윤암의 세상 살아가는 이야기

안전한 인터넷 뱅킹을 위한 Do and Don’t

최근 모 은행에서 해킹을 통해 고객의 돈이 무단 인출된 사건이 일어났다. 이 사건의 정확한 경의는 밝혀지지 않았고 현재 경찰은 정밀 분석팀에게 의뢰할 계획이라고 한다. 이번 해킹 사건이 더 큰 충격을 주는 점은 타 은행에서 해당 고객에게 해킹 시도가 있음을 통보해, 그 고객이 공인인증서를 재발급 받은 후에 해킹이 이루어졌다는 것이다. 사건의 전말은 전담 수사반을 통해 밝혀지길 기다려야겠지만 이번 사건이 개개인의 보안의식이 높아지는 계기가 되었으면 한다. 보다 안전한 인터넷 뱅킹을 위해서 일반인들이 해야 할 것과 하지 말아야 할 것들을 알아본다.

1. 공공장소에서는 인터넷 뱅킹 뿐 아니라 로그인 자체를 하지 말자.

2. ID와 패스워드를 이메일이나 하드 디스크에 저장을 하지 말자.

3. 공인인증서는 컴퓨터 하드에 저장하지 말고 USB 메모리와 같은 이동형 저장 매체에 저장하여 인터넷 뱅킹 사용시에만 꽂아서 사용한다.

4. 각 은행에서 OTP를 발급받아 사용한다.

5. 편의성을 위해 보안카드를 스캔 하거나 사진을 찍어 저장하지 말자.

6. 바이러스 백신을 설치하고 수시로 수동 검사 및 업데이트를 한다.

7. ID와 패스워드는 각 사이트마다 다르게 지정하고 주기적으로 교체해야 한다.

8. 믿을 수 없는 사이트에는 들어가지 말고 웹에서 파일을 다운을 받을 때 주의한다.

학교와 같은 공공장소에서 PC를 사용할 경우 더욱더 주의를 해야 한다. 특히 PC방의 경우 다수의 해킹 툴이 깔려있어 호시탐탐 해킹의 기회를 엿보고 있다고 생각해야 한다. 인터넷 뱅킹은 물론이고 일반 사이트들의 로그인을 자제하는 것이 바람직하다. 많은 유저들의 보안 의식이 높아져 많은 사람들이 각 사이트 별로 다른 아이디와 패스워드를 설정해서 사용하긴 하지만 아직 모든 사이트에 동일한 정보를 사용하는 사람들이 존재한다. 이럴 경우 특히 해킹을 당할 위험이 크다고 봐야 한다. 일반인들은 본인의 PC가 위험한 툴들이 깔려있는 것을 인지하기 힘들다. 그렇기 때문에 일단 개인 정보들은 본체 하드 디스크에 저장을 하지 않는 것이 좋다.

여러 은행과 거래를 하는 경우 다수의 보안카드들을 소지해야 한다. 많은 사람들이 편의성을 이유로 보안카드를 스캔 하거나 복사하여 저장하기도 하고 휴대전화 카메라로 찍어서 사용하기도 한다. 이럴 경우 개인정보가 한꺼번에 유출될 위험이 있어 주의해야 한다. 이번 피해를 당한 사용자의 경우도 아이디와 패스워드를 이메일로 저장해두었다고 한다. 이럴 경우 한 PC에 저장되어 있는 개인 정보(인터넷 뱅킹을 사용할 수 있는 정보)가 많아 위험에 노출 될 가능성이 높아진다.

OTP(One Time Password)는 보안카드 보다 더 많은 수의 비밀번호를 제공한다. 한번 사용한 패스워드는 사라지고 매번 새로운 비밀번호가 생성되기 때문에 더 강력한 보안성을 제공한다. 얼마전 중국에서 일년간 한 사람의 PC를 모니터링하여 보안카드 번호를 알아내어 해킹한 사건이 있었다. 보안 카드의 한계는 현재 30개의 번호를 돌려가면서 쓰기 때문에 노출이 될 가능성이 높다. 반면 OTP는 사용할 때마다 새로운 번호가 생성되기 때문에 패스워드 유출을 막을 수 있다.

