“전자금융사기 공격 방식 풀어낸 것 가장 큰 성과”
상태바
“전자금융사기 공격 방식 풀어낸 것 가장 큰 성과”
  • 김선애 기자
  • 승인 2014.12.22 11:13
  • 댓글 0
이 기사를 공유합니다

문일준 빛스캔 대표 “웹으로 유포되는 악성코드, 전 사회적으로 심각한 보안위협”

웹을 통해 악성코드가 배포되고 이 악성코드로 인해 공인인증서와 각종 개인·금융정보가 유출되면서 금전적인 피해를 입는 사고가 속출하고 있다. 그야말로 웹이 전 사회적인 보안홀로 등극한 것이다.

특히 피싱·파밍을 위한 악성코드가 웹을 통해 배포되고, 사용자 PC에 저장된 정보가 유출되며, 기존에 유출된 개인정보와 결합해 개인의 중요정보와 결합이 이뤄져 고품질 개인정보 조합이 완성된다. 공격자들은 이러한 방법으로 개인의 은행계좌에서 직접 돈을 인출해간다.

웹 보안 취약점의 심각성이 일반에 널리 알려진 것은 빛스캔의 공로가 크다. 빛스캔은 4년여 동안 국내 410여만개 웹 서비스를 지속적으로 모니터링하면서 악성코드 유포에 이용되는 악성 링크를 추적하고 있다.

웹 공격은 전 세계에서 우리나라에서 심각하게 많이 발생하고 있는데, 우리나라는 인터넷 사용자가 매우 많고 서비스가 다양하며, 전자금융거래가 매우 활발하게 일어나고 있기 때문이다.

문일준 빛스캔 대표이사는 “4년여 간 웹 서비스를 지속적으로 모니터링하면서 금융피해의 연결고리를 풀어냈다는 것은 굉장히 의미 있는 일이다. 작년 1월부터 피싱 공격 집단을 2년 동안 추적한 결과, 이 집단이 사용하는 공격기법을 분석해냈으며, 이를 공개하고 실제로 금융피해가 발생한 사실을 증명해냈다. 이것이 그동안 빛스캔이 수행해 온 사업 중 가장 큰 성과라고 생각한다”고 말했다.

2년 동안 개인·금융정보 유출 공격 집단 추적
빛스캔은 매주 인터넷 위협분석 보고서를 발간하고, 위험도가 높은 특정한 사안에 대해서는 별도의 보고서를 수시로 배포하면서 해당 기업/기관이 조치를 취하도록 하고 있다. 작년 1월부터는 공격자 서버에 개인정보가 수집된 정황을 포착해 유관기관과 정보를 공유하면서 공격자를 추적해왔다.

공격자 서버에 저장된 개인정보는 이름, 주민등록번호, 주소 등 단순한 개인정보 뿐 아니라 공인인증서, 은행 계좌번호, 비밀번호, 보안카드까지 수집돼 있으며, 공격자들이 직접 계좌를 조회해 본 사실까지 정리돼 있다.

엑셀파일로 정리된 공격자 서버의 개인정보에는 각각의 정보가 유효한지 여부에 대해서도 기록돼 있으며, 한글로 된 기록도 발견할 수 있어 한글을 아는 사람이 범죄 집단에 속해있는 것으로 추정할 수 있다.

문 대표는 “현재도 매주 2만건 이상의 공인인증서가 수집되고 있으며, 피싱 사이트에 보안카드 번호를 모두 입력하는 사람이 매주 200명 이상인 것으로 집계된다. 피싱 공격의 위험성에 대해 잘 알지 못했던 시기에는 더 많은 사람들이 피싱 사이트에 보안카드 번호를 입력했을 것이며, 실제로 공격자들은 상당히 많은 금융정보를 확보하고 있을 것으로 본다”고 말했다.

유출되는 개인정보 쌓이면서 고급화
문 대표는 사용자들이 알아차리지 못한 공격의 피해가 상당한 금액에 이를 것이라고 보고 있다. 전자금융사기는 피해자들의 통장에서 직접 돈이 빠져나가기 때문에 알 수 있지만, 사이버 머니, 현금화 할 수 있는 게임 아이템, 각종 포인트 등은 사용자가 세심하게 신경쓰지 않으면 자신이 피해를 입었는지 조차 알 수 없다.

