최근 KBS 뉴스에 소개가 되어(2007. 08. 26) 이슈화된 메모리 해킹은 기밀성과 무결성이 가장 중요시되는 인터넷뱅킹 사이트를 주제로 하고 있어 상당한 충격을 주었습니다. 최근 빈번하게 발생하고 있는 침해사고의 대부분은 메모리 해킹 사건과 같이 어플리케이션 영역에서 발생하고 있으며, 이는 인터넷 뱅킹의 서비스가 웹 및 상용 어플리케이션 결합 형태로 제공되고 있다는 점에서 인터넷 뱅킹 사이트의 어플리케이션을 통한 침해사고의 발생 가능성은 무시할 수 있는 수준이 아님은 틀림없습니다.

한국은행의 자료에 따르면 2007년 현재 인터넷 뱅킹은 이미 은행창구 업무를 추월하고 있으며, 최근 금융권의 각종 위변조 관련 이슈가 끊임없이 제기되는 것은 이러한 현실과 무관하지 않습니다.

해외의 현황에 대한 비교를 하는 경우도 많은데, 물론 해외 인터넷 뱅킹 서비스와 국내의 인터넷 뱅킹 서비스의 현황은 달라서 직접적으로 비교하기는 불가능하며, 국내의 금융감독기준을 해외 금융서비스에 적용시켰을 경우, 오히려 해외 금융서비스가 불합격 판정을 받을 가능성이 높다는 것이 많은 전문가들의 의견이기도 합니다.

근대의 모든 컴퓨터는 폰 노이만(Von Neumann) 박사의 Stored Program Architecture 방식에 의해 운영되기 때문에 현대의 모든 컴퓨터를 프로그램과 데이터가 저장되는 ’Von Neumann Machine'으로 불리는 이유가 됩니다. 이러한 이유 때문에 메모리 조작 및 이의 취약점 존재 가능성 여부는 운영체제 종류와 관계없이 모든 종류의 운영체제에서 동일하게 적용이 가능하게 되는 것이죠. 한마디로 근대의 모든 컴퓨터에서 돌아가는 모든 것은 프로그램이죠. 사실 인터넷뱅킹 메모리 해킹 관련 내역은 원래 발생 가능한 취약점 유형이죠. 사실 새로울 것도 별도 없습니다만, 문제는 이게 기밀성과 무결성, 가용성이 최대로 보장되어야 하는 인터넷 뱅킹에서 발생된다는 것이 문제인 것 같습니다.

금번 이슈화된 메모리 해킹과 관련된 대응방안 몇 가지를 알아보고, 이에 따른 장단점을 분석해 보면 아래와 같습니다. 물론 저의 개인적인 견해입니다.

대응방안	장점	단점
메모리 해킹 대응 솔루션 도입	기존의 서비스 아키텍처 변화 없이 당장 수용한 기술	우회 기술 등장 및 완전한 대책이 되지 않음. 지속적인 ActiveX 기술의 추가로 인한 사용자 불편 가중
HSM 방식 도입	하드웨어 보안모듈이 메모리 해킹 해결에 가장 적합	메모리 해킹 이외의 공격에는 대응 불가능
사용자 입력을 이미지 방식으로 대체	기존의 아키텍처 변화 없이 당장 수용이 가능할 것으로 예상	공격을 어렵게 만드는 기술이며, 우회기술 등장 시 문제점 재등장
인증 및 이체 시  별도 매체 (휴대전화 등) 이용	별로 매체를 이용하므로, 본인인증 및 위변조 대응 시 가장 완벽할 것으로 예상	별도 매체 이용으로 인해 해외 동포의 인터넷 뱅킹 서비스 불가능 예상. 웹 서비스의 비표준화 가속
가상화 기술 이용	S/W로 구현된 전용단말기를 사용자에게 배포한 것과 동일한 효과	가상화 기술의 뱅킹 서비스 당장 적용은 무리이며, 가상화+보안이라는 두 가지 요건에 대한 구현 필요

글쎄요. 현실적으로 금번 메모리 해킹과 관련한 이슈에 대해서도 단기적으로는 즉시 적용이 가능한 솔루션을 통해 문제를 해결할 수밖에 없을 것으로 예상됩니다. 이러다가 인터넷 뱅킹 쓰려면 ActiveX 컨트롤을 한 10개 정도는 인스톨해야 하는 시대가 올지도 모릅니다. 정말 우울합니다. 에효...