100퍼센트 완벽한 보안 툴은 없기 때문에 여러 가지의 방어 방법을 사용하고 개인정보를 분리해서 보관하는 것이 핵심이다. 무엇보다 중요한 것은 평소에 보안에 관심을 가지고 PC관리를 하는 습관을 키우는 것이 중요하다.@

2009년은 “개인정보보호”의 해!!

최근 한국정보산업진흥원에서 발표한 자료에 따르면, 인터넷 분야에 있어서 가장 시급하게 해결해야 하는 현안으로 “개인정보보호” 문제 해결을 국내 전문가들이 가장 먼저 손꼽았다고 한다. 개인의 정보를 보호하고 명의도용을 방지하는 것이 그만큼 중요한 문제로 자리잡았다는 것을 보여주는 예라고 할 수 있다.

2008년 지난 한해는 개인정보보호의 중요성을 아무리 강조해도 지나치지 않을 만큼 개인정보 유출로 인한 사건 사고가 유난히 많은 한 해 였다. 작년 2월 중국 해커에 의해 약 1081만 명의 회원 주민번호, 성명을 포함한 개인정보와 고객 쇼핑정보가 유출되는 한 쇼핑 몰의 개인정보 유출 사건을 시작으로 관련 사건은 잇달아서 발생했다. 작년 한해에만 4월 약 600만 명의 고객정보를 텔레 마케팅 업체에 넘기려다 적발된 모 인터넷업체 고객정보유출 사건, 9월 약 1,100만 명의 개인정보가 담긴 CD가 내부직원에 의해 유출시도 된 모 정유 사 사건 등 상업적인 목적에 의해 고객정보가 손쉽게 이용되는 안타까운 사건들이 벌어졌다. 또한 몇몇 포탈사이트에서 벌어졌던 개인의 이 메일 정보와 이름 아이디 등의 신상정보 유출 사건과 같이 내부적인 관리소홀과 개인정보보호에 대한의식 부재로 인한 사건 등 “개인정보보호”에 관련된 다양한 사건이 발생했다.

명의도용으로 인한 2차 피해가 더 큰 문제

최근 설 명절을 앞두고 택배사와 우체국을 사칭한 보이스피싱이 한창이라는 뉴스보도를 쉽게 접할 수 있다. 개인정보가 유출되었을 경우 사생활 침해와 같은1차 피해로만 끝나는 것이 아니라 명의도용을 통한 2차 피해로 번진다는 문제점을 가지고 있다.

개인정보 유출로 인한 명의도용의2차 피해의 유형으로는 유출된 개인정보를 활용한 불법TM광고 영업, 스팸 메일 발송 등에 이용 될 수 있으며, 더 나아가 보이스피싱 범죄, 불법사이트 가입 및 유료서비스활용을 통한 사이버 범죄에 악용될 가능성이 크다. 이 뿐만 아니라 대포 폰 과 대포 통장 발급, 개인정보와 동시에 금융정보가 외부로 유출된 경우에는 이를 악용한 금융범죄로까지 발전할 수 있다. 이처럼 개인정보유출로 인한 그 피해는 유출 자체로 끝나는 것이 아니라 유출된 개인정보를 활용해 다양한 범죄에 악용되고 잇다. 현재에도 중국사이트 내에 한국인의 개인정보가 버젓이 불법거래 되고 있을 만큼 한국인 개인정보를 노리는 범죄들이 성행하고 있다. 이러한 상황에서 우리모두 자신의 명의도용을 방지하기 위한 노력이 필요하다.

내 명의는 내가 지킨다.

위와 같은 명의도용을 통한 피해로부터 자신의 개인정보를 보호하고 타인으로부터의 명의도용을 방지하기 위한 방법 몇 가지를 이야기 해 보려 한다.

첫째, 회원가입이 필요 없거나 자주 가지 않는 사이트는 회원가입을 자제하고, 의심스러운 사이트가 있다면 탈퇴처리 한다. 본인 명의(주민등록번호)를 통해 가입된 사이트를 정기적으로 확인하고, 피해가 발생된 것으로 의심되는 사이트는 정기적으로 확인해야 한다.

둘째, 많이 사용하고 있는 아이디와 패스워드는 수시로 변경한다. 비밀번호는 영문과 숫자 조합으로 8자리 이상이 좋으며 주기적으로 바꿔줘야 한다. 타인이 쉽게 알 수 있는 개인정보를 사용하면 유출 가능성이 있는 만큼 피해야 한다.

