[이슈분석] 메모리해킹 대안 마련에 보안업계 ‘술렁’

메모리해킹에 대한 인터넷뱅킹의 취약성이 수면위로 부각되면서, 안전한 인터넷뱅킹을 위한 대안마련에 보안업계가 술렁이고 있다.

최근 금융보안연구원은 메모리해킹으로 인터넷뱅킹이 무력화 될 수 있다는 우려가 제기되자, 이러한 취약점을 보완할 수 있는 대책마련으로 분주한 상태다.

금융감독당국은 이번 달 7일 각 시중은행에 투채널 보안 솔루션을 1등급 보안제품군에 포함시킨다는 공문을 발송함으로써, OTP와 보안카드에 이어 투채널 보안 솔루션을 선택적으로 활용할 수 있도록 권고했다.
또 최근에는 각 보안업체에 공문을 발송해 메모리해킹을 차단할 수 있는 기술 개발을 의뢰했고, 현시점에서는 금융보안연구원을 주축으로 씽크ATㆍ패닉시큐리티ㆍ인포틱스ㆍBC큐어ㆍ소프트포럼ㆍ안철수연구소가 참여한 가운데 지난 14일부터 메모리해킹 방어를 위한 테스트 작업에 착수한 상태다.

◆ 위험성 문제는 질보다 ‘양’

각 금융기관이 메모리해킹에 대해 높은 관심을 보이는 간단하다. 바로 해킹방식 자체가 교묘하기 때문에 이를 사전에 차단하기가 불가능하기 때문이다. 또한 막상 해킹을 당해서 금전적 손실을 입어도 사실상 이를 추적해 범인을 잡아내기도 어렵다. 그러나 무엇보다도 문제가 되는 것은 한 가지 공격패턴에 대한 방어책을 마련했다 해도, 현 보안솔루션의 구조상 동일한 패턴의 변종 공격에는 또다시 무력함을 보일 수밖에 없기 때문이다. 메모리 해킹이란 PC의 역사와 함께 진화한 전통적인 해킹방식으로, 가장 초보적이며 동시에 가장 지능적인 해킹방식으로 인식되고 있다.

모든 데이터가 메모리를 거쳐야만 하는 현 PC의 구조를 악용한 것으로, 개인 PC의 메모리에 미리 침투한 ‘봇넷’이 인터넷뱅킹을 시도하는 과정에서 활성화되는 구조다. 또 이 과정에서 미리 심어둔 ‘봇넷’은 계좌번호 변경이나 금액위변조 등을 통해 해커의 통장으로 입금을 유도하는 방식을 취하고 있다.

메모리해킹은 오랜 기간 동안 진화한 해킹방식인 만큼 그 방법이 다양하지만, 이보다 더 큰 문제는 이를 악용할 수 있는 전문가의 수도 많다는 데 있다.
한 보안업계 전문가는 “메모리 해킹은 PC 방화벽을 다룰 수 있는 수준의 기술력만 갖춘다면 충분히 시도해 볼 수 있다”며 “동 기술력을 확보한 국내 해커의 수는 대략 400여명, 중국 해커의 수는 8000여명으로 잠정 집계되는 실정”이라고 말했다.

또한 “개인이 해킹을 시도하는 것은 어려운 작업이지만, 공격자가 조직화ㆍ전문화되는 구조에서 시도되는 메모리해킹은 충분히 우려해야 할 사안”이라며 “해당 전문가들은 현행법상 해킹을 시연하는 행위 자체가 위법이기 때문에 이를 시도하지 않을 뿐”이라고 현 상황을 진단했다.

한편, 또 다른 보안업계 관계자는 “보안 알고리즘을 새로 개발한다고 해도, 칩 외부를 갈아내고 내부 구조를 분석하면 이를 깨는 것은 어려운 문제가 아니다”며 “인터넷뱅킹 과정에서의 메모리해킹 위험성은 전문가 사이에서는 이미 수년 전부터 거론되어온 문제”라고 사안의 심각성을 경고했다.

