융거래 시 사용하는 단말기를 지정하거나 SMS 문자메시지·ARS를 통한 추가 인증을 의무적으로 시행하도록 했다.
그러나 이러한 방식이 안전한 금융거래를 보장하지 못한다. 300만원에 못 미치는 금액을 여러차례 빼내가는 방식으로 쉽게 빠져나가거나 공격자가 SMS 문자메시지를 사용자가 아니라 자신이 수신하도록 조작할 수 있기 때문이다.
진화하는 멀티팩터 인증 기술
빠르게 진화하는 전자금융 사기를 막을 수 있는 방법으로, 다양한 멀티팩터 인증 기술이 제안된다. 안면인식을 통한 본인인증이나 그래픽 이미지를 이용한 인증 기술이 대표적이다.
에어큐브가 국내에 공급하는 캐나다 보안 솔루션 기업 인베이테크놀로지스는 안면인식 기술을 이용해 본인인증을 강화한다. 이 회사의 ‘아이디큐 트러스티드 디바이스(idQ Trusted Device)’는 PC와 모바일 기기를 통해 두 번의 간단한 인증 절차를 거치도록 하는 방법을 취한다.
우선 사용자가 스마트폰 등 모바일 기기에 idQ 앱을 다운로드 받은 후 사용자 등록을 하고 비밀번호를 설정한다. 그 후 PC를 통해 사이트에 접속을 하면 화면에 QR코드가 나타난다. 이 QR코드는 10초에 한번씩 바뀌기 때문에 피싱·파밍 등 위장사이트 여부를 사용자가 알 수 있다.
사용자가 모바일 기기의 idQ 앱을 구동시켜 비밀번호를 입력하면 안면인식을 통한 본인인증을 실시한다. idQ 앱에서 본인인증 절차가 완료된 후 모바일 기기로 PC의 QR코드를 읽어들이면 본인 인증이 완료된다.
그래픽 인증 기술을 제공하는 디멘터의 제품도 눈여겨 볼 만 하다. 디멘터는 바둑판 모양의 그래픽 OTP를 보여주면, 미리 본인이 설정한 패턴대로 그래픽을 조작해 인증을 실시한다.
조작 방식이 게임을 하는 것처럼 구성돼 IT에 익숙하지 않은 사람들도 쉽게 본인인증 절차를 완료할 수 있다. 보안 등급을 높이면 조작 내용을 옆에서 확인할 수 없도록 할 수 있으며, 그래픽에 이용되는 아이콘 등을 홍보용으로 사용할 수 있어 마케팅 툴로도 활용할 수 있다.
이 방식은 피싱, 파밍을 예방하는 데에도 효과적이다. 금융기관에서 제시하는 그래픽과 인증 과정이 개인화돼 있어 사용자가 피싱·파밍 사이트 여부를 쉽게 확인할 수 있다. PC·스마트폰에서 사용할 수 있으며, 우리은행, 신한은행, 하나은행, 외환은행 등 많은 금융권에 도입됐다.
메모리 해킹 방지 솔루션 출시 줄이어
최근 가장 심각한 위협이 되고 있는 메모리 해킹을 방지하는 솔루션도 줄이어 출시되고 있다.
큐브피아는 불독화 기술을 이용한 ‘금융해킹 방지 솔루션’을 출시했다. 불독화는 큐브피아가 개발한 기술로, 소스코드를 읽기 어렵게 만드는 난독화 기술을 한층 더 업그레이드해 아예 읽을 수 없도록 만드는 기술이다.
큐브피아는 이 기술을 적용하면 공격자가 사용자의 입력정보를 알 수 없을 뿐 아니라 인터넷 뱅킹 프로그램을 인지하지 못한다고 설명한다.
소프트포럼(대표 이경봉)은 ‘제큐어투웨이’ 신제품에 메모리해킹, 피싱을 방어할 수 있는 기술을 탑재했다. 이 제품은 PC와 스마트폰 등 2개의 단말기에서 인증을 실시하도록 한다. PC의 암호화된 QR코드르 ㄹ통해 스마트폰에서 금융거래 내역을 확인하도록 하는 방식이다.
이처럼 새로운 금융사기를 막기 위한 방법이 다양하게 소개되고 있지만, 해커들은 교묘하게 이 기술을 빠져나가기 때문에 금융사기 예방을 위해 금융기관은 물론 사용자들의 철저한 주의가 필요하다.
OTP·SMS/ARS 등 강화된 보안인증 실시
최근 발생한 지능적인 전자금융사기는 공격자가 계좌정보와 이체금액까지 변경시키는 사례이다. 특히 모든 과정이 정상적인 이체로 보이도록 하기 때문에 더욱 조심해야 한다. 특히 이러한 공격은 악성코드에 감염되는 것 부터 시작하기 때문에 악성코드에 감염되지 않도록 주의해야 한다. 신뢰할 수 없는 사이트에 방문하지 않도록 하고, 출처가 불분명한 파일을 다운로드 하지 않으며, 업무상 필요한 메일이라도 신중하게 검토한 후 열어보도록 한다.
전자금융거래 시 보안카드 보다 OTP를 사용하도록 하고, SMS·ARS 인증 등 보다 강화된 보안 인증을 실시하는 것이 좋다.
한편으로는 보안이 취약한 공인인증 체계를 개선하는 것이 시급한 과제라는 지적도 있다. 우리나라 공인인증서는 기술의 보안 취약점은 물론이고, 단일 기술만을 사용한다는 것 때문에 공격이 집중돼 보안 취약성이 매우 높다는 비판이 있다.
따라서 공인인증체계를 강제하는 것이 아니라 사용자와 금융기관이 다양한 인증 기술을 선택해 사용하도록 시급히 제도를 개선해야 한다는 주장이 높아지고 있다.