유출되는 개인정보가 점점 고급화 된다는 것도 문제이다. 공격자들은 수년간 유출된 개인정보를 모아서 마이닝을 통해 한 사람의 고급정보를 완성하게 되는데, 마이닝 기술이 고도화되면서 특정인의 개인정보 변화의 흐름까지 알 수 있게 됐다.

예를 들어 이름과 생년월일을 기준으로 각종 사이트에서 수집한 개인정보를 조합하면 그 사람의 비밀번호 패턴, 이전하는 주소지, 주로 활동하는 지역, 신용카드 거래내역 등을 알 수 있다. 신용카드 사용내역만 분석해도 그 사람의 연간 소득과 일상생활 패턴을 쉽게 알 수 있는 것이다.

문 대표는 “개인정보가 고급화되고 있으며, 개인정보와 금융정보가 결합돼 금융사기가 더욱 고도화되고 있다. 예를 들어 공인인증서가 유출됐다는 사실을 알고 재발급 받는다 해도, 동일한 비밀번호를 사용한다면 공격자가 새로 발급받은 공인인증서를 다시 탈취해 금융사기에 이용할 수 있다”며 “내년에는 이러한 문제가 더욱 더 심각하게 발전할 것이며, 전자금융사기 피해자가 속출하게 될 것”이라고 경고했다.

FDS 안정화 위해 개인정보 유출 관련 정보 공유해야
전자금융사기 피해를 막기 위해 금융기관은 FDS 시스템을 도입하고 있지만 FDS는 사용자의 패턴을 완성하기까지 일정한 시간이 필요하기 때문에 FDS 시스템 구축 후 6개월에서 1년간은 오탐으로 인해 상당한 혼란이 발생할 것으로 보인다.

또한 금융기관이 규제준수만을 목적으로 완성도 낮은 저가의 시스템을 구축하고 규제준수를 위한 노력을 다했다며 피해가 발생했을 때 책임을 회피하는 가능성도 매우 높다. 이전의 개인정보 유출 소송의 경우를 봐도 법원은 거의 대부분 기업/기관의 정보보호 노력이 충분했다고 판단해왔기 때문에 내년 이후에는 더욱 진화된 공격에 소비자들이 속수무책으로 당하게 될 것으로 보인다.

문 대표는 공격자 서버에 저장된 개인정보를 수집해 이를 FDS와 연동시키면 공격탐지 정확도를 높이고 FDS 안정화 시기를 단축시킬 수 있다고 주장한다. 공격자가 수집한 개인정보는 언제든지 금융사고로 이어질 수 있으므로, 해당 정보를 각 금융기관의 FDS와 연계해 이 정보를 이용해 금융거래가 발생한다면 경고를 울리도록 하면 FDS 오탐을 줄이고, 정확하게 이상거래 여부를 탐지할 수 있다는 것이다.

예를 들어 개인정보가 유출된 이력이 있는 IP에서 금융거래가 시도되거나, 유출 이력이 있는 공인인증서를 통해 인증이 이뤄진다면 거래의 위험정도를 높게 매기는 방식이다. 만일 공인인증서와 보안카드까지 모두 유출된 개인의 계좌에서 이체거래가 일어난다면 정상거래가 아닐 가능성이 높기 때문에 거래를 중지시키고 본인에게 다른 방식의 본인인증을 요구하는 등의 조치를 취할 수 있다.

현실적인 법 개정으로 FDS 고도화 지원해야
그러나 개인정보보호법과 정보통신망법에서 개인정보의 수집을 금지하고 있기 때문에 빛스캔이 공격자 서버로부터 개인정보를 수집하고 이를 다른 시스템에 이용하는 것은 현행법을 위반하는 것이 된다.

문 대표는 “현재 빛스캔은 직접 개인정보를 보관하고 있지 않고 있다. 공격자 서버로부터 수집한 개인정보는 메타데이터만을 추출해 KISA 등 관련기관에 통보하고 빛스캔 서버에서는 완전히 삭제한다”고 설명했다.

그는 “개인정보 유출 사실을 알리고 피해를 예방할 수 있도록 하는 활동은 선의의 목적을 갖고 진행하고 있으므로, 유관기관의 철저한 감독 하에서 합법적으로 이뤄질 수 있도록 현행법이 개정돼야 할 필요가 있다”며 “내년에는 개인정보와 금융정보를 이용한 전자금융사기 피해가 심각한 사회문제가 될 가능성이 높기 때문에 이를 예방할 수 있는 다양한 방법을 취해야 한다”고 강조했다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.