키보드보안, 피싱 예방의 ‘배수진’

각 금융기관을 중심으로 OTP(ONE TIME PASSWORD)가 확산되는 가운데, 해킹 방지를 위한 대안으로 키보드 보안이 부각되고 있다.

최근 전자금융거래법 기준으로 1등급 보안제품에 속한 OTP는 매번 실시간으로 새로운 비밀번호를 생성한다는 점에서 보안성이 완벽해 보인다. 그러나 일반인의 전자금융거래가 주로 PC상에서 인터넷뱅킹을 통해 진행된다는 점을 감안하면 상황은 크게 달라진다.

실시간으로 생성된 일회성 비밀번호를 입력한다 해도 PC, 네트워크 및 서버를 거쳐야하는 본인인증 과정에는 십여 초에서 최대 1분이라는 시간적 차이가 발생하게 된다.
또한 모든 데이터가 메모리를 거쳐야하는 PC의 구조적 특성상 그 시간차이를 노린 해킹이 가능하기 때문이다.

바로 메모리 해킹을 통해 PC에 미리 심어둔 바이러스나 봇넷 등의 해킹 툴이, 계좌이체 과정에서 해커의 계좌번호로 송금하도록 유도하는 방식을 취하기 때문에 고객의 입력 정보를 원천적으로 차단해주는 키보드 보안의 중요성이 높아지고 있다.

◆ 잉카, P프로텍트 선전

최근 국민은행에 P프로텍트라는 보안 제품군을 공급한 잉카인터넷은 동 제품을 통해 키보드보안에 대한 근본적인 해결책을 제시했다. 바로 인터넷뱅킹을 진행하는 접속자가 자신의 키보드를 누르지 않고도 계좌번호와 비밀번호를 입력할 수 있기 때문이다.

P프로텍트는 화면상에 나타난 화상키보드로 비밀번호를 입력할 수 있는데, 숫자 버튼을 누르게 되면 숫자가 아닌 문자로 전환돼 입력되는 방식을 취했다. 따라서 고객이 입력한 정보가 메모리 해킹 등의 방식으로 노출된다 해도 숫자가 아닌 문자로 표시되기 때문에 이를 해독해 내기란 쉽지 않다.
숫자와 문자의 대입 방식 역시도 랜덤 한 방식을 취하기 때문에 매 접속 시마다 새로운 암호화 방식이 지원되고, 숫자의 문자 변환과 동시에 16비트 암호화 기능을 지원하기 때문에 안정성이 한층 높아졌다는 평가다.

◆ 안연구소, PCT국제특허 출원

안철수닫기안철수기사 모아보기연구소(대표 오석주)는 최근 자사의 ‘마이키디펜스’ 제품군에서 ‘키보드 데이터 인증을 이용한 키 입력 도용 방지 방법’에 대한 특허를 획득했고, 동 기술력으로 PCT국제특허를 출원해 WIPO(세계지적재산권기구)에 가입된 133개국에서는 기술적인 우선권을 주장할 수 있게 됐다고 밝혔다.

현재까지 다수의 키보드 보안 솔루션이 시장에 출시된 상태지만, 상당수의 제품군은 고객 PC상에 침투한 키로거가 고객의 주요정보를 외부로 노출시키지 못하도록 하는데 초점이 맞춰져 있다.
그러나 안철수연구소가 새롭게 선보인 기술력은 데이터가 유출되어도 악용할 수 없도록 보호할 수 있는 기능에 좀 더 무게를 둔 제품이다.

또한 동 제품의 경우 필요에 따라 키보드로 입력된 데이터가 실제의 데이터인지 여부를 검증함으로써, 이전 제품군 향상된 보안성을 제공할 수 있다.

안연구소의 ‘마이키디펜스’는 현재 다음, 넥슨 등의 국내 포털에 도입된 상태고, 멕시코 최대 금융기관인 배너멕스와 산탄데르 은행 및 멕시코국민연금 등의 기관에서 활용 중에 있다.



김남규 기자 ngkim@fntimes.com