동아일보

당신의 인터넷뱅킹 경호받고 있습니까

  • 입력 2007년 1월 24일 02시 58분

글자크기 설정

코멘트
직장인 김모 씨가 19일 인터넷뱅킹을 위해 은행 홈페이지에 접속했다. 공인인증서 비밀번호와 보안카드 번호를 입력했다. 하지만 이 사이트는 거래 은행이 개설한 홈페이지가 아니라 해커들이 만든 ‘피싱(Phishing)’ 사이트였다. 분명 같은 주소였는데도 말이다.

최근 국민은행과 농협을 대상으로 한 최첨단 피싱 사고가 발생해 주의가 요망된다. 피싱은 주로 금융회사의 홈페이지를 사칭해 고객의 개인정보를 수집하는 신종 금융사기 기법을 말한다. 해커는 불특정 고객의 계좌번호와 신용카드번호, 비밀번호 등을 알아낼 목적으로 피싱 사이트를 만든다.

○기는 보안 위에 나는 해킹

국민은행과 농협 홈페이지를 악용한 피싱사건은 e메일을 보내 사용자 정보를 입력하게 하는 기존 방법보다 훨씬 지능화된 것으로 파악됐다.

해커는 유명 포털사이트(natelotto.nate.com)를 해킹했고, 여기에 접속한 PC가 해킹 툴을 자동으로 내려받게 했다. 그리고 이 PC 사용자가 은행 사이트에 접속하면 인터넷 주소는 그대로 둔 채 가짜 사이트로 접속하게 한 것.

따라서 사용자는 접속한 은행 사이트에 감쪽같이 속을 수밖에 없었다. 수천 명의 PC에서 주인도 모르는 사이 인증서 파일이 유출됐고, 30명의 사용자는 가짜 사이트에 속아 해커에게 자신의 비밀번호와 보안카드 번호를 알려줬다.

○보안장치 안전하다고 하기엔…

현재 인터넷뱅킹에는 보안모듈과 개인별 공인인증서, 보안카드 등의 보안장치를 두고 있다.

시중은행들은 금융감독원의 심사를 통과한 보안 모듈을 사용하고 있다. 보안 모듈에는 데이터를 암호화하고 외부의 접속을 감지하는 해킹방지 툴, 키보드 보안 프로그램 등이 포함된다. 이외에 사용자가 해당 금융회사에서 발급받은 공인인증서가 있어야 한다. 또 공인인증서 비밀번호, 계좌 비밀번호, 보안카드 번호 등이 있어야 계좌에 접근할 수 있다.

은행들은 인터넷뱅킹 보안의 경우 이중 삼중 안전장치가 돼 있어 안전하다고 말한다. 대부분의 인터넷뱅킹 사고는 이용자의 실수나 방심 때문에 생긴다고 주장한다.

하지만 이번 피싱 사례에서 보듯이 인터넷 주소로 연결하는 호스트파일 자체를 바꿔 엉뚱한 가짜 사이트를 통해 정보를 훔쳐가는 것을 어떻게 막을 수 있을까.

○OTP가 현재로서는 가장 확실한 대안

금융감독원은 이번 피싱사건 이후 “가짜 사이트는 안내 문구가 표준어가 아니고, 한 화면에서 인증서 비밀번호, 계좌 비밀번호, 주민등록번호, 보안카드 번호를 입력하도록 요구한다”고 주의를 당부했지만 이는 미봉책이라는 지적이 많다.

금융보안 전문가들은 해커가 마음만 먹으면 은행 홈페이지 디자인과 똑같은 가짜 사이트를 만들 수 있다고 말한다.

하나은행 e-비즈니스팀 이원섭 차장은 “보안전문가와 해커가 서로 경쟁하며 기술이 발전하고 있다”며 “보안장치가 있다고 하더라도 이용자 스스로 조심하는 수밖에 없다”고 설명했다.

신한은행 e-비즈니스사업부 김재영 차장은 “현재로서는 비밀번호 생성기(OTP)가 가장 안전한 대안”이라고 지적했다.

OTP는 손가락 두 마디만 한 작은 장치로 거래할 때마다 비밀번호를 생성해 주는 장치. 35개 번호조합이 정해져 있는 보안카드보다 훨씬 안전하다. 현재 신한은행은 OTP를 무료로 제공하고 있으며 농협 SC제일 기업은행 등도 OTP를 도입했다.

○PC도 자물쇠로 꽁꽁 묶어야

하지만 평소 PC 관리를 철저히 하는 것이 금융 사고를 막는 최선의 방안이라고 보안전문가들은 조언한다.

신한은행 김 차장은 “집안 자물쇠는 수십만 원짜리를 쓰면서 거액의 금융거래를 하는 PC 보안에는 별로 신경 쓰지 않는다”며 “비용이 들더라도 정품 백신 프로그램을 구입해 바이러스와 악성코드를 대비하고 관리해야 한다”고 했다.

현재 많은 은행 사이트가 악성코드 무료 치료 서비스를 하고 있지만 이것만으로 불충분하다는 지적이다. 은행이 제공하는 프로그램은 대부분 단축 버전이기 때문에 유료 풀 버전 보안프로그램을 쓰는 것이 더 확실하다는 것이다.

정재윤 기자 jaeyuna@donga.com

금융 소비자 보안 대책

○1 은행 거래에 필요한 모든 개인정보를 철저히 관리한다. ○2 생년월일 등 유추하기 쉬운 비밀번호를 쓰지 않는다. ○3 주기적으로 비밀번호를 바꾼다. ○4 비밀번호가 노출됐다는 의심이 들 때는 콜센터나 영업점에 사고 신고를 한다. ○5 PC방이나 사무실의 공동 PC에서는 인터넷뱅킹을 쓰지 않는다. ○6 은행에서 제공하는 해킹 차단 프로그램을 반드시 설치한다. ○7 공인인증서는 PC가 아닌 휴대용 저장장치 USB나 IC칩에 별도로 저장한다. ○8인터넷뱅킹의 경우 한 화면에서 공인인증서 번호와 보안카드 비밀번호를 동시에 요구하지 않는다.자료: 국민은행

  • 좋아요
    0
  • 슬퍼요
    0
  • 화나요
    0
  • 추천해요

댓글 0

지금 뜨는 뉴스