침해사고/위협동향

“인터넷뱅킹 해킹위험 노출”…2채널 인증 강화해야

이민형 기자
[디지털데일리 이민형기자] “지금 인터넷뱅킹과 공인인증서 시스템은 취약점이 많습니다.조금만 머리를 쓰면 사용자 공인인증서와 금융정보를 탈취하는 것은 일도 아니에요. 조속히 보완돼야 합니다.”

지난 3일 ‘시큐인사이드 2013’에서 만난 구사무엘 군(건국대 4년, 미라지웍스 연구원)<사진>은 기자에게 타인의 공인인증서를 탈취해 금전이체까지 하는 시연을 보여주며 이렇게 말했다.

그가 사용한 방법은 종전의 홈페이지 위변조(피싱), 보안카드 입력요구 등과는 전혀 달랐다. 사용자 스스로 해킹을 당한다는 인식도 하지 못했으며, 자신의 아이디, 비밀번호 등의 금융정보를 고스란히 해커에게 넘겨줬다.

구 군은 “공인인증서 탈취는 이제 해킹의 범주에 들어가지 않는다. 단순히 사용자 PC에 파일을 복사, 전송하는 기능을 갖춘 악성코드만 심으면 되기 때문”이라고 말했다.

현재 공인인증서는 정상적인 방식 복사할 경우 공인인증서 비밀번호를 입력하도록 돼 있으나 키값이 저장된 폴더를 통째로 복사하는 것이 가능하기 때문에 보안에 취약하다는 것이 구 군의 설명이다.

그는 “공인인증서 유출사고는 이제까지도 많았다. 사고가 일어나지 않은 것은 공인인증서 비밀번호와 보안카드가 유출되지 않았기 때문”이라며 “반대로 공인인증서 비밀번호와 보안카드만 탈취할 수 있다면 누구라도 해킹할 수 있다”고 말했다.

방식은 이렇다. 웹하드 서비스, 웹사이트 등을 통해 전파된 악성코드는 평소에는 아무런 활동을 하지 않다가, 금융사이트에 접근시 동작을 실시한다.

사용자가 인터넷뱅킹 사용을 위해 공인인증서 창을 띄우면 해당 창 비밀번호 입력 폼과 확인버튼에 사용자 눈에는 보이지 않는 투명한 폼을 덧댄다. 종이로 치면 원본위에 습자지, 먹지를 놓는 것이다.

사용자는 정상적으로 보이는 입력폼에 비밀번호를 입력하고 확인을 누르지만, 이때는 이미 악성코드가 만들어놓은 가상의 폼은 입력받은 금융정보를 모두 해커에게 넘기게 된다.

구 군은 “실제 확인버튼에도 가상의 버튼을 만들어둬서 사용자가 전혀 눈치를 못채게 만드는 것이 핵심”이라고 강조했다.

사용자는 최종적으로 보안카드 키 값을 입력하게 된다. 이때도 동일한 방법을 사용해 보안카드 숫자를 탈취하지만, 이체가 완료되지 않도록 오류를 발생시킨다.

이는 BHO(Browser Helper Object, 브라우저도우미객체)를 사용한 것으로 사용자가 인터넷뱅킹 이체 페이지 주소에 접근할 경우 자동으로 연결을 차단해 겉으로 보기엔 오류가 발생한 것처럼 보이게 하는 수법이다.

지난 2일 경찰청 사이버테러대응센터에서 발표한 신종 해킹수법도 이와 유사한 방법을 사용했다.

보안카드의 경우 최종 승인이 떨어지지 않으면 동일한 번호의 키 값을 요구한다. 예를 들어 보안카드 13번과 40번의 키 값을 요구했지만 이것이 사용되지 않았을 때, 다음번에도 동일한 번호의 키 값을 요구한다는 의미다. 이는 일종의 이벤트동기화 방식을 채택했기 때문이다.

해커가 임의로 오류를 발생시켜 13번, 40번의 키 값은 인증에 사용되지 않았다. 하지만 그 키 값은 이미 해커의 손에 들어갔다.

구 군은 “사용자가 정상적으로 보안카드의 키 값을 입력했으나 오류로 인해 서비스 이용을 포기하면, 그 사이에 해커는 탈취한 비밀번호와 키 값을 사용해 금전 이체를 실행하게 된다”며 “보안카드를 사용하는 한 충분히 발생할 수 있는 문제”라고 지적했다.

이 같은 해킹을 100% 막기는 불가능하다고 구 군은 말한다. 결론적으로 그는 “OTP발생기, 휴대전화 인증 등 보다 사용하는 PC와는 별도로 인증을 할 수 있는 수단을 도입해야 한다”고 강조했다.

<이민형 기자>kiku@ddaily.co.kr
이민형 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널