메모리 해킹의 위험성이 알려지면서 각 업체들이 부랴부랴 메모리 해킹 방지 솔루션을 내놓고 있지만 속 시원한 해결책이 나오지 않고 있는 것으로 드러났다.
메모리 해킹은 PC 해킹을 통해 백도어 프로그램을 설치한 뒤 전용 툴을 통해 메모리 상의 데이터를 절취하고 변조하는 행위를 말한다. 특히 메모리 해킹을 인터넷뱅킹에 적용하게 되면 이용자의 이체 정보를 조작한 뒤 원하는 계좌로 돈을 옮겨버릴 수 있어 심각한 피해를 불러올 우려가 있다.
금융보안연구원은 인터넷 뱅킹 시 메모리 해킹에 대한 위협이 제기되면서 대응 마련을 위해 6개 업체를 선정했으며, 각 업체가 제시한 솔루션을 대상으로 성능평가(BMT)를 진행했다.
◆음성매체 활용한 투채널 인증 방식 대두
현재 가장 유력하게 떠오르는 방법은 투채널(Two-channel) 인증 방식이다. 이 방식은 인증 정보를 인터넷과 전화회선으로 나눈 뒤 서로 다른 정보 유통 경로를 통해 인증하는 방식이다.
금융감독원은 최근 인터넷뱅킹 1등급 보안제품군이던 ▲하드웨어보안모듈(HSM)+보안카드 ▲일회용비밀번호생성기(OTP)+공인인증서에 PC를 제외한 별도 장비를 통한 투채널 인증을 추가한다고 각 은행에 공문을 보낸 상태다.
투채널 인증방식을 채택한 인포틱스의 '인포세이퍼'는 음성매체를 통한 계좌번호를 분할해 입력하는 방식이다. 씽크AT의 '씽크콜' 역시 음성매체를 통해 최종 승인 여부를 확인하는 방식을 제시했다.
인포틱스 측은 투채널 인증 방식은 정보를 나눠서 처리하는 개념적인 보안 방식이기 때문에 최종 정보가 모이는 서버 자체를 해킹하는 것 외에는 무력화시킬 수 있는 방법이 없다고 장점을 설명했다.
그러나 투채널 인증방식은 전화기를 사용해야 하기 때문에 번거롭다는 지적이 제기되고 있다. ARS를 이용할 경우엔 이체 내역 정보를 읽어줘야 하므로 통화 후 시간이 많이 소요돼 시스템 부하를 초래할 수 있다는 것도 단점으로 꼽힌다. 또 본인 인증을 위한 전화사용료가 발생하기 때문에 누가 비용을 부담할 것이냐는 점도 문제로 남아 있다.
이에 대해 인포틱스 관계자는 "이동통신회사의 기간망이나 지능망을 활용하는 방법을 통해 정액제 모델을 구상중"이라며 "고객 부담은 크지 않을 것"이라고 설명했다.
◆각 업체 대비책 속속, 효과는 '글쎄'
소프트포럼은 이미지화된 보안 키패드로 계좌번호를 입력하는 '클라이언트 키퍼 트랜스키'를 내놓았다. 이 제품은 키보드를 사용하지 않고 마우스만으로 숫자 및 영문자를 입력할 수 있는 시스템으로 다양한 키로거로부터 계좌번호·비밀번호와 같은 금융 정보를 보호할 수 있다. 하지만 화면 모니터링 해킹 등 신규 해킹 기법에 노출될 수 있다는 약점이 제기됐다.
패닉 시큐리티는 입력정보를 보안 이미지화시켜서 전송 및 이체승인 여부를 확인하는 방식인 '티브이에스'를 내놓았다. 이 제품은 이미지화된 이체정보를 해커가 변조할 수 있는 가능성이 낮아 비교적 안전하지만 이미지의 보안 등급을 높게 할수록 서버 부하가 증가한다는 문제를 안고 있다.
비씨큐어는 입력한 이체정보를 서버에서 DRM화 시킨 문서를 고객에게 전송, 확인을 거치는 '이지 써티피케이트'를 내놓았지만 워터마크의 진위 여부를 확인하는 프로그램이 액티브 X 형태로 고객 PC에 설치돼 해킹에 노출될 위험이 있다.
뿐만 아니라 안철수연구소가 내놓은 핵쉴드의 경우는 전용 브라우저 개발이 필요하고 향후 프로그램 변조 가능성이 존재한다는 약점이 드러난 상태다.
메모리해킹 방지 솔루션 도입을 고려중인 은행관계자는 "금융보안연구원에서 올해 내 해당 솔루션을 도입할 것을 권고했지만, 각 업체가 제시한 솔루션 중 딱 맞아떨어지는 게 없어 고민중"이라고 말했다.
서소정기자 ssj6@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기