주간동아 726

..

속수무책, 뻥뻥 뚫렸다

인터넷뱅킹, 홈트레이딩, 안심클릭·ISP 결제, e메일 충격과 경악의 화면해킹 체험

  • 손영일 기자 scud2007@donga.com

    입력2010-03-03 14:31:00

  • 글자크기 설정 닫기
    속수무책, 뻥뻥 뚫렸다
    60년 넘는 컴퓨터 해킹의 역사가 말해주듯, 해킹의 종류는 다양하고 진화속도 또한 시간을 거듭할수록 빨라지고 있다. 해킹 사고가 늘어나고 사회적 경각심이 높아지면서 기업 및 정부기관에서는 해당 홈페이지 보안수준을 높이고 있으며, 안철수연구소 등 보안솔루션 업체는 지속적인 보안프로그램 업그레이드로 맞서고 있다. 해커의 창이 뾰족해질수록 이를 막기 위한 보안의 방패도 단단해지는 셈.

    기존의 해킹은 일반적으로 사용자가 키보드로 입력하는 정보를 해커가 중간에서 가로채는 방식이었다. 클램피(clampi) 바이러스가 대표적이다. 클램피 바이러스는 사용자가 각종 인터넷 사이트에 로그인을 위해 아이디와 비밀번호 등을 입력하는 순간 개인정보를 포착해 해커가 운영하는 서버로 전송한다.

    첨부파일 여는 순간 해커 컴퓨터와 연동

    해커가 기업이나 정부기관을 해킹하려면 이중삼중 두터운 보안이 적용된 복잡한 내부 인증과정을 뚫는 수고를 아끼지 않아야 한다. 하지만 상대방의 컴퓨터에서 무슨 일이 벌어지는지를 내 컴퓨터에서 그대로 볼 수 있다면 얘기는 달라진다. 2월17일 기존의 보안프로그램이 새로운 해킹 수법인 ‘화면해킹 악성코드’에 취약하다는 제보를 받고 서울 강남구 삼성동에 자리한 보안솔루션 개발업체 ㈜비이소프트를 찾았다.

    “누군가가 중요한 제보사항을 첨부파일에 담아 e메일로 보냈다면, 손 기자는 그 e메일을 안 열어보겠어요?”



    “당연히 열어본다”라고 말하자 비이소프트 표세진 대표는 “해커들이 사용자 컴퓨터에 화면해킹 악성코드를 심으려고 일단 마음먹으면 이처럼 간단한 방법으로도 가능하다”고 말했다. 기자에게 ‘제보’라는 제목의 첨부파일이 담긴 e메일을 보내듯 ‘금융 실시간 정보 제공’ ‘모 연예인 몰카 영상 제공’ 같은 제목의 hwp 파일을 보내, 사용자가 그 e메일을 열어보지 않을 수 없게 만든다.

    e메일 외에도 P2P 사이트에서 영화나 음악파일을 다운로드 받거나 인기 검색엔진과 블로그, 온라인 잡지 그리고 인맥구축 사이트에 접속해 파일을 주고받는 과정에서 자신도 모르게 화면해킹 악성코드가 컴퓨터에 심어진다.

    “공짜로 포르노 영상을 다운받는 P2P 사이트가 있다면 100% 악성코드가 담겨 있다고 보면 됩니다. 자신의 정보와 포르노 영상을 맞바꾸는 셈이니 세상에 공짜는 없죠.”

    비이소프트가 만든 화면해킹 악성코드는 e메일에 첨부된 파일을 열어보는 순간 화면해킹 악성코드가 자동 설치되도록 만들어졌다. 컴퓨터에 설치된 다른 파일과 유사하게 존재해 사용자는 이것이 화면해킹 악성코드인지 알 수조차 없다. 예컨대 화면해킹 악성코드가 C드라이브 속 ‘Program Files’ 안의 ‘Common Files’와 유사한 ‘Common Fi1es’로 저장되는 식. 단지 영문 L의 소문자 l을 숫자 1로 바꿔놓기만 했기 때문에 사용자는 컴퓨터에 화면해킹 악성코드가 설치됐는지, 이런 파일이 어디에 존재하는지 전혀 알 수 없다.

    일단 사용자의 컴퓨터가 화면해킹 악성코드에 감염되면, 그 순간부터 해커의 컴퓨터와 연동된다. 해커는 사용자 컴퓨터에서 무슨 일이 일어나는지를 수천km 떨어진 곳에서도 마치 바로 앞에서 보듯 확인할 수 있다. 특히 사용자가 해커가 원하는 특정 사이트, 예컨대 은행이나 증권사 등에 접속하면 ‘삐리릭’ 같은 소리를 내도록 해 해커들은 다른 일을 하다가도 이 소리가 들리면 컴퓨터에 앉아 사용자들이 하는 행동을 그대로 지켜본다.

