매달 보안보고서 작성해 인터넷뱅킹 취약점 등 위험징후 경고

SK쉴더스 정예 화이트 해커들
"철통같은 금융사도 허점 존재
비밀번호 탈취 등 방심 금물"

SK쉴더스의 정예 화이트 해커들은 매달 'EQST 인사이트'라는 보고서를 통해 최근 보안업계 동향과 새롭게 발견된 취약점 등을 작성해 공개하고 있다.

가장 최근 호는 EQST 인사이트 2023년 2월 호로, '키로깅 방지 솔루션 악용 취약점'이라는 이름으로 국내 은행 보안 프로그램의 취약점을 정리해 놓았다. 해당 보고서에서 SK쉴더스 측은 "보안 솔루션 개발사에서는 해당 취약점을 패치한 버전을 발표했다"면서도 "사이트마다 프로그램 패치 일정은 다르므로 설치된 버전을 확인한 후 사이트를 이용해야 한다"고 조언했다.

이는 지난해 10월부터 국내 보안업계에 일어난 소동을 정리한 것이다. 대표적인 사례로는 독일의 한 보안 전문가가 국내의 주요 은행·금융 사이트에 사용하는 보안 솔루션들에서 취약점을 발견했다며 이를 본인의 웹사이트에 직접 공개한 것이 꼽힌다. SK쉴더스의 화이트해커 그룹인 이큐스트(EQST)는 해당 사실이 외부에 알려지기 전부터 이미 해당 건에 대한 조사에 착수했는데, 그 결과 총 7개의 취약점을 밝혀냈다. 이 중에서는 해커가 일부러 피싱 사이트를 만들어 놓고 이용자가 이 사이트에 접속할 경우 비밀번호를 탈취할 수 있는 '키로깅 취약점' 등 심각한 것도 다수 있었다.

이호석 담당은 "취약점이 보완되지 않은 프로그램이 설치돼 있어야 하고, 해커가 만든 사이트에 접속도 해야 하는 등 여러 조건이 충족돼야 하므로 이 기법에 걸려들 확률 자체가 높다고 볼 수는 없다"면서도 "1000만명 이상이 내려받은 프로그램이므로 심각도가 상당히 높다고 볼 수 있다"고 말했다.

이처럼 인터넷뱅킹 이용자가 직접 보안을 책임져야 하는 현재 방식은 문제가 있다는 게 그의 진단이다. 이 담당은 "사용자가 해야 하는 보안이 있고 서버가 해야 하는 보안이 있는데 금융 거래와 관련해서는 서버가 알아서 보안을 책임지는 게 맞는다"며 "해외에서는 비밀번호만 입력하면 되는 데 반해 우리나라는 액티브X·공인인증서 등 거쳐야 할 절차가 지나치게 많다"고 지적했다. 물론 국내에서 채택하는 보안 방식이 전혀 의미가 없는 것은 아니다. 이 담당은 "해당 보안 프로그램을 설치하면 키보드를 입력하는 순간 들어오는 공격을 막고 네트워크 암호화를 할 수 있다"면서 "우리나라가 해킹이 워낙 많이 일어나는 국가이므로 이런 보안이 필요한 측면도 있다"고 말했다. 그럼에도 불구하고 현재와 같은 보안 시스템을 계속 유지하는 것에 대해서는 회의적인 반응을 보였다.

이 담당은 "일부 업체들이 좋은 방법을 놔두고 굳이 취약한 형태를 이용하는 경우가 있다"며 "보안 시스템을 설계할 때부터 목적에 잘 맞게 해야 한다"고 설명했다.

[김대은 기자]