피싱방지 솔루션 필요한가?

확산초입 기로에 들어선 피싱방지 솔루션이 실효성 의문과 저가경쟁으로 몸살을 앓고 있다.

피싱방지 솔루션이란 개인이 인터넷뱅킹을 진행하는 과정에서 발생할 수 있는 개인정보 유출을 예방하기 위한 것으로, 현재 경남은행ㆍ신한은행ㆍ농협중앙회 등이 유사 솔루션을 도입했거나 도입을 진행하는 과정에 있다.

우선 현재까지 도입된 피싱방지 솔루션을 살펴보면 크게 금융기관 웹사이트로 위장된 유사 사이트에 접속할 경우 주소창 색이 변하는 동시에 위험성을 알리는 경고창이 뜨는 형태를 취하고 있다. 따라서 동 경고 메시지를 접한 고객이 위장된 금융기관 웹사이트 내에 개인정보를 입력하지 못하도록 함으로써 악용될 우려가 있는 개인정보의 유출을 사전에 예방하는 방식이다.
올해 초 금융보안의 최대 이슈가 금전적 갈취를 목적으로 한 피싱을 예방하는 데 있었던 만큼 피싱방지 솔루션에 대한 금융권의 기대치는 높다. 그러나 같은 보안업계 내에서도 피싱방지 솔루션의 필요성과 안정성에 의문을 제기하고 나서 앞으로 피싱방지 솔루션이 확산되는 데 걸림돌로 작용할 소지가 높아졌다.

◆ 필요하다 VS 필요없다

피싱방지 솔루션의 필요성에 의문을 제기하는 보안업계 관계자의 주장에 의하면, 우선 현존하는 피싱방지 기술력의 미완숙을 가장 큰 문제점으로 지적하고 있다.

현재 피싱방지 솔루션업체가 피싱 웹사이트를 색출해 내는 기술력은 크게 두 가지인데, 첫째는 블랙리스트에 올라있는 웹사이트의 IP를 차단하는 방식이며, 나머지 방식은 웹사이트 내의 HTML을 검색해 진짜 사이트와 비교하는 방식을 활용하고 있다.

동 주장에 의하면 피싱사이트를 색출하는 위의 방식에는 크게 두 가지 문제점을 안고 있다.
해당 문제점 중 첫 번째는 피싱방지 솔루션 업체가 보유하고 있는 블랙리스트에 대한 신뢰성에 있다.

현재 국내 피싱방지 솔루션 업체의 경우 공신력 있는 해외 보안업계와 협력해 블랙리스트 DB를 공유하고 있다. 그러나 이렇게 글로벌 시장에서 수집돼 공유되는 블랙리스트가 국내 상황에 맞을 리 없다는 주장에서다.

또한 인터넷뱅킹의 경쟁력 중 하나가 신속성이라는 속도 측면을 고려할 때, DB 상에 축적된 수많은 블랙리스트와 현재 접속한 사이트의 주소를 실시간으로 비교 분석하는 것 자체가 불가능하다는 설명이다.

따라서 피싱방지 솔루션 업체는 접속한 웹사이트의 HTML을 검색하는 방식으로 피싱사이트를 색출해 내는 방식에 좀 더 무게를 둔 상태다. 이러한 방식은 금융기관의 웹사이트 내에 몇 가지 암호를 심어놓은 후 동 사이트로의 접속 시 해당 조건을 찾아내는 방식이라 할 수 있다.
일단 고객이 금융기관의 웹사이트로 접속하게 되면 피싱방지 솔루션이 작동하게 되는데, 동 솔루션은 해당 웹사이트 내의 링크 및 이미지 혹은 언어자체를 검색하게 되고, 미리 설정해 놓은 조건을 충족하는 경우 안전한 사이트로 인정하는 방식이다.

그러나 문제점을 제기한 보안업계 관계자는 해당 방식에 대해서도 취약점이 존재한다는 입장이다. 고도의 보안 알고리즘까지도 깨버리는 조직적인 범죄자가 숨은 그림 찾기 식의 암호화 방식을 찾아내는 것은 그리 어려울 게 없다는 판단에서다. 또한 진짜 사이트로 접속했다 해도 후킹과 같은 중간자적 공격에 대해서는 사실상 이렇다 할 방지책이 없어, 실제 개인정보가 유출되는 것 자체를 방지할 수 있을지에 강한 의문점을 제기했다.