    “원리는 간단해 보이는데 고급 해커만이 화면해킹 악성코드를 만들 수 있는 것 아닌가요?”

    기자의 질문에 표 대표는 “악성코드는 컴퓨터를 조금이라도 다룰 수 있는 사람이라면 누구나 만들 수 있다”면서 “화면해킹 악성코드 역시 간단한 ‘컴퓨터 원격제어기능’에 ‘키보드 해킹기능’을 추가해 단 하루 만에 만들어냈다”고 설명했다.

    “한국에서 적어도 100만명은 이런 화면해킹 악성코드를 만들 수 있습니다. 전 세계적으로 본다면 6000만명 정도는 가능하지 않을까요? 이제 직접 은행 인터넷뱅킹, 증권사 홈트레이딩, 포털 e메일, 쇼핑몰 안심클릭 및 ISP 결제 등 모든 것이 뚫리는 과정을 살펴보겠습니다.”

    속수무책, 뻥뻥 뚫렸다

    1 기자가 인터넷뱅킹을 하려는 사용자가 돼 사용자 컴퓨터를 다루고, 비이소프트 직원은 해커가 돼 해커 컴퓨터를 다루기로 했다. 2 인터넷뱅킹을 하기 위해 국민은행 홈페이지에 접속하자 보안을 위해 액티브X 설치를 요구한다. 3 기자가 공인인증서 로그인을 위해 공인인증서 비밀번호를 치자 악성코드 창에 비밀번호가 그대로 나타난다. 4 해커는 ‘Get Sign’ 버튼을 눌러 사용자 컴퓨터 하드디스크 혹은 USB에 저장된 공인인증서를 해커 컴퓨터로 가져온다.

    인터넷뱅킹

    공인인증서 해킹, USB 저장도 무용지물

    지난해 기준 2192만건 발급 … 하루 30조원 거래


    기자 앞에 놓인 2대의 컴퓨터. 하나는 해커 컴퓨터이고 다른 하나는 사용자 컴퓨터다. 사용자 컴퓨터는 해커가 보낸 e메일을 확인하다가 화면해킹 악성코드에 감염된 상태다. 기자가 사용자 컴퓨터를 사용하기로 했고, 비이소프트 직원이 해커 컴퓨터를 사용하는 해커 역할을 맡았다.

    해커 컴퓨터는 일반 컴퓨터와 크게 달라 보이지 않는다. 다만 화면 한쪽 구석에 손바닥만 한 화면 창(이하 악성코드 창)이 떠 있다. 글자가 입력되는 넓은 창이 반 이상을 차지하고, 그 밑으로 컴퓨터의 고유번호를 나타내는 맥어드레스가 표시돼 있다. 맨 아래 칸에는 Eraser(글자 입력을 지운다)-IE Kill(컴퓨터를 다운, 브라우저를 닫는다)-Get Sign(공인인증서를 가져온다) 버튼이 장착돼 있다.

    해커 컴퓨터를 다루는 직원은 “해킹 툴은 다양하게 변종이 가능하다. 여기서는 화면해킹 악성코드가 어떻게 작동하는지를 눈으로 보여주기 위해 창이 드러나도록 화면해킹 악성코드를 구성했지만, 화면 창이 전혀 나타나지 않고 내부에서 자동 저장된 뒤 해커에게 정보를 알려주도록 만들 수도 있다”고 전했다.

    기자는 친구에게 빌린 돈 5만원을 갚기 위해 국민은행 홈페이지에서 인터넷뱅킹을 하기로 했다. 은행에 로그인을 하려면 공인인증서를 사용하거나 은행 홈페이지 아이디와 사용자 비밀번호를 입력해 접속해야 한다. 노트북에 저장된 공인인증서로 로그인을 시도했다. 은행 보안프로그램인 ‘Xecure Web Control V7.2’를 설치하라는 요구에도 군말 없이 응했다.

    “a, h, f, f, k, 4, 5, 1, 2….”

    공인인증서 비밀번호를 키보드로 입력하자 해커 컴퓨터의 악성코드 창에 공인인증서 암호인 ‘ahffk45…’가 그대로 기록됐다. 기자가 a를 누르면 해커의 해킹화면 창에 a라고 동시에 뜨는 식이다. 기자가 “공인인증서 비밀번호를 알아도 공인인증서가 없으면 접속하지 못하는 것 아니냐”고 되물었다. 해커 컴퓨터는 어떤 공인인증서도 존재하지 않는 깨끗한 상태였다.

    기자의 질문에 직원은 말없이 악성코드 창에서 ‘Get Sign’ 버튼을 눌렀다. 그리고 다시 공인인증서 로그인을 시도하자, 불과 몇 초 전까지 공인인증서가 있지 않았던 해커 컴퓨터에 기자의 공인인증서가 저장돼 나타났다.

