[여성종합뉴스] 16일 안랩(대표 김홍선)은 보안 바로알기(Know the security) 캠페인을 통해 최근 급증하는 인터넷뱅킹 보안위협에 대해 밝혔다.
안랩은 현대의 보안 트렌드가 금융기관이 아닌 개인 PC를 공격의 최초 시작점으로 사용한다는 점을 이해하고 특정 솔루션을 사용하면 '만사형통'이라는 결론은 경계하는 것이 보안 위협을 줄이는 길이라고 강조했다.
해커들은 공격 대상으로 조금 더 수월한 개인 PC를 노린다. 대형 은행시스템에 직접 침투해서 돈을 빼내오기란 쉽지 않기 때문이다. 여기에는 기업에서 직원이 사용하고 있는 PC도 포함된다.
안랩은 현재까지 알려진 바로는 금융기관 침해로 개인 사용자의 금전이 빠져나간 사례는 없다. 통계적으로 봐도 국내 기관 중 보안에 가장 많은 투자와 관심을 보이는 곳이 금융업계다.
공격자는 모든 수단을 동원해 개인(기업 내 개인 포함)의 금융정보 탈취를 시도한다.
피싱메일, SNS의 URL, P2P사이트, 악성코드를 포함한 메일, 배너광고, 프로그램의 보안 취약점 등 광범위한 수단을 통해 악성코드를 감염시킨다.
일단 악성코드가 침투한 후엔 금융정보를 채가기 위한 모든 시도를 한다. 키보드로 입력되는 정보를 탈취하는 '키로거'를 설치하거나 화면캡처를 하기도 한다.
만약 공격 목표인 개인이 사용하는 주거래 은행이 보안카드를 사용한다면 보안카드 정보를 빼내기 위해 자신이 만든 가짜 사이트로 유도하는 악성코드를 심는다.
최근에는 개인 사용자의 PC에 침투해서 감염된 PC로 특정 은행사이트를 방문할 시 보안을 위해 자동으로 구동되는 키보드 보안솔루션, 공인인증서 등 보안 모듈의 메모리를 해킹(수정)해 개인의 금융 정보를 유출하는 악성코드까지 발견됐다.
안랩은 특정 솔루션을 사용하거나 혹은 사용하지 않았다면 대부분의 은행 보안사고를 막을 수 있다는 '보안 종결론'을 경계해야 한다고 강조했다. 다양한 보안 솔루션을 사용하는 여러 국가에서도 인터넷뱅킹 사고는 지속적으로 발생하고 있기 때문이다.
최근 중동에서는 500억 원 규모의 해킹 및 현금 불법인출 사건이 있었고 미국 안티피싱 워킹그룹과 가트너에 따르면 미국 내 2010년 인터넷 뱅킹사고 금액은 기업 피해만 10억 달러(약 1천 3백억)로 추정된다. 일본의 경우도 2007년에 1억 9천만 엔(약 22억원)을 기록한 바 있다.
안랩 측은 "이렇듯 기업 자율이든 공공기관 주도이든 각기 다른 인증체제와 보안 정책을 사용하든 아니든 모든 나라에서 인터넷뱅킹 보안 위협은 계속 되고 있다"고 설명했다.
또한 보안 솔루션을 도입한 것으로 그치는 것이 아니라 이를 적절히 운영할 수 있는 전문 보안인력을 육성하는 것이 필수다. 이를 위해 기관 내에서는 지속적으로 임직원 보안 교육을 실시해야 한다.
안랩 측은 "보안과 편리함은 서로 주고 받는 관계라는 인식을 바탕으로 나온 정책일 것"이라며 "개인의 경우엔 조금 불편하더라도 송신자가 불분명한 수상한 메일의 첨부파일 및 링크 클릭을 자제하거나 소프트웨어 업체가 제공하는 보안패치 설치, 백신 업데이트 최신 버전 유지 등 기본적인 보안 수칙을 지키는 것이 중요하다"고 말했다.