◆ 메모리해킹 재부각의 배경
해당 전문가 사이에서 메모리해킹 위험성에 대한 우려는 이미 수년전부터 거론되어 온 문제다. 그러나 최근 메모리해킹의 위험성이 다시 부각된 데는 메모리해킹 자체의 위험성보다도 외적인 요소가 더 큰 원인으로 작용했다는 시각이다.

한 보안업계에 따르면, 지난 7월 19일 비공개로 진행된 국회 정무위원회 토론회에서 메모리해킹과 인터넷뱅킹의 위험성에 대한 문제가 거론된 바 있고, 그 자리에서 금융감독당국 관계자에 대한 추궁이 있었던 것으로 전했다. 한편, 구체적인 일정까지 거론되는 후설에 의하면 책임소재 여부를 규명하는 국정감사를 추진하는 과정이라고 전했다. 사실의 진위 여부를 떠나 그동안 메모리해킹에 대해 무덤덤한 반응을 보여 왔던 금융감독당국 역시 최근 방지책 마련에 조급한 모습을 보여 온 양상이 짙다.

한 보안업계 관계자에 의하면 “초기 금융감독당국은 오는 9월말까지 메모리해킹 방지 기술을 개발하길 원했다”며 “이는 기술개발과 테스트 과정에 소요되는 시간을 고려하면 무리한 요구사항 이었다”고 설명했다.

◆ 매체분리 원칙의 ‘투채널’

메모리해킹 방지책을 마련하기 위해 모인 6개 보안업체를 살펴보면 크게 데이터암호화와 데이터분산이라는 기술력을 공통적 해결 방안으로 제시하고 있다.

씽크AT사는 이미 국민은행에서 도입해 운영하고 있는 ‘씽크콜’을 제안한 상태고, 인포틱스 역시 휴대전화를 활용하는 ‘인포세이퍼’ 솔루션을 제안한 상태다. 이에 반해 소프트포럼과 패닉시큐리티는 데이터암호화 기술력을 기반으로 한 제품군을 해결책으로 제시했고, 안철수닫기안철수기사 모아보기연구소는 기존 온라인게임보안 솔루션인 ‘핵쉴드’를 금융권에 적합하도록 변경해 적용한다는 입장을 밝혔다.

우선 씽크AT가 제안한 ‘씽크콜’의 경우는 국민은행이 상용서비스를 오픈한 상태고, 하나은행이 도입의사를 밝힌 제품인 만큼, 주요 기능이 비교적 잘 알려진 상태다. 씽크콜은 인터넷뱅킹을 이용하는 고객 중 사전에 서비스를 신청한 고객에게는 휴대전화를 통해 최종 결제 승인여부를 확인하는 전화가 걸려오게 되고, 휴대전화로 승인을 해야만 결제 및 이체 등의 서비스가 진행되는 구조를 갖췄다. 이로써 결제 당사자는 본인이 원하지 않는 금융거래가 진행되는 것을 사전에 차단할 수 있도록 구성했다.

이에 반해 인포틱스의 ‘인포세이퍼’는 계좌번호와 같은 개인정보를 입력하는 과정에서 일부정보는 개인PC를 통해 입력하고, 나머지 일부는 휴대전화를 통해 입력하는 방식을 취하고 있다.

PC와 휴대전화라는 두 가지 매체를 활용해 데이터를 분산 입력함으로써, 메모리로 통하는 데이터의 량을 최소한으로 줄이는 구조다. 이 방식은 해킹에 의한 개인정보 노출 시에도 전체가 아닌 일부분만이 노출되기 때문에 결과적으로 불공정 금융거래를 차단할 수 있다는 것이 해당 업체의 설명이다.

◆ 전통적 ‘암호화’로 맞대응

씽크AT와 인포틱스가 매체분리 원칙이라는 독창적인 방법론을 선택한데 반해, 소프트포럼과 패닉시큐리티는 데이터 암호화라는 전통적 보안방식을 선택해 메모리해킹에 대응해 나갈 계획이다.

현재 소프트포럼은 타 보안업체 한 곳과 공조체제를 이뤄 오는 11월까지 ‘클라이언트키퍼 트랜스키’라는 새로운 기술을 개발한다는 입장이다. 현재 개발과정에 있는 동 기술력은 화상키보드를 이용해 마우스 클릭만으로 숫자를 입력하는 방식이고, 이 과정에서 입력되는 숫자는 글자가 아닌 이미지로 인식되는 특징을 지녔다.