    “화면해킹 악성코드 안에 사용자 컴퓨터에서 해커 컴퓨터로 공인인증서를 가져오라는 프로그램만 설치하면 손쉽게 공인인증서를 가져올 수 있습니다.”

    1999년에 처음 등장한 공인인증서는 10년 만인 2009년 12월 발급건수가 2192만 건을 넘어섰다. 인터넷뱅킹 이용건수만 해도 하루 평균 2900만 건이며, 거래금액은 30조원에 이르는 거대시장으로 성장했다.

    공인인증서의 보안문제가 불거지자 지난 1월 행정안전부는 공인인증서를 PC에 저장하지 않도록 의무화하는 방안을 추진하기로 했다. 공인인증서 PC 저장을 단계적으로 줄여서 오는 2013년까지 모든 사용자가 공인인증서를 PC에 저장하지 않도록 한다는 것.

    속수무책, 뻥뻥 뚫렸다

    5 해커는 가져온 공인인증서에다 악성코드 창에 적힌 공인인증서 번호를 입력해 기자 몰래 국민은행 홈페이지에 로그인한다. 6 사용자가 계좌비밀번호 및 보안카드번호를 입력하는 것도 악성코드 창에 그대로 나타난다. 7 키보드 보안을 위해 마우스 입력키를 활용해도 직관적으로 비밀번호를 알 수 있는 화면해킹에는 무력할 뿐이다. 모든 금융정보를 빼낸 해커는 이제 아무 때나 기자의 계좌에서 인터넷뱅킹을 할 수 있다.

    직관적 해킹 앞에 보안카드도 무릎 꿇어

    보안전문가들은 “하드디스크에 공인인증서 저장을 금지하는 것이 근본적인 대책이 될 수 없다”며 회의적인 반응이다. 표 대표는 “편리성을 중시하는 사용자들이 과연 공인인증서를 이동식 저장장치(이하 USB) 등에 저장하고 다니겠느냐는 점에서 실효성에 의문이 든다. USB도 하드디스크 저장처럼 결국 파일시스템 타입으로 저장한다는 점에서 결코 안전하지 않다”고 말했다. 사용자가 USB를 컴퓨터에 꽂는 순간 USB와 컴퓨터는 일체가 된다. 해커는 화면해킹 악성코드를 이용해 USB 안의 공인인증서를 그대로 복사해 가져갈 수 있다. 해커 컴퓨터에서 모든 공인인증서를 지운 뒤, 사용자 컴퓨터에 기자의 USB를 꽂았다. 직원이 ‘Get Sign’ 버튼을 누르자 USB 속 공인인증서가 복제돼 해커 컴퓨터로 이동했다.

    기자는 미리 직원이 해킹 사실을 알려줬기에 공인인증서가 유출된 사실을 확인할 수 있었다. 그러나 보통은 해커가 나서서 “해킹을 했습니다”라고 얘기하지 않는 한, 사용자는 자신의 공인인증서와 비밀번호가 유출됐다는 사실을 전혀 인지하지 못한다. 로그인이 성공하자 계좌이체를 위해 이체 금액을 입력하고, 계좌비밀 번호를 눌렀다. 이 과정 역시 해커의 악성코드 창에서 낱낱이 드러났다. ‘내 비밀번호가 이렇게 허술하게 노출되다니….’ 허탈한 마음을 뒤로한 채 은행이 야심차게 내세운 키보드 보안기능(가상 키보드 기능)에 일말의 기대를 걸었다.

    그래서 이번엔 키보드가 아닌 마우스를 이용해 가상 키보드에 비밀번호 숫자를 기입했다. 가상 키보드는 전자계산기처럼 숫자가 배열돼 있는데 색을 입힌 몇 가지 숫자는 임의로 위치가 바뀐다. 하지만 그것도 무용지물. 해커 컴퓨터 화면에 기자가 숫자를 누르는 모습이 모두 보이기 때문에 해커가 단지 자신의 컴퓨터 화면을 들여다보기만 하면 직관적으로 비밀번호가 파악된다. 한니발이 피레네 산맥과 알프스 산맥을 넘어 로마의 허를 찔렀던 것처럼, 화면해킹 악성코드는 직관적으로 사용자 컴퓨터 화면을 읽어내는 것으로 키보드 보안의 허를 찌른 셈이다.

    “한 번의 해킹으로 35개의 보안카드 숫자를 전부 파악할 수는 없겠죠?”

    기자가 마지막 비장의 무기로 내세운 것은 인터넷뱅킹을 할 때 은행권에서 흔히 사용하는 보안카드. 보안카드는 35개의 비밀번호로 구성돼 있으며 각 비밀번호에 대한 번호가 붙어 있다. 인터넷뱅킹을 하려면 ‘3번 비밀번호’처럼 보안카드 내의 특정 번호에 해당하는 비밀번호를 입력해야 한다.

