인터넷뱅킹 해킹 방지 대책 초안 나와

Photo Image

공인인증서 온라인 재발급시 보안카드와 함께 카드 일련번호를 추가 입력하거나 일회용비밀번호(OTP) 발생기를 이용해야 하는 등 신원 확인 절차가 대폭 강화된다. 또 도용과 해킹의 우려가 큰 공인인증서를 안전하게 저장하기 위해 스마트카드와 암호토큰(HSM:Hardware Security Module) 사용이 권고된다.

 정보통신부는 30일 서울 명동 은행회관 국제회의실에서 열린 ‘제6회 전자서명인증워크숍(PKI-KR2005)’에서 이 같은 내용을 골자로 한 ‘인터넷뱅킹 해킹사건과 정부의 개선대책’ 초안을 발표했다.

 ◇공인인증서 온라인 발급시 신원확인 강화=정통부는 지난 6월 인터넷 뱅킹 사건에서 드러난 공인인증서 온라인 재발급시 신원확인 취약점을 보완하는 방법으로 보안카드와 카드 일련번호를 조합해 입력하는 안을 내놓았다.

 기존에 공인인증서를 분실하거나 기한이 만료돼 재발급받을 때는 처음 공인인증서를 받을 때와 달리 별도의 신원확인 없이 온라인으로 비밀번호만 제시하면 재발급이 가능했다. 이 방식은 개인 비밀번호가 유출되면 타인이 쉽게 공인인증서를 재발급받을 수 있는 취약점 때문에 인터넷 뱅킹 해킹에 악용됐다.

 정통부는 이 같은 취약점을 보완하기 위해 공인인증서 재발급시에는 보안카드 번호와 별도의 일련번호를 동시에 입력해 신원확인 수준을 높이는 방법을 제시했다. 이 방법을 사용하면 현재 30∼35개 번호의 보안카드 번호가 일련번호와의 조합으로 총 870∼1190개로 늘어난다. 또 현재 보안카드를 사용하지 않고 비밀번호 입력 때마다 새로운 비밀번호가 생성돼 도용의 우려가 줄어드는 OTP사용도 추진된다.

 ◇공인인증서 저장매체 안전성 강화=PC 하드디스크에 보관돼 해킹 위험이 큰 공인인증서가 별도의 하드웨어에 저장된다. 공인인증서를 스마트카드나 암호토큰에 저장해 사용하면 전자서명키가 PC 메모리에서 실행되지 않고 별도 매체에서 처리돼 해커가 키스트로킹 해킹툴을 설치해도 정보를 유출할 수 없다.

 정통부는 자체 암호 기능을 가진 스마트카드나 암호토큰에 공인인증서를 저장하는 방법을 권고하고 저장매체의 안전성을 강화한다는 계획이다. 특히 고액 거래자는 스마트카드와 암호토큰의 이용이 적극 추진되며 PC 하드디스크에 공인인증서를 저장하는 경우의 안전성 확보 방안도 검토중이다.

 ◇금융 분야 응용서비스의 보안성 강화=인터넷 뱅킹과 증권거래 등 인터넷 응용 서비스에서 키보드 해킹 방지 등 보안프로그램 사용이 의무화되고 보안카드의 입력 방식도 개선된다.

 정통부는 기존 금융 분야 응용사이트의 안전성을 다시 검토하고 키보드 해킹 방지 프로그램을 의무화한다. 또 보안카드 비밀번호는 ‘복수지시번호 분할 입력’을 통해 보안수준을 높인다. 복수지시번호 분할 입력 방식은 계좌 이체시 두 개의 보안카드 번호를 요구하는 형태다. 예를 들어 보안카드 17번의 첫 번째, 세 번째 번호와 25번의 두 번째, 네 번째 번호를 조합해 새로운 비밀번호를 입력하는 형식이다.

 문성계 정통부 정보보호산업과장은 “인터넷 뱅킹 해킹 사고는 인터넷 뱅킹 보안 프로그램의 기능 미흡과 관리 소홀, 체계적인 점검 부재에서 비롯됐다”며 “개선 대책의 조속한 실행으로 안전한 전자거래 환경을 구축하는 데 노력할 것”이라고 말했다.

김인순기자@전자신문, insoon@

브랜드 뉴스룸