또 인식된 이미지 역시 정해진 보안 알고리즘에 따라 무작위로 적용되는 방식이라, 키로거에 의해 외부로 데이터가 노출된다 해도 쉽게 해독할 수 없도록 한 구조를 취했다. PKI 기반의 암호화 기술력과 화상키보드의 장점을 결합한 구조인 것이다.

한편, 한발 앞서 준비해온 패닉시큐리티는 최근 PS TVS(인터넷뱅킹 트랜젝션 보호시스템)을 새로 출시했고, 동 제품군을 메모리해킹 방지 솔루션으로 제안한 상태다.

동 솔루션은 워터마크 패턴이 표현하는 이미지 키 값을 사용자 눈으로 확인한 후 입력하는 방식으로 시작된다. 여기서 입력된 키 값은 인증 서버로 전송돼 검증과정을 거치게 된다. 이 과정에 악의적인 프로그램에 의해 조작된 이미지는 원본의 워터마크 패턴이 없어지게 되고 상실되며, 이를 눈으로 확인한 사용자는 문제를 확인하고 대응할 수 있도록 하는 구조다.

특히 인증과정이 진행되는 과정에서도 데이터의 암호화가 병행되기 때문에 중간에 고객정보가 노출된다 해도 이를 확인할 수 없도록 보안성을 강화시켰다.

◆ 개발 참여 인센티브 ‘미정’

이번 테스트 작업에 보안 참여한 업체의 또 다른 공통점은 금융권 보안시장에서 유리한 고지를 점령하려는 데 있지만, 이렇다 할 지원책이 없어 효과는 좀 더 지켜볼 사안으로 남았다.

우선 이번 테스트 작업의 주체가 민간기관인 금융보안연구원인 만큼 개발과정에 소요되는 물질적 지원이 전무한 상태다.

또 동 과정에서 메모리해킹에 대한 대비책을 마련한다고 해도, 향후 금융기관을 대상으로 진행되는 영업에 있어 금융보안연구원이 제시할 수 있는 제도적 인센티브도 딱히 없는 실정이다.

내로라는 글로벌 보안 업체들이 동 작업에 참여하지 않은 이유도 같은 맥락에서 생각하면 쉽게 이해될 수 있다. 금융기관으로의 진입장벽이 높은 외산 글로벌 보안 업체의 경우 사실상 개발과정에 참여해도 이득이 될 것이 없기 때문이다.

그러나 해당 참여업체들의 입장은 조금 다르다. 우선 동 테스트 과정에 참여의사를 밝힌 상당수 보안업체들은 이미 금융기관을 대상으로 각종 보안 솔루션을 공급했거나, 혹은 동 시장으로의 진출을 목적에 둔 기업이다. 따라서 금융보안연구원과의 공동 테스트를 통해 메모리해킹에 대한 보완책을 마련하게 된다면 향후 금융시장에서 유리한 고지를 확보할 수 있게 될 것이란 기대감에 충만한 상태다.

이번 테스트 과정에 참여한 보안업체 관계자에 의하면 “이번 테스트 과정은 별도의 물질적 지원이나 인센티브제도 혹은 기술적 인증을 부여받는 구조가 아니다. 게다가 메모리해킹에 대한 대비책을 마련한 것 자체가 어려워 상당수 보안업체가 참여를 거부한 것으로 알고 있다”고 의견을 밝혔다.

그러나 그는 “비록 이번 과정에서 물질적인 지원은 없지만, 금보연ㆍ금감원ㆍ금융기관의 관계를 고려했을 때, 금보연의 기술력 인정은 향후 금융기관의 보안 솔루션 영업에 커다란 효과를 줄 것”이라고 강조했다.

한편, 금융보안연구원 관계자는 “이번 테스트는 민간차원에서 자발적으로 진행되는 것이라 지원계획이 없다”라면서도 “금융보안연구원이라는 제3의 기관이 인증한 제품군의 신뢰성은 향후 금융기관에서 높은 평가를 받을 것이라고 예상한다”고 말했다.



김남규 기자 ngkim@fntimes.com