    그러나 보안카드도 화면해킹 악성코드에 일부 기능을 추가하면 무력화된다. 화면해킹 악성코드로 하여금 인터넷뱅킹 과정을 주시하고 있다가 1번 번호는 2465, 22번 번호는 3982 하는 식으로 보안카드 입력번호를 차곡차곡 기록하도록 한다. 해커는 자신이 알고 있는 보안카드 비밀번호(예컨대 1번과 22번)를 물어볼 때까지 계속해서 인터넷뱅킹을 시도하도록 화면해킹 악성코드를 설정해둔다. 보안카드는 고정된 35개의 비밀번호로 구성됐기 때문에 한번 유출되면 해커들은 같은 비밀번호로 공격하는 것이 가능하다.

    기자는 평소처럼 인터넷뱅킹을 하는 것만으로 해커에게 공인인증서, 공인인증서 비밀번호, 계좌 비밀번호, 보안카드 등을 고스란히 갖다바친 셈이다. 기자의 모든 개인정보를 파악한 해커는 이제 기자를 아랑곳하지 않고 마음껏 인터넷뱅킹을 하며 기자의 은행 계좌를 유린할 수 있다.

    “제가 해킹한 (기자의) 금융정보로 인터넷뱅킹을 시도하겠습니다.”

    직원은 미리 해킹한 공인인증서와 공인인증서 비밀번호를 가지고 기자의 인터넷 계좌에 접속했다. 계좌에 들어 있는 돈 100만원을 미리 준비한 대포통장으로 인터넷뱅킹 하려는 것. 출금금액 100만원을 표시하고 계좌 비밀번호를 눌렀다. 미리 알아낸 보안카드 번호를 집어넣고 공인인증서로 결제하니 단 5초 사이에 100만원이 기자 통장에서 직원이 지정한 통장으로 빠져나갔다.

    시연은 여기서 끝났지만 실제 범죄는 좀더 치밀하게 진행된다. 돈이 빠져나감과 동시에 해커는 은행에 대기 중인 또 다른 동료 1에게 전화를 건다. “송금완료”라는 말과 함께 동료 1은 통장에서 100만원을 출금한다. 동료 1은 출금과 동시에 유유히 사라지고 이를 감시하는 동료 2도 뒤따른다. 영화 ‘범죄의 재구성’의 한 장면처럼 작업은 일사천리로 끝나버린다.

    주식 홈트레이딩

    증권사, 은행과 동일한 위험 노출

    빼낸 금융정보로 주식매매, 상대방 피해주기 가능


    속수무책, 뻥뻥 뚫렸다

    기자가 현대증권에서 홈트레이딩을 하기 위해 아이디, 비밀번호, 공인인증서 비밀번호를 치는 순간, 그 정보는 악성코드 창에 그대로 나타났다(위). 해커는 악성코드 창에 나타난 정보로 로그인을 해 기자 몰래 임의대로 주식을 매도할 수 있다.

    “자본시장통합법(이하 자통법)이 시행돼 증권사 고객도 일반 은행을 이용하는 것과 차이가 없는 서비스를 받을 수 있게 됐습니다.”

    비이소프트 오동근 영업팀장은 “자통법의 시행으로 인터넷상에서 은행과 증권사의 차이가 거의 없어졌다”고 말했다. 요즘은 A씨가 친구인 B씨의 은행계좌로 현금 100만원을 송금한다고 할 때, A씨는 자신의 증권계좌를 통해 일반 은행의 인터넷뱅킹처럼 100만원 송금주문을 간단히 처리하면 된다. B씨 또한 송금주문이 처리되는 즉시 돈을 찾을 수 있고. 그러나 자통법 시행 이전에는 증권사 고객이 증권계좌만으로는 입출금과 송금, 각종 공과금 납부 등을 할 수 없어 증권사가 제휴한 은행에 연계계좌를 만들어야 했다.

    은행의 편리한 기능을 증권사가 누리게 된 만큼, 증권사 계좌에서의 금융작업 역시 앞서 인터넷뱅킹과 마찬가지로 화면해킹에 무방비로 노출될 위험이 커졌다. 기자가 현대증권 홈페이지에서 로그인을 위해 ID, 비밀번호, 공인인증서 비밀번호를 집어넣자, 실시간으로 해커컴퓨터 악성코드 창에 이것들이 그대로 기록됐다. 물론 증권사 내부 보안프로그램은 작동 중이었다. 사용자의 금융거래 과정을 지켜보다 계좌 비밀번호와 보안카드 번호를 빼내 사용자의 증권계좌에서 해커가 지정한 대포통장으로 송금하는 것은 인터넷뱅킹 사례와 동일하다.

