PC해킹에 공인인증서도 ‘무용지물’

시큐어뉴스가 10개 시중은행을 대상으로 한 모의테스트에서 100% 해킹에 성공해 충격을 던져주고 있다. 10개 은행에는 현재 인터넷뱅킹서비스를 활발하게 제공하고 있는 대형 시중은행이 대부분 포함돼 있다.

물론 은행 자체의 시스템이나 네트워크에 대한 해킹이 이루어진 것은 아니지만 대형 금융사고가 발생할 경우 신뢰도 하락, 금전보상 등 금융기관이 직간접적인 피해를 입게 돼 대책마련이 시급한 것으로 나타났다. 특히 사고가 잦을 경우 사이버 금융거래에 대한 소비자들의 신뢰 자체가 떨어져 거래위축을 가져올 것으로 우려되고 있다.

반면 아직까지 사례가 없어 금융기관과 고객들 모두가 사고의 심각성에 대해 인식하지 못하고 있는 상황이다. 감독당국에서도 아직 고객PC 해킹에 대한 뚜렷한 입장을 정리하지 못하고 있다. 금융감독원과 공정거래위원회측은 클라이언트 부문의 해킹까지 금융기관에서 책임질 수 없다는 데 대해 심정적으로 동조하고 있지만 실제 사고발생시 금융기관이 책임을 면하기는 어려울 것으로 지적하고 있다.
지난 6월 제정돼 9월부터 시행될 예정인 전자금융거래 기본약관에서도 고객의 고의나 과실이 없는 사고에 대해 은행이 책임을 지도록 명시하고 있다.

약관제정 취지로 볼 때 금융기관과 고객 모두에게 과실이 없고 원인이 정확하게 밝혀지지 않은 사고에 대해서는 금융기관에 책임을 부과하는 것으로 해석되고 있다. 이에 따라 향후 클라이언트 해킹을 통한 금융사고가 발생할 경우 금융기관과 고객간 책임소재를 놓고 치열한 공방도 예상되고 있다.

시큐어뉴스가 10개 은행사이트 해킹을 위해 사용한 프로그램은 백도어 프로그램의 일종인 ‘서브7’. ‘서브7’이 인터넷뱅킹 사용고객에게 감염되면 고객PC화면을 원격지에서 그대로 볼 수 있어 ID와 패스워드 등 모든 정보가 그대로 노출되게 된다. 화면에 표시되지 않는 비밀번호도 ‘키로그(key log)’ 인식을 통해 해커의 화면에는 정확하게 나타난다.

안전카드나 공인인증서의 경우에도 전혀 안전판 역할을 하지 못하는 것으로 나타났다. 안전카드는 경우의 수가 보통 20~30가지에 불과해 몇 차례 거래가 지속될 경우 비밀번호를 쉽게 획득할 수 있다. 또한 공인인증서의 경우 백도어 프로그램을 통해 아예 고객PC에 저장된 공인인증서를 전송해 올 수 있다. 굳이 전송해오지 않더라도 화면스크린을 통해 인증서 비밀번호를 쉽게 얻을 수 있다.

백도어 프로그램을 이용한 PC해킹의 경우 사고가 발생하기 전까지는 고객이 해킹사실을 전혀 인식할 수 없다는데 문제의 심각성이 있다. 또한 고객들이 상세하게 확인하지 않을 경우 소액해킹의 경우 피해가 장기화될 수도 있다.
현재 국내 시중은행 가운데서 국민은행이 고객PC보안 제품을 ASP형태로 제공하고 있고 제일은행과 조흥은행 등도 개인PC용 보안프로그램을 다운로드 받을 수 있도록 서비스하고 있다.

시큐어뉴스측은 보안프로그램이 제공되고 있지만 이를 권유 내지는 강제하는 은행측의 배려가 없어 인터넷뱅킹 고객들의 사용빈도가 많지 않고 효과도 적다고 지적했다. 또한 일부 보안 프로그램은 최신 해킹툴을 적용할 경우 이를 감지해내지 못하는 사례도 발견되고 있다고 밝혔다.

은행권 관계자들은 은행이 고객의 PC보안까지 책임지는 것은 현실적으로 어렵다는 데 공감하면서도 사고시 금융기관이 입게 될 피해가 막대한 만큼 대책마련을 서둘러야 한다는 입장이다.

현재 고객PC 부문의 보안제품을 제공하고 있는 대표적인 업체는 잉카인터넷과 지텍인터내셔널, 사이웍스 등이다. 이번 인터넷뱅킹 취약성 분석을 했던 시큐어뉴스도 조만간 제품을 발표할 계획이다. 안철수닫기안철수기사 모아보기연구소 제품의 경우 바이러스에 한정돼 있긴 하지만 백도어 프로그램에 대한 일부 감지 및 치료기능을 제공하고 있다. 다만 기존 PC보안 제품들이 개별 프로그램 형태로 공급돼 지속적인 업그레이드가 번거로운 것이 단점이며 이에 따라 최신 해킹툴에 대해서는 대응이 어려운 것으로 지적되고 있다.


김춘동 기자 bom@fntimes.com