홍승창 소프트포럼 CTO
[아이티데일리]최근 인터넷 사용자들을 두려움에 떨게 하는 것이 있다. 바로 기업이나 기관을 사칭해 개인정보를 빼낸 뒤 사기에 이용하는 ‘피싱(phishing)’, 합법적으로 소유하고 있던 사용자의 도메인을 탈취하거나 도메인 네임 시스템(DNS) 또는 프록시서버의 주소를 변조함으로써 사용자들로 하여금 진짜 사이트로 오인하여 접속하도록 유도한 뒤에 개인정보를 훔치는 ‘파밍(pharming)’이다. 다시 말해 피싱은 사람을 속이는 것이고, 파밍은 기계를 속이는 것이다.
이처럼 인터넷뱅킹 사용자들을 노린 금융사기가 늘어나면서 금융권이 대책을 강구하고 있다. 그 일환으로 금융위원회와 금융감독원은 오는 9월 26일부터 그동안 신청자를 대상으로 시행하던 ‘전자금융사기 예방서비스’를 모든 이용자로 확대해 실시할 것이라고 발표했다.
현재는 공인인증서 재발급 및 자금 이체 시 보안카드 또는 OTP(일회용 비밀번호) 등으로 본인여부를 확인하고 있으나, 전자금융사기 예방서비스 확대 실시로 앞으로는 기존의 절차에 더해 지정된 단말기를 이용하거나, 미지정 단말기에서는 휴대폰 SMS 인증과 같은 추가확인 절차(2채널 인증 등)를 의무화하게 된다.
2채널 인증과 취약성
기존에 전자금융을 이용할 때는 ID/비밀번호 혹은 공인인증서를 통해 인터넷뱅킹 사이트에 로그인 한 뒤에 보안카드 번호를 입력하거나 OTP를 사용해 본인 여부를 확인하는 투팩터인증을 주로 사용해 왔다. 투팩터 인증 외에도 키로깅으로부터 보호하기 위해 가상 키보드를 사용하고 지정 단말기 등록을 통해 피싱 및 파밍을 막으려는 노력도 같이 행해졌다.
그러나 최근 발생한 신종 파밍 사기는 투팩터 인증은 물론 다른 보안 채널도 취약할 수 있다는 것을 증명했다. 신종 파밍사기는 사용자가 정상적으로 인터넷뱅킹을 하듯 은행 사이트에 로그인 한 뒤 보안카드 번호 두 자리를 입력하고 이체 등의 업무를 실행하면 보안카드 입력 에러 메시지가 뜨면서 다른 계좌로 자금을 이체시켜 피해를 입혔다.
이러한 신종 파밍 사기가 가능한 것은 해커가 메모리 해킹기법을 사용하고 있기 때문이다. 메모리 해킹 기법이란 금융회사 서버에 전송하기 위해 메모리 주기억장치의 특정주소에 저장돼 있는 금융데이터를 해커가 악성프로그램을 통해 위변조하는 기법을 말한다. 신종 파밍이 더 위협적인 이유는 금융기관이 제공한 보안모듈의 동작을 유지한 채로 메모리 수정해킹을 수행해 해킹당하고 있다는 사실을 금융기관에서 조차 인식할 수 없다는 것이다.
<이하 상세 내용은 컴퓨터월드 8월 호 참조>