    해커는 해킹한 금융정보를 바탕으로 주식매매도 자유롭게 할 수 있다. 다만 주식을 팔면 3일 뒤에 계좌로 돈이 들어오기 때문에 홈트레이딩으로 직접 주식 매매를 해서 돈을 빼돌리는 것은 쉽지 않다. 다만 주식 1주가 아쉬운 경영권 다툼이 벌어질 때는 상황이 달라진다. C회사의 경영권을 놓고 대주주 2명이 주식 매집을 하는 상황을 가상해보자. 대주주 A는 해커들을 시켜 B가 가진 C회사 주식을 팔도록 부탁한다. 해커들이 B의 증권계좌 정보를 화면해킹을 통해 알아낸 뒤 임의로 증권사 홈트레이딩 시스템에 접속해 매도 주문을 낸다. 이때 매수 주문을 계속 넣고 있던 A는 B의 주식이 매도됨과 동시에 이를 수중에 넣는다. 결국 지분 싸움은 A의 승리로 끝난다. 그래도 해커들의 행방을 찾기는 어렵다. 중국인지 미국인지 알 수 없다.

    주식매매를 통해 내가 이득을 볼 수는 없어도 상대방에게 피해를 주는 것은 가능하다. 예를 들면 주식 폭락 뒤 반등이 예상되면서도 매도해버리거나, 반대로 최고점을 찌른 뒤 폭락이 예상되면서도 계속 매수하게 해 악의적으로 사용자에게 손해를 끼치는 방식이다.

    보안 최후의 보루 ‘OTP’도 뚫린다

    속수무책, 뻥뻥 뚫렸다

    매번 비밀번호가 바뀌는 OTP.

    2008년 4월1일 도입된 일회용 비밀번호(One Time Password·이하 OTP) 발생기는 버튼을 누를 때마다 다른 비밀번호가 만들어진다. 임의로 생성된 번호는 타인이 쉽게 유추할 수 없기에 이를 이용하면 기존의 보안카드를 쓸 때보다 온라인 금융거래의 안전성이 크게 높아진다.

    금융감독원은 고액 거래를 하지 않는 개인이라도 복제가 쉬운 보안카드보다 안전한 OTP 발생기를 이용하길 권한다. OTP만 있으면 완벽하게 정보 유출을 막을 수 있다는 자신감이 엿보인다. 일례로 OTP 발생기 등을 발급받으면 보안 1등급이 주어진다. 법인은 보안 1등급 조건을 갖추지 않으면 인터넷을 통해 자금이체를 할 수 없다.

    개인의 경우 인터넷뱅킹 1회 이체한도가 1등급은 1억원(하루 5억원)으로 제한된다. 텔레뱅킹 1회 이체한도는 1등급 5000만원(하루 2억5000만원). 이전까지는 보안등급에 상관없이 인터넷뱅킹은 1회 1억원, 텔레뱅킹은 1회 5000만원으로 일원화됐었다.

    OTP의 신화는 농림수산식품위원회 간사인 김우남 의원(민주당)이 2009년 국감 기간에 “농협과 수협의 인터넷뱅킹 이용 시 OTP가 쉽게 뚫린다”는 의혹을 제기하면서 흔들리기 시작했다. 해킹 방법은 다음과 같다. 피해자가 농협 홈페이지에 접속해 금융결제원의 공인인증을 거쳐 접속에 성공한다. 계좌이체 배너에 클릭하자 OTP를 묻는 창이 뜬다. OTP 기계가 생성해낸 번호를 정확히 입력했음에도 오류 메시지가 뜨고, 그러는 사이 피해자가 누른 OTP 비밀번호가 해커의 컴퓨터로 전송돼 해커는 이를 가지고 계좌에서 자금을 빼낸다.

    화면해킹 프로그램도 이와 유사한 방식으로 OTP를 뚫고 해킹이 이뤄진다. 사용자가 OTP를 통해 비밀번호를 부여받고 이를 입력하면 해커의 악성코드 창에는 그 비밀번호가 그대로 나타난다. 이때 사용자가 확인을 누르면 사용자 컴퓨터에서만 로그인이 이뤄지고, 해커는 로그인이 안 된다. 중복 로그인이 되지 않기 때문이다. OTP에서 생성된 비밀번호는 1회만 적용되고 사라지기 때문에 해커가 로그인을 하기 위해서는 사용자가 다시 로그인을 할 때를 기다렸다가 새롭게 생성된 OTP 비밀번호를 해킹해야 한다.

