애플리케이션 영역 해킹에 무방비
관련 통계자료 다운로드 인터넷뱅킹 주요 정보 흐름과 보안 취약점 지난 6월 해킹 사건 이후 보완책이 마련됐지만 인터넷 뱅킹 시스템 전반에 대한 보안 체계가 마련되지 않아 여전히 안전성에 허점이 있는 것으로 드러났다.
31일 정보보호업계에 따르면 인터넷뱅킹에 키보드 보안솔루션과 PC 방화벽이 작동해도 애플리케이션 영역의 보안 취약점을 이용하면 중요 정보가 유출돼, 보완된 인터넷뱅킹 시스템도 여전히 안전하지 않다.
이에 따라 보안전문가들은 키보드 부분뿐만 아니라 공인인증서 비밀번호와 중요 정보가 이동하는 모든 구간을 암호화하는 등 인터넷뱅킹 시작 시점부터 끝까지 전과정에 대한 보안 체계를 다시 수립·구축해야 제2·제3의 해킹 사고를 막을 수 있다고 입을 모으고 있다.
정보보호컨설팅 기업인 스캐니글로벌 은유진 사장은 “현재 인터넷 뱅킹에서 키보드 보안솔루션을 설치해 해킹을 방지한 부분은 1차적인 보안대책에 불과하다”며 “공인인증서 패스워드 등 은행거래의 중요 정보가 이동하는 모든 부분을 암호화하지 않으면 지난번 해킹 사건 때와 유사한 방법으로 손쉽게 해킹할 수 있다”고 지적했다.
실제로 키보드 보안 프로그램이 실행되고 있는 시중 은행 사이트에 모의해킹을 시도한 결과, 키보드 보안솔루션에 아무런 제재를 받지 않고 공인인증서 암호와 계좌정보, 보안카드 번호 등 각종 중요 정보를 모두 볼 수 있었다.
특히 모의해킹에 사용된 윈도 메시지 후킹 프로그램은 해킹 툴이 아니라 인터넷 자료실에서 손쉽게 구할 수 있는 프로그램으로, 1∼2년 된 초보 프로그래머 수준이면 쉽게 해킹 툴로 변환시킬 수 있다는 것이 보안 전문가의 설명이다.
키보드 보안솔루션을 개발하는 소프트캠프의 고경완 부장은 “키보드 보안 후 애플리케이션으로 넘어가는 부분까지 암호화하기 위해 공개키기반구조(PKI) 솔루션 기업과 공동 개발에 들어갔다”며 “현재 애플리케이션 영역에 대한 보안이 취약한 것은 사실이며 안전한 전자거래를 위해 이 부분에 대한 보안이 시급하다”고 말했다.
김인순기자@전자신문, insoon@