셋째, 미니홈피나 블로그 등에 무심코 개인에 관한 정보 전화번호, 주소, 주민번호와 같은 개인정보를 쓰는 것을 주의하고 비상연락처 파일과 같이 개인의 연락처가 담긴 파일을  올리는 것도 자제한다. 개인정보유출이 개인의 부주의에 의해서 발생할 가능성이 있음을 간과해서는 안 된다.

마지막으로, 개인 주민번호와 실명 도용 시 알람을 주는 명의도용차단서비스를 이용하는 것도 좋은 방법이다. 명의도용차단서비스의 “실명확인기록(인터넷 이용 시 실명인증이 이루어진 내역)”을 통해서 누군가 내 정보를 도용하고 있지 않은지, 도용했다면 어디에서 실명인증을 시도했는지 확인하여 본고 주기적으로 관리한다. 또한 인터넷사용이 많지 않은 경우에는 개인의 정보가 함부로 사용되는 것을 막기 위해서 온라인 사이트 상 실명인증을 막는 “명의도용차단설정”을 해두고, 실명인증 시도 시 알람을 주는 서비스를 사용함으로써 개인정보보호에 늘 관심을 가진다.

개인정보 유출 사건, 사고가 지속적으로 발생하고 있고 명의도용 문제들이 나날이 심각해지고 있어 V3 365 클리닉은 최근 명의도용차단 서비스를 시작했다. V3 365 클리닉의 명의도용차단 서비스를 알아보자.

[실명확인내역 조회] 화면
인터넷상에서 서비스 이용 및 가입을 위해 주민등록번호와 실명으로 실명확인이 이루어진 내역을 확인할 수 있다. 해당하는 사이트 URL과 실명확인이 일어난 일자와 시간, 실명확인이 일어나게 된 방문사유(실명인증, 성인인증, 게시판사용, 기타 이벤트 참여 등 서비스 사용을 위해 실명확인 받은 경우) 등 본인의 실명확인 내역과 관련된 내용을 확인 할 수 있다.




[명의도용차단설정] 화면
명의도용차단설정을 해 둠으로써 인터넷상에서 본인의 주민등록번호와 실명을 통한 본인인증을 해당 기간동안 막는 기능을 설정하는 메뉴이다.



[차단내역 조회] 화면
명의도용차단서비스의 차단 기능을 설정한 상태에서 개인정보의 사용(실명확인)을 시도했을 시 차단된 내역확인 할 수 있다.

2008년 한해는 예전에 비해 엄청난 양의 악성코드가 출현한 해로 볼 수 있겠다. 물론 매년 발견되는 악성코드의 숫자는 증가하였지만 2008년의 경우 증가폭이 상상하지 못할 정도로 늘어났다. 이 현상이 2008년으로 끝나기를 바랬지만 보름이 지난 2009년에도 그 추세가 이어질뿐 아니라 오히려 악성코드의 출현이 더욱더 가속화 될 것으로 보인다.

과거 악성코드의 변천을 보면 몇가지 흐름을 찾아볼 수 있다. 흥미로운 점은 악성코드의 흐름이 5년 주기로 변화를 하고 있다는 점이다. 1986년 도스시절의 컴퓨터바이러스가 1995년까지 맹위를 떨쳤고, 윈도우95가 발표되면서 일부 윈도우용 악성코드가 피해를 입혔지만 2000년 지나면서 바이러스보다는 웜의 피해가 있었고, Web 2.0시대를 예고라도 하듯이 그 환경과 어울려 트로이목마가 피해를 주고 있는 실정이다. 지금은 각 악성코드별로 영역조차 구분하기 힘들 정도로 복합적인 면을 보이고 있기는 하지만 그 시대에 가장 많이 쓰는 플랫폼, 감염 즉 공격하기 쉬운 형태의 대표적인 악성코드가 유행한다고 이해하면 될 것이다.

그림1) 악성코드의 변천

매년 보안위협에 대한 전망을 하는 이유는 IT 보안 산업에 일하면서 IT위협요소를 알려주고 보안 위협이 어떻게 발전하고 있는지, 우리는 어떤 대응을 준비해야 하는지,IT위협에 대해 정확하게 인식하고 함께 대처해 나가자는 취지이다. 지금의 상황이 혼자의 힘으로 대처해 나가기 어려운 환경이기 때문에 정부와 개인, 기업의 적극적인 투자와 참여가 필요하며 보안의식 제고에 대한 공감대가 필요할 것이다.