    따라서 해커는 사용자가 OTP 비밀번호를 넣고, 확인을 누르기 직전 ‘IE Kill’ 버튼을 누른다. 그러면 악성코드는 사용자의 브라우저를 닫거나 컴퓨터를 다운시켜버린다. 사용자가 컴퓨터를 켜서 다시 로그인을 하기 전까지, 해커는 재빨리 사용자의 OTP 비밀번호로 로그인을 한 뒤 인터넷뱅킹을 한다.

    이론상으로는 하나의 OTP 번호를 1분 이내만 사용할 수 있다. OTP 인증을 담당하는 금융보안연구원 관계자는 “설정된 상황에서 가능할지 몰라도 실제 OTP를 해킹해 인터넷뱅킹까지 하려면 1분을 초과할 것”이라고 지적한다. 하지만 공인인증서를 빼냈고, 공인인증서 비밀번호, 계좌 비밀번호, 보안카드 번호 등을 다 알고 있는 상황이라면 충분한 시간이다. 해커들이 평소 대규모 금액을 이체하는 특정인을 겨냥해 미리 세팅하는 경우를 상상하면, 결코 불가능한 시나리오는 아니다.


    포털 e메일

    포털 속 ‘유리지갑’ e메일, 은밀한 사생활이 샌다

    대부분 같은 아이디와 비밀번호 사용 보안에 취약


    속수무책, 뻥뻥 뚫렸다

    키보드 보안 기능도 화면해킹에는 무력하다.

    “사랑하는 쩡아에게.”

    “오빠 쩡아야.”

    2007년을 떠들썩하게 했던 ‘변양균·신정아’ 파문. 검찰이 신씨의 컴퓨터를 압수해 복구하는 과정에서 변양균 당시 청와대 정책실장과 신정아 씨가 주고받았던 e메일이 유출됐다. 본인의 의사와 무관하게 e메일이 공개됐다는 점에서 박사 학위 위조, 로비 여부 등 사건의 본류와는 별도로 프라이버시 침해 논란이 여론을 뜨겁게 달궜다. 이 와중에 검찰은 “연인 관계인 사람들이 주고받을 법한 ‘낯 뜨거운’ 내용도 있다”고 전해 논란에 불을 지폈다.

    ‘사랑은 연필로 쓰세요’라는 유행가 가사는 이제 철 지난 옛 추억이 됐다. 직접 펜으로 편지를 써서 주고받는 경우는 거의 없다. 심지어 군대에 있는 애인과도 e메일을 통해 안부를 주고받을 정도. 개인 간의 은밀한 사생활이 담긴 내용을 주고받는 것은 물론이거니와 공과금 납부서, 카드 명세서 등 각종 정보도 e메일을 통해 들어온 뒤 고스란히 e메일함에 보관된다.

    그러다 보니 개인의 e메일은 해커들의 주요 먹잇감이 됐다. 일반적으로 한 사이트에서 아이디와 비밀번호를 정하면 대부분 다른 포털과 사이트에서도 같은 것으로 등록하는 경우가 많다. 가입하는 사이트 수가 많아지면 일일이 기억해내기가 어렵기 때문이다. 이는 역설적으로 한 사이트에서 아이디와 비밀번호가 해킹되면 그 사람이 가입한 모든 사이트에서 개인정보가 유출될 위험이 커진다는 얘기다.

    국내 최대 보안시스템을 자랑하는 네이버. 로그인을 하려고 하자 ‘보안로그인 3단계’가 뜬다. 하지만 화면해킹 악성코드 앞에서는 속수무책이다. 기자가 아이디와 비밀번호를 치는 순간 네이버 포털 아이디와 비밀번호는 악성코드 창으로 전송됐지만, 보안로그인은 멀뚱멀뚱 쳐다만 볼 뿐이었다. 해커 역할을 맡은 직원이 유출된 기자의 아이디와 비밀번호를 가지고 네이버 e메일함에 들어갔다. 마침 파라다이스 홍보팀에서 기자에게 보낸 ‘카지노 소송 관련 정보’가 담긴 e메일이 들어와 있다.

    “만약 소송의 당사자인 SK에서 손 기자의 e메일을 해킹해 이 정보를 알아냈다면 손 기자가 쓰려는 기사 내용을 한발 앞서 예측해 선제 대응하지 않았을까요?”

    지금까지 문제가 된 e메일 해킹은 포털에서 사용하는 일반적인 e메일의 경우였다. 그렇다면 내부인증서를 발급받아야만 들어갈 수 있고 여타 사이트보다 보안수준이 높은 회사 혹은 정부기관의 내부 e메일은 어떻게 해킹할 수 있을까?

    “내부 보안망을 뚫는 것이 쉽지는 않습니다. 하지만 화면해킹은 상대방의 컴퓨터를 실시간 그대로 볼 수 있습니다. 내가 인증해서 들어가지는 못하더라도 사용자가 자신의 e메일을 보는 순간 해커도 동일하게 그 상황을 지켜볼 수 있습니다.”

