공인인증서 노리는 시대…보안 신경 써야


스마트폰 등 이동형 저장매체 통해 제대로 관리해야

직장인 J씨는 어느 날 통장에서 3천만원이 인출돼 깜짝 놀랐다. 해킹피해를 막기 위해 공인인증서를 항상 USB에 넣어 가지고 다닐 정도로 평소 보안에 신경을 썼지만 소용 없는 일이었다.

전문 해커들이 이메일로 개인 컴퓨터에 악성코드를 심은 후 공인인증서와 개인 정보를 빼 간 것이다. 공인인증서도 USB에 저장해 두었으나 이 역시 전자 결제를 하는 순간 해커의 손에 복사됐다.

공인인증서를 PC에 보관해 왔던 대학생 C씨도 최근 충격적인 전화를 받았다. 발급 받은 적도 없는 카드사에서 전화가 걸려오더니 대출 이자가 연체됐다는 말을 들었기 때문이다.

[김국배기자] 최근 공인인증서 탈취로 인한 금융 피해 사례가 잇따르면서 공인인증서에 대한 보안이 주요 이슈로 부각되고 있다.

해커가 피싱사이트를 통해 개인정보를 취득, 직접 공인인증서를 재발급 받거나 PC의 하드디스크나 USB에 담긴 공인인증서를 탈취하는 등 피해가 빈번하게 발생하면서 '사이버 인감 증명서'라 할 공인인증서를 안전하게 보관하는 일도 더욱 중요해지는 상황이다.

◆공인인증서 탈취해 계좌서 예금 해킹

해커들은 이메일의 첨부파일이나 웹하드의 설치파일에 악성코드를 숨겨두고 이용자가 이를 내려 받을 때 PC를 감염시킨다. 이후 감염된 PC를 통해 쉽게 공인인증서와 비밀번호 등의 개인정보를 빼앗아 온다. 하드디스크에 공인인증서를 보관하면 위험하다는 이유가 여기서 비롯된다.

J씨의 사례에서 보듯 공인인증서를 탈취 당하면 직접적인 금융 피해로 이어지기 쉽다. 공인인증서만 손에 넣는다면 어느 정도 실력 있는 해커의 경우, 인증서 비밀번호 등을 알아내는 건 어려운 일이 아니기 때문이다.

한 보안업계 관계자는 "공인인증서에 비밀번호를 입력할 수 있는 횟수가 제한돼 있기는 하나 해커들에게 큰 장애물은 아니며 비밀번호를 풀기 위한 프로그램은 구하기도 쉽다"고 말했다.

해커들은 이렇게 복사해 낸 공인인증서로 예금을 인출하기도 하고 심지어 카드론 등 대출을 받기까지 한다. 자신도 모르는 사이 대출이 일어나고, 어느 날 갑자기 대출 이자가 연체됐다는 통보를 받을 수도 있는 것이다.

또한 게임 아이템 사이트에서 사이버머니를 구매한 뒤 되파는 수법도 있다. 게임 아이템 구매 사이트의 경우는 보안카드도 필요 없고 공인인증서만으로 전자결제가 가능해 해커들에게는 더욱 쉬운 먹잇감이다.

보안업체 루멘소프트 관계자는 "아직까지 편리함을 이유로 PC의 하드 디스크에 공인인증서를 보관하는 경우가 인증서 사용자의 50% 이상"이라며 "그만큼 많은 사람이 위험에 노출돼 있으며, 특히 하드 디스크에 인증서를 보관하는 경우 탈취 당해도 쉽게 인지하기 힘들어 더 위험하다"고 말했다.

◆공인인증서는 USB에 저장하거나 스마트폰 활용

공인인증서는 컴퓨터 하드 디스크보다 이동식 저장 매체에 저장하는 것이 더 안전하다. USB나 보안 토큰(HSM) 등 이동식 저장 매체에 보관할 경우 분실시 즉각적인 폐기 처리가 가능해 해킹 피해를 줄일 수 있기 때문이다.

이와 관련, 업계 관계자는 "하드 디스크보다는 이동식 저장 매체에 저장하는 것이 안전한 편"이라면서도 "최근에는 악성코드에 감염된 공공 PC에 연결해 공인인증서를 복사 당하면서 피해를 입는 경우가 늘고 있다"고 말했다. PC 해킹에서 완전히 자유롭지 못하다는 말이다.

이에 따라 최근에는 공공PC에서 인터넷뱅킹을 할 때 스마트폰을 공인인증서 보관소로 설정하는 서비스도 주목받고 있다.휴대폰으로 공인인증서를 저장하고 서명하는 방식이다.

루멘소프트 관계자는 "PC에 연결하지 않고 스마트폰을 통한 통신 환경 아래서 인증번호를 받기에 다른 매체보다 보안 위협이 덜하다"며 "휴대폰은 USB와 달리 늘상 지니고 있는 물건이라 사람들이 번거로움을 많이 느끼지도 않는다"고 설명했다. 그는 "아직까지 모바일 뱅킹보다 인터넷 뱅킹 이용자가 대다수인 것도 관심대상인 이유"라고 덧붙였다.

공인인증서를 USB에 담는다면 USB 자체의 보안에도 신경을 써야 한다. 여기에는 USB에 담겨 있는 정보에 대한 보안성을 높여주고자 USB 드라이브 안에 별도의 '비밀공간'을 만들어 비밀번호를 지정하고 중요한 파일을 따로 구분해 보관하는 방식 등이 있다.

보안업체 지란지교소프트 관계자는 "별도 공간의 데이터는 암호화돼 저장되기 때문에 정상적인 루트(비밀번호 입력 등)를 거쳐야만 복호화가 가능하다"며 "혹시 모를 공인인증서의 분실에 대비할 수 있다"고 말했다.

김국배기자 vermeer@inews24.com







포토뉴스