안철수연구소가 2008년 말에 발표한 10대 보안 이슈 중에서 몇 가지를 언급하면 다음과 같다.

1) 악성코드가 기하급수적으로 증가했고 지금도 증가하고 있다.
 몇 년 전부터 악성코드의 제작 목적이 돈과 관련되는 특성을 보였기 때문에 금전적인 목적을 위해서(실제로 금전적인 소득이 많다고 함) 더 조직적으로 움직이게 되었고, 또한 불특정 다수를 공격하기 보다는 특정 타켓을 정해놓고 공격하는 형태가 늘고 있기 때문에 90년대 초처럼 다시 국지적인 특성이 나타났다. 타겟 공격을 하기 위해서는 같은 악성코드로 공격하지 않고 다른 악성코드를 사용해야 했기 때문에 변종이 늘어날 수 밖에 없었으며 이런 변종을 쉽게 제작할 수 있도록 툴 등이 제작되고 있으며 거래되고 있다. 이런 이유로 전세계적으로 엄청난 숫자의 악성코드가 발견되고 있다.

2) 개인정보 유출 위험이 지속되고 있다.
앞에서도 이야기했듯이 악성코드 제작 동기가 돈을 목적으로 하기 때문에 상당히 많은 악성코드가 개인정보 유출과 관련이 있다. 2008년 ASEC Report자료에 의하면 웹사이트 로그인 계정 정보, 온라인 계정 정보등을 훔치는 트로이목마가 악성코드의 75%를 차지할 만큼 많았다. 또한 대형 개인정보 유출 사고가 연이어 발생했었고 그 결과 보이스 피싱, 스팸 메일 발송 등에 이용돼 2차 피해를 당하고 있는 것으로 추정되고 있다. 악성코드 제작자는 개인정보를 훔치기 위한 방법으로 공공기관을 사칭하는 첨부 파일을 메일로 보내거나 메신저나 쪽지함을 이용하여 악성코드 링크가 포함된 URL을 보내는 등 사회공학적 기법 또한 지능화되어 클릭할 확률을 높이고 있다.

3) 스파이웨어 및 가짜백신 피해가 커지고 있다.
2008년에 또 하나의 특징은 외산 가짜 백신의 피해가 전세계적으로 발생하였고 2009년 들어 가짜 백신도 업그레이드되어 피해가 늘어가고 있다. 해킹된 웹사이트를 통해 배포하거나, 다른 악성코드를 통해 배포하거나, 사용자로 하여금 허위 결과를 보여주어 설치를 유도하는 방법 등 더욱 다양해지고 지능화되고 있다. 또 다른 특징은 국산이 상대적으로 수치가 감소하는 것으로 보이지만 실체를 보면 더 큰 문제로 인한 결과임을 알 수 있다. 스파이웨어로 규정되지 않기 위해 사용자 동의는 받지만 알고보면 불공정 약관을 이용하는 등 보다 교묘한 방법을 사용하기 때문이다. 수치상으로는 줄고 있지만 사용자들의 피해는 늘어나고 있는 현실이다.

4) 웹이나 취약점을 이용하여 공격하고 있다.
2008년에는 SQL 인젝션 등 웹 공격이 극심했는데 해킹된 사이트를 통해 악성코드를 유포하거나 경유지로 이용된 수치가 2007년 대비 1.7배에 달할 정도로 웹이 감염 경로로 이용되었다. 또한 이 공격은 2009년에도 지속될 것으로 전망된다. 취약점을 이용한 공격은 MS사에서 발표한 보안 패치를 보면 2008년도 늘어났다는 것을 알 수 있다. MS사 뿐만 아니라 플래쉬 플레이어 취약점, PDF리더 프로그램의 보안 취약점을 악용한 공격 역시 다수 발생했다.

2008년 악성코드 동향에 이어 2009년 전망을 말하고자 한다. 2009년 보안 이슈는 안철수연구소에서 2009년 초에 보도자료를 통해 배포하였지만 여기서는 몇 가지만 언급하고자 하며 2008년과 많이 중복된 공격 형태들이 많음을 알 수 있을 것이다.