    회사 신기술 노하우가 담긴 정보를 e메일로 받았다. 이중삼중의 보안프로그램이 작동돼 해당 회사 e메일을 직접 해킹할 수는 없다. 하지만 화면해킹 악성코드가 심어져 있다면 힘들여 내부 e메일 시스템을 해킹할 필요가 없다. 세상에서 가장 편한 자세를 취하며 그저 자신의 컴퓨터만 쳐다보면 된다. 사용자가 내부인증을 통해 회사 내부 e메일함으로 들어가고 회사 e메일을 펼쳐보는 모습을 그저 쳐다보고만 있으면 된다.

    속수무책, 뻥뻥 뚫렸다

    신용카드로 안심클릭 혹은 안전결제(ISP)를 하더라도 화면해킹을 막을 수 없다.

    카드 결제

    안심클릭·ISP 카드정보 유출→게임머니 구입 후 즉시 현금화

    소액을 반복해서 자동으로 처리하는 프로그램


    1월25일 신한·삼성·현대·롯데카드 4개 카드사의 상당수 고객이 2009년 11월부터 최근까지 지속적으로 신용카드 부정결제 피해를 당해 피해금액이 수억 원에 이른다는 보도가 나왔다.

    안심클릭은 삼성카드, 현대카드 등 비은행권 신용카드 결제에 주로 쓰는 결제방식. 안심클릭은 온라인 거래 때 결제금액이 30만원 미만이면 활용하는 것으로, 고객이 미리 설정한 ‘안심클릭 비밀번호’와 카드 뒷면 숫자 중 마지막 3자리인 ‘CVC(카드인증코드)번호’(카드사에 따라 CVV번호)를 차례로 입력하는 방식으로 결제가 이뤄진다. 이는 역으로 카드번호와 안심클릭 비밀번호, CVC 번호만 알면 온라인에서 아무런 제약 없이 신용카드를 사용할 수 있다는 뜻이다.

    기자는 인터파크 쇼핑몰에서 도서를 구입하기 위해 책을 몇 권 고른 뒤, 결제창을 클릭했다. 결제수단은 안심클릭을 이용하는 삼성카드. 승인창이 뜨자 카드번호를 치고, 비밀번호와 CVC번호를 집어넣었다. 동시에 해커의 악성코드 창에는 기자의 카드번호와 비밀번호, CVC번호가 그대로 나타났다. 공인인증서 역시 인터넷뱅킹 사례에서 보듯 ‘Get Sign’ 버튼을 클릭해 그대로 가져갔다.

    안심클릭만 화면해킹 악성코드에 취약한 것은 아니다. 이번에는 ‘우리카드’를 이용해 안전결제(ISP)를 해보기로 했다. 안심클릭과 마찬가지로 기자가 카드번호를 치고 비밀번호를 설정한 뒤, CVC번호 입력을 차례대로 진행했다. 그러자 모든 과정이 실시간으로 해커 컴퓨터로 전송돼 악성코드 창에 나타났다.

    해커는 사용자로부터 빼낸 카드 정보를 어떻게 이용할까? 만약 해커가 얻어낸 사용자의 카드정보로 쇼핑몰에서 물건을 산다면 카드결제와 동시에 이용내역이 사용자의 휴대전화로 전송된다. 이상함을 느낀 사용자가 쇼핑몰에 확인을 하고, 즉각적으로 결제취소를 하면 돈이 빠져나가는 것을 방지할 수 있다. 나아가 주문한 상품이 배송되는 장소에서 숨어 있다가 카드정보를 빼낸 해커의 덜미까지 잡을 수 있다.

    이렇다 보니 해커는 사용자의 카드정보를 이용해 직접 물건을 구입하지 않고, 실시간으로 현금화할 수 있는 게임머니를 사버린다. 게임머니를 카드결제와 동시에 구입한 뒤 바로 현금화하는 식이다. 바로바로 카드결제를 하고 현금화하는 프로그램을 만든 뒤 돈을 챙기고 순식간에 사라진다. 한꺼번에 많은 금액을 현금화하면 게임회사에서도 의심을 하기 때문에 ‘소액을 반복해서 자동으로’ 처리하는 프로그램을 만드는 것이다.

    3시간이 넘는 시연 과정을 통해 은행 인터넷뱅킹, 증권사 홈트레이딩, 포털 e메일, 쇼핑몰 안심클릭 및 안전결제 그 모든 것이 허무하게 해킹됐다. 기자의 공인인증서, 공인인증서 비밀번호, 계좌 비밀번호, 아이디 등 개인정보가 해당 사이트 내 보안프로그램이 작동했음에도 어떠한 제재 없이 그대로 유출됐다.

