"파밍 통한 공인인증서 유출 조심하세요"


[내 정보 방어 가이드⑨]가짜 인터넷뱅킹 주의

회사원 A씨는 인터넷 뱅킹을 하다 이상한 점을 발견했다.

평소 인터넷 뱅킹을 할 때는 아이디(ID), 계좌번호 등을 단계별로 입력했지만, 오늘은 한 화면에서 계좌번호, 공인인증서 비밀번호, 보안카드 번호 등을 한꺼번에 입력하도록 돼 있는 것.

이를 수상히 여긴 A씨는 바로 은행에 신고했다. 잠시 후 A씨는 은행 측으로부터 자신이 인터넷 사기 수법인 '파밍'의 희생양이 될 뻔 했다는 사실을 듣게 됐다.

파밍(Pharming)은 사용자 도메인을 탈취하거나, 도메인 네임 서버(DNS) 또는 프록시 서버 주소를 변경해 이용자가 정상 사이트 주소를 입력하더라도 위조 사이트로 접속되도록 하는 수법이다.

이 경우 해커가 악성코드를 이용해 사용자 PC의 호스트 파일을 변조하기 때문에 이용자가 정상적인 인터넷 뱅킹 주소를 입력하더라도 위장된 가짜 사이트로 연결돼 버린다.

또 해커는 공인인증서를 전송하도록 설계한 악성코드를 사용자 PC에 심어 비밀번호, 보안카드번호, 공인인증서 등을 모두 빼낼 수 있다.

금융보안연구원 보안기술팀 김영태 책임연구원은 "주로 이메일을 통해 가짜 홈페이지로 유도하는 피싱과 달리 파밍은 사용자가 주의를 기울여도 피해을 입을 수 있다"며 "가짜 사이트에 속지 않기 위해서는 보안카드·인증서 비밀번호 등을 입력하기 전에 자신의 잔고 금액이 정상적으로 나오는지 확인해야 한다"고 말했다.

◆"보안카드 이메일에 저장하지 말아야"

금융감독원에 따르면, 2009년 4월 기준 국내 인터넷 뱅킹 이용자는 약 8천700만명에 이른다. 하루에도 셀 수 없을 정도의 금액이 인터넷 뱅킹을 통해 거래되고 있는 것.

이에 따라 각 은행은 보안 프로그램을 설치하는 등 방어막 구축에 나섰지만, 보안정책의 허점을 노린 사기 범죄들도 날로 지능화되고 있는 실정이다.

대출 한도를 상향하거나 조건 없이 대출해 주겠다는 등의 메일을 통해 사용자 계좌번호, 비밀번호 등을 빼가는 피싱이 기승을 부리고 있다. 또 키 입력 값을 그대로 볼 수 있는 키로거 악성 프로그램을 사용자 PC에 심어 전자거래를 조작하거나, 공인인증서를 유출하는 사례가 심심치 않게 발생하고 있다.

이밖에 CD/ATM의 사용이 증가하면서 자동화기기에 카드 정보를 읽을 수 있는 스키밍 장치와 CCTV를 설치해 이용자 몰래 카드를 복제하는 범죄도 속출하고 있다.

그렇다면 이용자는 어떻게 자신의 금융정보를 보호할 수 있을까?

보안전문가들은 인터넷 뱅킹 사고의 경우 금전적 피해와 직결될 수 있기 때문에 사용자의 신중한 거래 태도가 무엇보다 중요하다고 입을 모은다. 인터넷 뱅킹을 할 때는 무조건 신뢰하지 말고, 지속적으로 확인하는 자세가 중요하다는 설명이다.

경찰청 사이버테러대응센터측은 "지난 해 시중은행에서 발생한 금융사고의 경우 이용자가 편의를 위해 공인인증서, 보안카드 번호, 비밀번호 등을 이메일에 저장해 놓고 있었다"며 "이 경우 이메일 계정이 타인에 노출되면 공인인증서, 비밀번호 등도 모조리 유출돼 피해가 심각하다"고 경고했다.

특히 인터넷 뱅킹은 이용자 아이디와 비밀번호가 유출되더라도 공인인증서와 보안카드 번호를 단계적으로 알아야 하는데, 무작위(랜덤)로 지정되는 보안카드 숫자를 해커가 단기간에 빼내기는 쉽지 않다.

따라서 보안전문가는 보안카드의 '보안'이 급선무라고 강조했다.

단순히 편의를 위해 보안카드를 스캔해서 웹하드나 이메일에 저장하는 행위는 금융 보안에 치명적인 피해를 안겨줄 수 있다는 지적이다. 아울러 PC는 악성코드 감염 등 상대적으로 보안에 취약할 수 있으므로 USB 등 이동식 저장매체에 공인인증서를 보관하는 것이 좋다.

금융보안연구원 성재모 팀장은 "1회성 패스워드를 생성하는 보안시스템인 일회용비밀번호(OTP) 발생기나 토큰 내 공인인증서를 안전하게 보관할 수 있도록 한 하드웨어보안모듈(HSM)을 사용하면 보다 안전한 금융거래가 가능하다"며 "공용 PC를 이용한 전자금융거래도 가급적 피해야 한다"고 당부했다.

<안전한 인터넷 금융거래를 위한 이용자 유의사항>

1. 공인인증서, 보안카드, 비밀번호 등은 이메일함, 웹하드 등 인터넷에 보관하지 말아야 한다. 보관한 경우, 즉시 삭제하고 금융회사를 방문해 교체한다.

2. 공인인증서는 PC보다 USB, 보안토큰 등 이동식저장매체에 보관한다.

3. 보안카드는 복사 또는 스캔하지 말고, 오래된 보안카드는 재발급 받는다.

4. 금융거래 ID, 비밀번호는 인터넷 포털 및 쇼핑몰 등의 ID, 비밀번호와 다르게 설정하고, 타인에게 절대 알려주지 않는다.

5. 인터넷 뱅킹 시 일회용비밀번호(OTP) 발생기, 보안토큰(HSM), 전화승인서비스를 사용한다.

6. 계좌이체, 공인인증서 재발급 등의 이용내역을 즉시 알려주는 휴대폰 문자서비스(SMS)에 가입한다.

7. PC방, 도서관 등 공공장소에서 인터넷 금융거래를 하지 않는다.

8. 예금인출 사고를 당한 경우 즉시 해당 금융회사에 신고하고, 출금정지를 요청한다. (출처: 금융감독원)

서소정기자 ssj6@inews24.com







포토뉴스