1) 악성코드 숫자의 압박
매년 악성코드의 기하급수적 증가가 추세가 되었듯이 2009년에도 증가 추세는 변함이 없을 것이다. 하나의 악성코드만으로 피해를 주는 것이 아니라 수시로 변종이 다운로드되고 백신 업데이트보다도 더 빨리 변종으로 진화하는 형태로 발전하고 있다. 2009년에도 악성코드는 다양해지고 있고 더 많은 변종의 출현이 1월 중순인 지금 벌써 현실화되고 있다.

2) 취약점을 이용한 공격과 웹 해킹을 통한 악성코드 배포
2008년 하반기에 MS08-067과 MS08-078 취약점을 이용한 제로데이 공격이 큰 파장을 일으킨 것처럼 2009년의 공격형태도 대중적인 소프트웨어의 취약점이 목표물이 될 것이다. 그리고 공격하는 악성코드는 자동화된 공격 도구와 결합하여 누구나 쉽게 만들 수 있고 공격할 수 있도록 진화되고 있다. 또한 트로이목마의 공격이 웹 해킹과 밀접한 관계가 있기 때문에 다른 공격 형태가 나타나기 전까지는 밀월관계가 지속될 것이다. 보안에 취약한 웹 서버들이 없어질 때까지…

3) 모바일 악성코드의 피해 가능성
국내는 위피(WIPI, 한국형 무선인터넷 플랫폼)라는 장벽(?)이 있었기 때문에 세계적으로 대중화된 모바일 악성코드로부터 안전할 수 있었지만 2009년에 그 장벽이 없어진다고 한다. 또한 스마트폰이 유행하게 될 것이기 때문에 모바일 악성코드의 피해가 현실화될 것이라는 것은 누구라도 예상할 수 있을 것이다. 안타깝지만 아이폰이나 구글폰에서 벌써 취약점을 이용하거나 비정상 동작을 유발하는 해킹이 등장했기 때문에 악성코드가 만들어질 환경은 이미 준비되어 있다고 봐야 되며 그 발견 시기만을 기다리는 신세가 되었다.

4) 봇넷의 발전
봇넷이 예전보다 감소한 것은 사실이다. 그러나 계속 나름대로 진화하고 있다. 봇넷을 통해서 가짜 백신의 설치 링크가 포함된 메일이 유포되어 엄청난 피해를 주었다. 그리고 다른 많은 악성코드도 이 봇넷을 통해서 배포되었으며 DDoS 공격 등 그 활용도는 무궁무진한 것 역시 사실이다. 때문에 2009년에는 또 다른 형태로 발전하여 피해를 입힐 것임이 분명하다. 또한 가상화와 보안이라는 단어가 2008년에 많이 회자되었는데 2009년에는 가상화를 이용한 공격이 악성코드의 공격에도 활용될 것이며 방어적인 입장에서도 가상화와 밀접하게 연구가 진행될 것이다.

5) 메신저, SNS, 메일계정 탈취
요즘 돈이 되고 많은 사람이 사용하는 것이라면 보안 위협이 존재한다고 봐야 한다. 특히 SNS를 통해서 많은 개인 정보를 얻을 수 있기 때문에 악성코드 제작자들은 매우 관심이 있을 것이다. 스피어 피싱 공격이나 스팸, 광고성 댓글 등을 통한 악성코드 유포로 계정 정보를 얻기 위해서 공격을 할 것이고 거기서 얻은 개인정보로 2차 사기성 범죄들이 예상된다.

2009년의 전망을 언급하면서 최근의 보안 위협은 새로운 IT환경이 등장하거나 대중화되는 시점에는 해커들의 공격 타겟이 되며 2003년부터는 감염자가 피해자가 되는 추세이기 때문에 IT와 관련된 모든 사람들의 보안 의식 고도화가 필수이다. 또한 공격 형태가 단순하지 않고 복잡한 기법들을 혼합하여 공격하며 불특정 다수보다는 특정 대상을 겨냥한 국지성 공격이 많기 때문에 보안 전문 업체의 역할이 더욱 중요한 시점이며 보안업체는 전문적이고 체계적인 대응 조직을 고도화해야 할 것이며 일반 기업에서는 안전에 필요한 최소한의 노력과 투자가 필요하다는 인식을 함께 해야 할 것이다.@