    화면해킹 악성코드에 대해 해당 금융기관들은 “해킹 기술의 진화속도를 고려할 때, 화면해킹의 기술적 가능성은 인정된다”면서도 “데모 시연 상황인 만큼 반드시 모든 컴퓨터가 화면해킹에 노출된다고는 할 수 없다. 컴퓨터마다 보안프로그램이 강화돼 화면해킹 악성코드가 쉽게 깔리지는 않을 것이다. 또한 화면해킹 가능성을 인지하고 금융권 나름대로 보안프로그램 마련을 하고 있다”고 밝혔다(28쪽 참조).

    화면해킹 악성코드는 비이소프트가 신종 해킹 가능성을 제기하며 임의로 만든 해킹 프로그램이다. 아직까지 시중에서 발견된 것은 아니지만, 해킹 기술의 진화속도를 고려할 때 당장 나타난다고 해도 결코 이상한 일은 아니다. 그럼에도 현재의 보안 프로그램으로는 화면해킹 악성코드에 전혀 대응하지 못한다는 점에서 시급한 보완이 요구된다.

    화면해킹 ‘유세이프온’으로 잡는다

    속수무책, 뻥뻥 뚫렸다

    ‘유세이프온’은 해커 컴퓨터에는 보이지 않는 가상 인터페이스가 나타나 화면해킹을 방지한다.

    화면해킹 프로그램 출현 가능성을 제기한 보안솔루션 개발업체 ㈜비이소프트는 100억원 이상의 개발비를 투입, 4년여의 연구개발 끝에 화면해킹 프로그램을 원천적으로 차단하는 보안솔루션 ‘유세이프온(UsafeOn)’을 선보였다.

    유세이프온은 이미지 기반 응용솔루션이다. 쉽게 말해 외부화면에 유출되지 않는 가상 키보드를 제공해 사용자의 입력정보가 해커 컴퓨터 악성코드 창에 나타나지 않게 만든다. 윈도 XP, 윈도 비스타 같은 윈도 운영체제를 사용하지 않고 그래픽카드를 직접 제어한다. 윈도 운영체제에 독립적이기 때문에 윈도 자원을 사용하는 화면 캡처를 방지하며 원격 화면해킹을 원천적으로 방지한다.

    유세이프온이 적용된 광주은행의 홈페이지에서 기자가 직접 계좌이체를 시도했다. 사용자 컴퓨터에서 출금계좌 정보의 계좌 비밀번호 칸에 ‘보안입력’ 버튼을 누르자 ‘I-DAS’라는 가상 인터페이스 부분이 나타났다. 반면 해킹을 시도하는 해커의 컴퓨터에서는 해당 부분이 전혀 보이지 않았다.

    “사용자가 가상 인터페이스에서 숫자 보기를 눌러 비밀번호를 마우스로 입력하는 장면이 해커 컴퓨터에서는 단지 마우스 키가 움직이는 것으로 보입니다.”

    지난해 10월22일 유세이프온 도입 계약을 체결해 테스트 중인 하나은행의 홈페이지에서도 유세이프온을 적용해 계좌이체를 해봤다. 공인인증서 로그인을 하기 위해 ‘인증서 로그인’ 버튼을 누르자 공인인증서가 저장된 팝업창이 나타났다. 기존의 로그인 창과 달리, 확인 버튼 좌측에 ‘마우스 입력’ 버튼이 있다. 해당 버튼을 누르자 가상의 키보드 입력기가 나타났다. 역시 해커 화면에는 해당 가상 키보드가 보이지 않았다. 아이디, 비밀번호 입력을 통한 로그인도 마찬가지였다.

    설사 다른 방식으로 로그인 번호를 알아내 들어왔다고 해도 계좌 비밀번호를 입력하는 1단계 과정에서 다시 한 번 화면해킹이 방지된다. 마우스 입력키를 누르자 해커 컴퓨터에서는 보이지 않는 비밀번호 입력기가 떴다. 1단계가 뚫릴지라도 2단계 보안카드 입력에서 다시 한 번 제동이 걸린다.

    “사용자가 마우스 입력키를 누르면 또다시 가상의 ‘비밀번호 입력기’가 나타납니다. 이때 해커 화면에는 ‘보안 프로그램 작동 중’이라는 표시만 뜹니다. 해커는 사용자가 무슨 일을 하는지 전혀 알 수 없습니다.”

    비이소프트 표세진 대표는 “유세이프온은 특정 영역의 완벽한 화면해킹 보안이 가능하며 증권사의 주식거래 시스템(HTS) 등 응용 프로그램에 대한 보안 지원도 하고 있다”며 “자동 업데이트를 통해 사용자의 불편을 최소화하기 위해 노력하고 있다”고 밝혔다(29쪽 참조).

    최영철 기자 ftdog@donga.com




    댓글 0
    닫기