매달 보안보고서 작성해 인터넷뱅킹 취약점 등 위험징후 경고
"철통같은 금융사도 허점 존재
비밀번호 탈취 등 방심 금물"
SK쉴더스의 정예 화이트 해커들은 매달 'EQST 인사이트'라는 보고서를 통해 최근 보안업계 동향과 새롭게 발견된 취약점 등을 작성해 공개하고 있다.
가장 최근 호는 EQST 인사이트 2023년 2월 호로, '키로깅 방지 솔루션 악용 취약점'이라는 이름으로 국내 은행 보안 프로그램의 취약점을 정리해 놓았다. 해당 보고서에서 SK쉴더스 측은 "보안 솔루션 개발사에서는 해당 취약점을 패치한 버전을 발표했다"면서도 "사이트마다 프로그램 패치 일정은 다르므로 설치된 버전을 확인한 후 사이트를 이용해야 한다"고 조언했다.
이는 지난해 10월부터 국내 보안업계에 일어난 소동을 정리한 것이다. 대표적인 사례로는 독일의 한 보안 전문가가 국내의 주요 은행·금융 사이트에 사용하는 보안 솔루션들에서 취약점을 발견했다며 이를 본인의 웹사이트에 직접 공개한 것이 꼽힌다. SK쉴더스의 화이트해커 그룹인 이큐스트(EQST)는 해당 사실이 외부에 알려지기 전부터 이미 해당 건에 대한 조사에 착수했는데, 그 결과 총 7개의 취약점을 밝혀냈다. 이 중에서는 해커가 일부러 피싱 사이트를 만들어 놓고 이용자가 이 사이트에 접속할 경우 비밀번호를 탈취할 수 있는 '키로깅 취약점' 등 심각한 것도 다수 있었다.
이호석 담당은 "취약점이 보완되지 않은 프로그램이 설치돼 있어야 하고, 해커가 만든 사이트에 접속도 해야 하는 등 여러 조건이 충족돼야 하므로 이 기법에 걸려들 확률 자체가 높다고 볼 수는 없다"면서도 "1000만명 이상이 내려받은 프로그램이므로 심각도가 상당히 높다고 볼 수 있다"고 말했다.
이처럼 인터넷뱅킹 이용자가 직접 보안을 책임져야 하는 현재 방식은 문제가 있다는 게 그의 진단이다. 이 담당은 "사용자가 해야 하는 보안이 있고 서버가 해야 하는 보안이 있는데 금융 거래와 관련해서는 서버가 알아서 보안을 책임지는 게 맞는다"며 "해외에서는 비밀번호만 입력하면 되는 데 반해 우리나라는 액티브X·공인인증서 등 거쳐야 할 절차가 지나치게 많다"고 지적했다. 물론 국내에서 채택하는 보안 방식이 전혀 의미가 없는 것은 아니다. 이 담당은 "해당 보안 프로그램을 설치하면 키보드를 입력하는 순간 들어오는 공격을 막고 네트워크 암호화를 할 수 있다"면서 "우리나라가 해킹이 워낙 많이 일어나는 국가이므로 이런 보안이 필요한 측면도 있다"고 말했다. 그럼에도 불구하고 현재와 같은 보안 시스템을 계속 유지하는 것에 대해서는 회의적인 반응을 보였다.
이 담당은 "일부 업체들이 좋은 방법을 놔두고 굳이 취약한 형태를 이용하는 경우가 있다"며 "보안 시스템을 설계할 때부터 목적에 잘 맞게 해야 한다"고 설명했다.
[김대은 기자]
Copyright © 매일경제 & mk.co.kr. 무단 전재, 재배포 및 AI학습 이용 금지
- “하늘이 도왔다”...꺼질 줄 모르던 산불 막은 봄비 - 매일경제
- SM 경영권 분쟁...카카오·하이브 운명 여기서 갈렸다 [SM 막전막후] - 매일경제
- “K-배터리, 영원한 ‘슈퍼 을’은 없다”…저평가 주식은 ‘이 회사’ [자이앤트TV] - 매일경제
- “끔찍하다” “사람이 해선 안될 일”...이재명 부모 묘소에 무슨 일이 - 매일경제
- “국민연금 우린 정말 못타나”…-8% 수익률·고갈 논란에 2030 ‘시끌’ - 매일경제
- ‘더 글로리’ 안길호 PD, 학폭 인정 “깊이 용서 구해” - 매일경제
- BTS 덕분에?…한국인 소울푸드 떡볶이, 미국 점령한 비결은 - 매일경제
- 머스크, 파산한 SVB도 인수할까…테슬라 주주들 ‘좌불안석’ - 매일경제
- 농담 반 진담 반…러 용병기업 수장 “내년 우크라 대선 출마” - 매일경제
- 린샤오쥔 ‘500m 결승서 어이없게 걷어찬 금메달’ [현장] - MK스포츠