이에 피싱방지 솔루션 업계 관계자는 피싱방지 솔루션 자체의 취약점은 점차 개선될 수 있고, 현재 구축된 사이트를 보면 충분한 효력을 발휘하고 있다고 반박했다.

동 관계자는 “해당 금융기관의 솔루션 도입과정에서 초기에는 매일 200여건의 블랙리스트를 찾아내 업데이트 했다”며 “현재도 하루 평균 2건 정도의 블랙리스트를 찾아내고 있다”고 강조했다.

또한 “피싱방지 솔루션은 피싱 행위 자체를 근절하는 솔루션이 아니라 악용될 우려가 있는 개인정보의 유출을 방지하는 데 있다”며 “다양한 변칙 공격에 대해서는 신속한 발견과 업데이트로 대응할 문제”라고 일축했다.

◆ 피싱방지 솔루션은 무료?

피싱방지 솔루션 시장이 활성화되는 데 가장 큰 걸림돌로 작용하는 또 다른 이유 중 하나는 동 시장이 성숙기에 접어들기도 전에 저가경쟁이 시작됐기 때문이다.

최근 농협프로젝트를 수주한 소프트포럼의 경우 동 솔루션은 사실상 무상으로 공급한 상태다. 소프트포럼이 이처럼 무상으로 솔루션을 공급할 수 있었던 원인은 화이트리스트 등록의 독특한 영업방식에서 찾을 수 있다.

소프트포럼측의 서비스 방식은 해당 솔루션을 무상으로 공급한 후, 화이트리스트로의 등록을 원하는 고객에 대해 서비스 비용을 받겠다는 입장이다. 이러한 방식의 비즈니스 모델이 가능한 이유는 기타 피싱방지 솔루션이 금융기관의 웹사이트에 접속한 시간대에만 작동하는 방식을 취하고 있지만 소프트포럼의 피싱방지 솔루션은 일반 백신처럼 항시 작동하기 때문에 가능하다.

소프트포럼 관계자에 의하면 “동 방식의 비즈니스 모델을 준비하는 과정에서의 고민은 화이트리스트로 등록하려는 고객이 있을지에 대한 의문이었다”며 “현재 소프트포럼이 구축하게 될 농협중앙회의 경우도 동 모델이 적용된 사례”라고 설명했다.

또한 “화이트리스트로의 등록은 해당 금융기관의 중요도에 따라 세분화된 과금체계를 구비한 상태”라며 “농협은 현재 프리미엄 고객으로 구분돼 최고 높은 수준의 서비스 모델이 적용된 상태”라고 덧붙였다.

한편 동 리스트에 등록되지 않은 금융기관의 경우 정당한 사이트임에도 블랙리스트로 몰리는 것 아니냐는 질문에 대해서는 “화이트리스트에 등록하길 원하는 고객은 자체 룰 엔지에 의한 안정성 평가를 받게 될 것”이라며 “동 리스트에 올라있는 사이트에서 피싱사고가 발생하면 소프트포럼이 책임질 것”이라고 설명했다.

또한 “해당 서비스에 등록을 하지 않았다고 해서 무조건 위험성 경고가 뜨는 것은 아니다”라면서도 “동 리스트에 올라있지 않은 웹사이트에서 발생한 사고에 대해서는 책임소재가 없다”고 덧붙였다.

한편, 타 보안업계 관계자에 의하면 “얼핏 보면 해당 서비스 모델은 구축비용이 저렴하다는 장점이 있는 것처럼 오해될 소지가 있다”며 “정당한 사이트가 화이트리스트로 등록하기 위해 돈을 지불하는 방식은 부당한 방식”이라고 강하게 비판했다.

또한 “이러한 방식은 정당한 웹사이트 주소까지도 강제적으로 가입을 유도하는 결과를 초래할 수 있다”며 “다양한 고객에게 더 많은 돈을 지출하게 하면서도 동시에 서비스 품질을 낮추는 결과를 초래할 것”이라고 덧붙였다.



김남규 기자 ngkim@fntimes.com