2015년 정보보안 시장은 그야말로 ‘다사다난’했다. 한국수력원자력 해킹 사고가 2014년 말부터 2015년 초까지 보안시장을 뜨겁게 달구더니 랜섬웨어 공격이 무차별적으로 진행되면서 큰 피해를 양산해냈다. 핀테크·IoT 시대의 본격적인 개화로 새로운 공격에 대한 경고가 이어지는가 하면, 실제로 금융기관이 해킹을 당하고, 스마트카 해킹이 가능하다는 사실이 입증돼 대량의 리콜 사태가 벌어지기도 했다. 2015년을 뜨겁게 달군 정보보안 업계의 이슈를 종합해본다.<편집자>
지난해는 미리 빼돌린 금융정보를 악용한 전자금융사기로 온 사회가 몸살을 앓았다. 정부는 사용자의 피해를 줄이기 위해 사기피해가 발생했을 경우 금융기관이 사고원인을 입증하도록 규제를 강화했으며, 금융기관에 자율보안체계 구축을 의무화해 금융서비스를 자유롭게 제공할 수 있도록 하면서 사고가 났을 경우 금융기관이 전적으로 책임지도록 했다.
규제준수를 위해 금융기관은 올해 이상거래탐지시스템(FDS)을 구축하고, 본인확인을 강화하는 등 대책을 마련했다. 이러한 노력에도 불구하고 금융사기가 완전히 근절됐다고 보기는 어렵다. 여전히 보이스피싱으로 인한 피해는 늘어나고 있다. 유명 연예인도 보이스피싱으로 피해를 입고 있다고 밝히고 있으며, 공인인증서를 유출하기 위한 피싱·파밍 사이트는 더욱 정교하게 제작돼 사용자를 유인하고 있다.
복제카드로 인한 피해 늘어
신용카드 복제 기법도 올해 다시 기승을 부렸다. 특히 최근 발견되는 ATM 복제기는 일반 ATM 기기의 카드 투입구와 구별되지 않도록 비슷하며, 몰래카메라는 눈에 띄지 않게 기기 안쪽에 부착한다. 주유소에서 고객의 신용카드를 받아 카드 복제기로 복제를 한 대범한 범죄도 발각된 바 있다.
POS 해킹을 통한 개인정보/금융정보 유출사고도 끊이지 않고 발생했다. 식당이나 소매점 등 작은 규모의 매장에서 사용하는 POS를 통해 손님이 결제한 신용카드 정보를 훔쳐내는 사고가 잇달아 발생하고 있는 것이다.
이와같은 사고를 방지하기 위해서는 복제가 불가능한 IC칩이 부착된 신용카드를 사용하고, 마그네틱을 읽어 들이는 구형 POS에서 IC방식으로 교체된 POS를 사용해야 한다. 그러나 우리나라에서는 VAN 대리점에서 무상으로 POS를 설치해주기 때문에 보안이 강화된 IC 방식의 POS가 매장에서 보편적으로 사용되지 않으면 IC칩 신용카드를 사용하기 어렵다. 현재 우리나라 신용카드는 IC칩과 마그네틱을 함께 사용하고 있는 상황이다.
현재 검거된 사기범들은 주로 해외에 조직을 두고 있는 외국인으로, 빼돌린 금융정보를 이용해 해외에서 현금을 인출하거나 카드결제를 시도하고 있는데, 일부는 금융기관의 FDS에 의해 차단되고 있다.
간편결제 서비스 노리는 공격 늘 것
해외에서도 금전을 노리는 공격은 꾸준히 이어지고 있다. 지난 2월에는 전 세계 100여개 은행에서 1조원 이상 훔쳐낸 ‘카바낙(Carbanak)’ 해킹그룹의 실체가 밝혀지기도 했다. 카스퍼스키랩이 인터폴, 유로폴, 영국 국립첨단범죄수사국(NHTCU) 등과 공조해 밝혀낸 바에 따르면, 카바낙은 2013년부터 은행, 전자결제시스템, 금융기관을 해킹했다.
POS에 대한 공격도 전 세계적으로 동일하게 발견되는 사실이다. 카스퍼스키랩은 자사의 POS 보안 시스템을 통해 2015년 한 해 동안 1만1500건 이상의 POS 해킹 시도를 차단했다고 밝혔으며, 데이터 탈취를 목적으로 제작된 악성코드 10개 중 7개가 올해 처음 등장한 신종 프로그램이라고 설명했다.
앞으로 금전을 탈취하고자 하는 공격은 더욱 성행할 것으로 보인다. 보안 취약점 문제가 해결되지 않은 POS, ATM 기기를 이용한 공격은 물론이고, 빠르게 확산되고 있는 간편결제 서비스를 노리는 공격도 등장하게 될 것으로 보인다. 더불어 비트코인과 같은 가상화폐를 노리는 공격도 지속적으로 시도되고 있어 2016년 이후 더욱 지능화된 공격이 성행하게 될 것으로 예상된다.
