금융권 홈페이지 해킹에 무방비

이혁중 STG시큐리티 보안기술연구소 소장



금융기관의 인터넷 홈페이지가 해킹에 무방비로 노출돼 있다.
실제로 금융기관의 웹 브라우저에 다른 사용자의 아이디를 넣는 것만으로도 개인 정보가 노출되는 어처구니 없는 사고가 발생하는 등 금융권의 보안은 심각한 수준에 이르고 있다.

유출된 자신의 개인 정보가 은밀한 뒷거래의 대상이 되고 있지만 정작 고객은 자신의 신상 정보가 시중에 유포돼 특정한 목적의 활용대상이 되고 있다는 사실조차 모르고 있는 실정이다.

특히 금융권의 전산망이 해킹당하면 금융거래 내역이 변조되거나 조작될 수 도 있어 자칫 대형 금융사고로 연결될 수 있다.

본지에서는 최신 기법을 이용한 해킹으로 인해 금융권에서 나타날 수 있는 보안상 문제점과 기존에 설치돼 있는 보안 제품들의 한계에 대해 살펴보고 정보 보안 선진국에서는 어떻게 대응하고 있는지에 대해 전문가를 통해 3회에 걸쳐 연재한다.

<편집자주>


현재 웹을 이용한 응용 서비스는 제공하는 기관측에서 여러가지 형태로 나타나고 있으며 인터넷을 통한 새로운 서비스가 계속 만들어지고 있다.

인터넷 뱅킹은 인터넷을 이용해 실제 고객이 은행까지 오지 않더라도 집에서 편리하게 업무를 볼 수 있도록 했으며, 이러한 서비스를 이용하는 고객의 수는 조사에 따르면 2003년 3월말 현재 1876만명으로 2002년 3월말 1241만명, 6월말 1448만명, 9월말 1694만명, 12월말 1771만명 등으로 큰 폭의 증가세를 보이고 있다.

또 유선 인터넷이 아닌 전세계적으로 유래없이 빠른 성장을 보인 CDMA를 이용한 휴대폰(자바폰이라 발표된 것이 한 예이다.)과 웹브라우저를 내장한 PDA를 사용하는 인터넷 서비스도 더 많이 사용되고 있다.

이러한 웹을 이용한 서비스는 그 편리함 덕분에 더욱 더 많은 기존의 업무를 바꾸어 놓으며 필요한 서비스를 더욱 더 개발하고 있다. 이는 웹에서 사용하는 http라는 프로토콜 자체가 지니는 편이성에 크게 기인하고 있다.

또 사이버 트레이딩, 보험 인터넷 거래, 인터넷을 통한 카드 조회 및 대출이 존재하며 이러한 형태의 서비스는 향후 계속 증가하리라 예상된다.

그러나 이런 편리함이 있는 반면 근래에 나타나고 있는 해킹이라는 새로운 보안상 취약성의 리스크는 훨씬 커지고 심각한 위험을 초래할 수 있는 문제점도 동시에 안게 됐다.



■ 웹은 해커들의 통행로



실제로 금융권에서 현재와 같이 보안 시스템하에서 운영돼 가장 중요한 고객 원장을 관리하는 메인 시스템 자체에 인터넷을 통해 바로 공격할 수 있는 방법은 크게 없으리라 생각한다.

그러나 이미 언급한 웹서비스를 통한 우회적인 공격에 대해서는 현재의 제품 자체의 구조상 보안 사고를 완벽히 막을 수 있는 방법이 없다고 필자는 강력하게 주장하고 싶다.

실제 웹을 통한 모의해킹을 시도한 결과 기존의 어떠한 보안 제품에서도 이것을 100% 탐지할 수가 없었다.

마음만 먹으면 아무도 모르게 감쪽같이 침투해 빠져 나오는 방법도 없지는 않다. 이는 보안제품 자체의 구현 메카니즘에도 문제가 있을 수 있으며, 실제 구축 사이트의 특성 때문에 탐지를 못하는 문제일 수 도 있다.

중요한 것은 기존에 설치된 보안제품으로는 탐지 못하거나 막을 수 없는 또 다른 취약성이 존재한다는 점이다.

즉 개발자의 잘못된 마인드나 혹은 보안에 대한 무지에 의해 웹과 같이 외부에 쉽게 열려있는 시스템을 통해 메인서버 혹은 DB서버까지 접속할 수도 있다는 점이다.

최근 금융결제원을 비롯한 몇몇 금융기관 등의 인터넷 홈페이지에 보안 허점이 발견되기도 했다.



■ 웹은 가장 취약한 보안사각지역



실제로 금융권에서 외부인에게 100%개방해야 하는 웹서버를 담당하는 담당자의 경우 자신의 사이트에 구축돼 있는 웹서버의 보안상황에 대해서 매우 불안해 하고 있다.

이는 다른 응용 서버는 정형화돼 있는 프로그램으로 누구나 사용할 수 있어 보안문제도 동일하게 발생하기 때문에 동시에 대응이 가능해 어느 정도 안심 할 수도 있다.

그러나 웹 서버의 경우에는 기관의 특성 또는 서비스에 따라 프로그램이 독자적으로 개발되기 때문에 실제 각 기관별로 어떠한 사고가 발생할지는 누구도 장담 할 수 가 없다.

실제 정보보호진흥원의 보안권고문에는 DNS버전, SENDMAIL 버전의 취약성이 나타날 뿐 웹서버의 경우 처럼 개발자의 독립적인 개발 모듈에 대해서는 언급하지 못하고 있다.

이에 따라 현재의 상황에서 웹서버는 보안에 관한 한 언제 터질지 모르는 시한폭탄의 형태로 존재하는 것이고 관리자는 그러한 시한 폭탄을 안고 운영하고 있는 셈이다.

어쩌면 이미 업무용 웹서버가 공격을 당해 해커에 의해 조종당하고 있는지도 알 수 없는 일이다. (만약 그러한 일들이 현실로 나타나고 고객들에게 알려진다면 과연 그러한 허술한 금융회사에 누가 자신의 재산을 안심하고 맡기려 하겠는가?)

중요한 것은 보안제품으로는 웹이라는 사용하기는 편하지만 보안에 있어서는 어느 누구도 확신할 수 없는 시스템에 대해서는 잠재적인 해킹에 관련된 문제를 지니고 있다는 점을 알아야 한다는 점이다. 다음 호에는 이 문제에 대하여 좀더 자세하게 알아보겠다.

<이혁중 소장 주요경력>

·인하대 산업공학과 졸업

·포항공대 정보통신대학원 석사 졸업

·펜타시큐리티시스템 보안컨설턴트

(1999-2000)

·마크로테크놀러지 보안기술연구소장

(2000-2002)

·STG시큐리티 보안기술연구소장

(2002.12-현재)



관리자 기자