국민銀, 인터넷뱅킹 보안 업그레이드

금전적 갈취를 목적으로 한 해킹 방법론이 사회적 문제로 부각되는 가운데, 국민은행(행장 강정원)이 자행의 인터넷뱅킹 취약성을 개선하기 위한 보안 업그레이드 작업을 진행했다.

최근 국민은행 관계자에 의하면 지난 한 달간 계좌번호ㆍ패스워드의 입력방식이 강화를 위한 보안시스템 업그레이드 작업을 진행했고, 지난 26일 텍스트 이미지 처리 기술력과 2중 암호화 기술 등의 신기술이 도입된 보안 시스템을 오픈했다고 밝혔다.

◆ 2중 암호화 기술력이 핵심
국민은행은 최근 인터넷뱅킹 과정에서 발생하는 계좌번호 위변조 방지와 비밀번호 입력체계를 개선하기 위해 잉카인터넷의 A프로텍트ㆍP프로텍트를 도입한 상태라고 밝혔다.

잉카인터넷의 A프로텍트는 인터넷뱅킹 과정에서 계좌번호를 입력하는 단계에 적용되는 보안 솔루션으로, 키보드가 아닌 화상키보드를 통해 숫자를 입력하는 방식을 취하고 있다.

약 한달 가량의 업그레이드 작업을 거친 동 솔루션의 가장 큰 특징은 화상키보드 상에 나타나는 숫자를 이미지로 처리하고, 데이터 전송과정에서 또 다시 암호화를 적용함으로써, 2차에 걸친 암호화를 진행하는 것.

따라서 중간공격자에 의해 개인정보를 담고 있는 데이터가 노출된다 해도, 해커는 2중의 암호화가 적용된 파일을 해독해야 하고, 여기서 2차례에 걸친 해독과정을 마쳤다 해도 해커는 계좌번호 숫자가 아닌 불특정 이미지의 정보만을 취득하게 되는 형태다.

한편, A프로텍트와 함께 도입된 P프로텍트는 패스워드 입력과정에 적용되는 보안 기술력으로, 어깨너머로 훔쳐보는 ‘숄드서핑’ 의 위험성까지도 고려한 보안 솔루션이다.
P프로텍트의 가장 큰 특징은 화면상에 생성되는 키보드 입력 숫자의 암호화 기능에 초점을 맞추고 있다. 동 솔루션이 적용된 화상키보드는 1ㆍ2ㆍ3ㆍ4ㆍ6의 숫자위치는 고정적으로 생성되지만, 나머지 5ㆍ7ㆍ8ㆍ9ㆍ0의 숫자판 위치가 랜덤하게 생성된다. 즉, 숫자 5의 위치자리에 0이 생성되기도 하고 7과 9의 위치가 변하기도 하는 방식이다.

특히 불특정 난수시스템의 생성과정은 PC단에 저장된 암호화 모듈이 아닌 서버 단에서 제공하는 암호화 모듈을 택하고 있어, 사실상 개인PC의 해킹만으로 개인정보를 갈취한다해도 갈취한 정보를 활용할 수 없도록 한 구조를 택하고 있다.

은행관계자에 의하면 “새로 오픈한 시스템은 마우스로 입력하는 방식인 만큼 정확한 클릭을 위한 디자인 구성에 많은 신경을 썼다”며 “인터넷 뱅킹의 전 과정에 대한 이중화 암호체계를 갖춤으로써 해킹 등의 정보유출에도 대응할 수 있게 됐다”고 말했다.

그러나 “무작위로 생성되는 비밀번호 숫자배열에 사용자가 혼란을 느끼는 일이 발생할 수도 있다”며 “본 거래가 진행되기 이전단계인 예비거래 과정에서 입력한 계좌번호의 숫자가 정확한지 여부를 꼼꼼히 살펴야 할 것”이라고 설명했다.
◆‘정공’보다 ‘응용’에 초점

국민은행의 보안솔루션 업그레이드 작업은 근래 인터넷뱅킹의 위험요소로 부각된 해킹방법론에 영향을 받은 것으로, 인터넷뱅킹 전 과정의 보안 무결성을 확보하는 ‘정공론’보다 핵심 부분에서 보안기능을 집중하는 ‘응용론’적 측면이 강하다는 시각이다.

이와 같은 보안기술력의 트렌드는 모든 위험성을 막아낼 수 없는 보안 프로그램의 특성상, 특정 시스템이 뚫린다는 가정 하에서도 그 피해를 최소한으로 줄이기 위한 응용기술개발 쪽으로 눈을 돌리고 있기 때문으로, 현재 금융기관뿐 아니라 해당 보안솔루션을 제공하고 있는 보안업체 역시 같은 기류를 따르는 추세다.

한 보안업계 관계자에 의하면 “특정 영역의 취약성을 완벽하게 보완해도 또 다른 영역에서 발생하는 취약점에 대해서는 속수무책일 수밖에 없다”며 “이는 분산된 IT인프라 전체를 방어한다는 것은 사실상 불가능한 시도이기 때문”이라고 말했다.

한편, 국민은행의 보안시스템 업그레이드 사업에서는 지시ㆍ난수체계의 이미지 처리 시스템과 서버단에서 진행되는 인증 프로그램 등의 기술 도입이 병행된 상태다.



김남규 기자 ngkim@fntimes.com