사실 게임 해킹 방어를 위한 국내 사례와 같이 핸드폰 인증 같은거 쓰는 방법도 있습니다. 사실 이 방법이 가장 확실하기는 합니다만, 인터넷 뱅킹과 게임은 분명히 다릅니다. 핸드폰 없는 사람은 인터넷 뱅킹을 하지 못하게 하거나, 해외동포들의 인터넷 접속이 없거나 외국에서 접속하는 핸드폰을 가진 사용자에게 까지 인증 문자나 각종 메시지 전송이 가능하면 이것도 가능하겠지요. 핸드폰 인증은 인터넷 뱅킹에는 결코 추천할 만한 매체는 아니라는 생각이 강하게 드는군요. 그렇다고 다른 방법을 쓰면 한방에 해결되면 좋겠으나, 그렇다고 한방에 될만한 것도 눈에 띄지는 않는군요.

역시 인터넷뱅킹이라는 주제는 너무도 무겁고 또한 어려운 문제임에 틀림없네요.

Creative Commons License

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

(0) (0)

일전에 정보보호 관련 잡지사에서 잡지에 ActiveX를 주제로 기고를 좀 해 달라고 해서 2회 분량의 글을 마감 하루전날에 밤샘을 해서 보냈었는데... 갑자기 생각이 나서 잡지사 홈페이지에 접속을 해 보니, 프리미어 독자를 대상으로만 제한적으로 열람이 가능하다.

뭐, 어쨌거나 내가 쓴 글이 어떻게 올라갔는지 단순한 호기심에 열어 보았는데...

Creative Commons License

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

몇일전에 신문기사를 보다가 보니 인터넷뱅킹이 또 문제라는 기사가 눈에 띄더군요. 기사 제목은 공인인증서가 뚫렸다는 식으로 나온 것 같은데, 내용을 들여다 보니 사실은 공인인증서 자체가 뚫린 것이 아니라, USB 키보드에 대한 키로깅 방지가 제대로 되지가 않아서 사용자의 PC에 접근한 악의적 공격자에 의해 사용자가 금융정보를 입력하는 순간 모든 정보가 Intercept 될 수 있다는 내용이더군요.

제 개인적으로는 최근에 인터넷 뱅킹에 대해 많은 생각을 하게 되는데, 사실 이러한 부분은 명확한 답을 제시하기 참으로 어려운 부분이 많은 것은 분명해 보입니다. 분명한 것은 보안성을 높이면 서비스 품질이 떨어지고, 서비스 품질을 높이면 보안성이 떨어지는 것이 사실입니다. 이 두개가 공존하는 환경을 만드는 것은 참으로 쉬운일이 아닌 것 또한 분명해 보입니다.

해외의 경우에도 이러한 사건 사고의 예외는 아니어서, OECD보고서의 Policy Brief(Oct, 2006)에 나와있는 사례에서는... 영국의 Payment Clearing Services(이거 뭐라고 번역해야 하는지... OTL) 연합회의 레포트에 따르면, 인터넷 뱅킹의 사기(Fraud)에 의한 피해액이 2005년 6월에 1,450만 파운드(261억원 정도, 1파운드를 1800원으로 계산)였으며, 6개월후에 3배 이상이라고 되어있어, 우리나라의 인터넷 뱅킹 손해액에 비해 엄청난 금액이라는 것을 알 수 있습니다. 해외의 인터넷 결재 또는 뱅킹이 안전하다고 우겨대는 분들도 있는데, 정말 그것은 착각이지요.

In the United Kingdom, the Association for Payment Clearing Services reported that bank's losses from internet banking fraud more than trebled to GBP14.5 million for the six months to June 2005.

우리나라의 경우에는 현행 법적으로 사용자의 과실이 분명한 경우(인터넷뱅킹 사용자가 자신의 ID, Password, 이체보안카드 번호 등을 공격자에게 알려주는 극단적인 경우)를 제외하고 모든 것이 전자금융을 제공하는 서비스 사업자(은행)의 책임입니다. 문제는 은행들은 일반 사용자의 PC 보안 상태가 인터넷 뱅킹서비스를 하기 위한 조건에 맞는지를 신뢰할 수 없기 때문에 사용자의 PC에 Anti-Keylogger, PC Firewall, Anti-Virus, Anti-Phishing과 같은 도구를 강제로 인스톨하게 됩니다.

물론 사용자가 허가를 해야 인스톨이 되는 조건을 거치게 되지만, 사용자가 "No"를 선택하게 되면, ActiveX를 통한 보안도구들은 안깔리게 되겠지만, 결론적으로 이러한 보안 프로그램이 안깔리게되면, 정상적인 인터넷 뱅킹 서비스는 꿈도 못꾸기 때문에 사실은 강제적 서비스라고 보는 것이 좀 더 맞다고 봅니다.

문제는 이러한 보안 프로그램들은 은행들도 별로 좋아하지 않는다는 점 입니다. 일전에 Conference에서 세션발표 후 금융권 담당자와 잠시 이야기를 하는데, 콜센터에 접수되는 