보안

가트너, “현재 온라인 뱅킹 보안 시스템 취약"

Jaikumar Vijayan | Computerworld 2009.12.16

가장 보안이 강력하다고 여겨져 온 일회용 비밀번호나 휴대폰 사용자 인증 등이 더 이상 온라인 뱅킹 사기로부터 사용자를 보호할 수 없는 것으로 나타났다.

 

가트너가 새롭게 공개한 보고서에 따르면, 사이버 범죄자들은 점점 더 많이 이 같은 방법을 악용해 고객들의 은행계좌 로그인 정보를 빼내고 있다. 이에 따라, 은행이 고객들을 보호하기 위해 보안을 조속히 강화해야 한다는 것이 이 보고서 작성자인 가트너의 분석가 아비바 리탄의 주장이다.

 

이 같은 가트너의 경고는 최근 유효한 온라인 뱅킹 인증서를 훔쳐 악용하는 사례가 늘어난 현상과 맞물린다. 지난 8월 NACHA-전자결제협회는 특히 중소기업에서 온라인 뱅킹 사용시 ID나 비밀번호 유출에 주의하라는 경고를 한 바 있다. 사이버 범죄자가 훔친 인증서로 기업 계좌에 들어가 전자결제 네트워크를 통해서 무허가로 송금을 할 수 있다는 설명이다.

 

또, NACHA의 경고가 있기 몇 일 전에도 FSISAC(Financial Services Information Sharing and Analysis Center)는 동부 유럽의 범죄 단체가 기업 계좌에서 수백만 달러를 불법으로 유용해 인기있는 송금 서비스를 통해 해외로 보냈다며 비슷한 경고를 했다.

 

지난 달 FBI의 인터넷 범죄 신고 센터(Internet Crime Complaint Center)는 10월 당시 사이버 범죄자들이 훔친 로그인 인증서를 이용해 미국 은행에서 대략 1억 달러 정도를 훔치려고 했었다고 밝혔다. FBI가 평균적으로 매주 새로운 범죄 사례를 발견한다는 것이 센터의 주장. 대부분의 경우에 범죄자들은 트로이안 목마 프로그램을 이용해 로그인 인증서를 빼내는 것으로 나타났다.

 

리탄에 따르면, 가트너의 여러 은행 고객들이 웹 브라우저에 악성코드를 숨겨 은행 거래를 못하게 하는 공격에 피해를 입거나 타깃이 됐다는 사례가 보고되고 있다.

 

일부 경우에는 트로이안 프로그램이 사용자의 브라우저에 잠복해 있다가 뱅킹 사이트에 접속할 때 활성화 되어 사용자 ID와 비밀번호, 일회용 비밀번호 등을 훔쳐낸다. 다른 경우에는 은행과 고객 사이에 거래가 이루어지는 순간 트로이안 프로그램이 해당 거래에 중간에 끼어든다.

 

예를 들어 일정량의 돈을 한 계좌에서 다른 계좌로 보내는 요청이 다른 사용자에게 가게끔 바뀔 수 있는데, 은행이 고객에게 거래 확인을 하는 단계에서 나오는 상세 내용은 처음에 사용자가 요청한 것 그대로 나타난다. 리탄은 “이 맬웨어는 사용자가 보고 있는 것을 바꾸기 때문에 일회용 비밀번호를 넣으면 잘못된 거래라고 나타난다”라고 말했다.

 

한편, 휴대폰 기반의 인증 시스템을 이용하는 은행에서는 범죄자들이 자동 전화 전송 서비스를 이용하는 사례가 들어나고 있다. 이 경우에 합법적인 금융기관에서 전화를 하는 것이 아니라 사기꾼들이 전화를 하는 것이다.

 

리탄은 이 밖에도 브라우저 커뮤니케이션에 의존하는 칩 카드나 생물측정 시스템을 이용한 인증 기술도 위험할 수 있다고 경고했다.

 

따라서 온라인 은행거래와 관련된 보안이 강화되어야 한다는 것이 리탄의 주장이다. 브라우저에 의존하는 어떤 인증방식도 모두 공격의 대상이 될 수 있기 때문인데, 대신에 은행은 서버 기반의 거래 모니터링 방법을 구축해야 한다고 권고했다.

 

이것의 목표는 로그인, 행동, 거래 활동 등이 사람이 아닌 자동화된 프로그램으로 이뤄지는지 감시하는 것이다. 한 유럽의 은행은 이런 모니터링 기술을 이용해서 사람이 하는 것 보다 빠른 속도로 거래한 트로이안을 잡아낸 바 있다.

 

또 모니터링 툴은 사용자의 기존 거래 패턴을 기억해 두었다가 이보다 크게 다르지 않은 경우에만 거래를 성사시키는 기능을 보유할 필요도 있다. jvijayan@computerworld.com

 

Sponsored
IDG 설문조사

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.