실시간 뉴스



[시험대 오른 안티피싱-상]안티피싱 시대 온다


은행권이 '피싱과의 전쟁'에 본격 나선다. 주요 시중은행들은 올해 하반기 중 안티피싱 서비스를 선보인다는 계획을 세우고 준비에 박차를 가하고 있다. 이처럼 은행들이 안티피싱 서비스를 준비하는 것은 안전한 금융거래를 보장하기 위한 것이다. 하지만 보안을 강조한 나머지 '사용자들의 편의성'은 등한시했다는 비판도 적지 않아 안착되기까지 진통이 적지 않을 것으로 보인다. 보안과 사용자 편의, 그 둘의 접점에서 아직은 혼란스러워 하고 있는 안티피싱의 현황과 문제점, 그리고 개선방안을 점검한다. <편집자주>


"고객님의 안전한 금융거래를 위하여 피싱/파밍 방지 서비스(노피싱)를 제공하고 있습니다. 프로그램을 설치하시겠습니까?"

신한은행 인터넷뱅킹 이용 고객들이 사이트에 접속할 때마다 만나게 되는 팝업 창이다. 이 공지문은 신한은행이 지난 4월 13일부터 제공하고 있는 노피싱 프로그램 설치 여부를 묻는 것이다.

노피싱은 신한은행이 은행권에선 처음으로 선보인 피싱/파밍 방지 서비스. 고객들을 유사 사이트로 '낚은' 뒤 금융 정보를 입력하도록 유인하는 피싱/파밍 공격 사례가 빈발하자 이를 방지하기 위해 신한은행이 야심적으로 준비한 것이다.

신한은행 IT보안팀 관계자는 "금융감독원의 규정에 따라 인터넷 뱅킹을 이용하기 위해서는 의무적으로 3가지 보안 솔루션을 설치해야 하지만 신한은행은 사용자 안전을 위해 추가로 안티피싱 서비스를 제공하게 됐다"고 설명했다.

◆올해 내 은행 상당수가 안티피싱 서비스 제공

안티피싱에 눈을 돌리는 것은 신한은행 뿐만이 아니다. 아이뉴스24가 조사한 결과 국내 8개 시중은행은 너나할 것 없이 안티피싱 서비스 도입을 적극 검토하고 있다.

국내 시중 은행들이 안티피싱 서비스에 눈을 돌리는 것은 관련 피해 사례가 잇달아 발생하고 있기 때문이다. 실제로 올해 초 국민은행과 농협의 인터넷뱅킹 이용자 5천명의 공인인증서가 유출되는 사고가 발생했다. 피싱 사이트에 현혹된 이용자들이 개인정보와 보안카드 비밀번호를 순순히 입력하면서 발생한 사고였다.

한국씨티은행 역시 비슷한 홍역을 겪었다. 온라인 신용카드 결제대행시스템 해킹을 막지 못해 이용자 정보를 유출된 것. 특히 이 중 20명의 계좌에서 5천여만원이 무단 결제되는 사상 초유의 사태로 이어져 큰 충격을 안겨줬다.

이런 피해 사례가 보고되면서 안티피싱 대책이 초미의 관심사로 떠오르고 있다.

이미 '노피싱'이란 서비스를 도입한 신한은행 외에도 우리은행이 6월말까지 안티피싱 서비스 준비 작업을 마무리한다는 방침을 세웠다. 이에 따라 하반기부터는 우리은행에서도 피싱과 파밍 공격을 막는 서비스를 받을 수 있게 될 전망이다.

다른 은행들도 발빠르게 움직이고 있다.

국민은행과 하나은행은 지난 해부터 안티피싱 관련 솔루션과 기술 검토 작업을 진행하고 있다. 이들은 현재 어떤 형태로 안티피싱 서비스를 할 지 내부적으로 논의하고 있다. 하지만 정확한 서비스 시점은 아직 정하지 않았다고 밝혔다. 기업, 외환, 한국씨티은행과 농협도 안티피싱 서비스를 제공한다는 데는 뜻을 같이하고 있다.

금융보안연구원 보안기술팀 성제모 팀장은 "적용 시점이 다를 뿐 (은행들이) 안티피싱을 속속 적용할 것으로 보인다"고 전했다.

◆인터넷 뱅킹 늘면서 관심 급증

피싱이 관심의 초점으로 떠오르고 있는 것은 인터넷 뱅킹 비중이 커지고 있는 것과도 무관하지 않다. 실제로 올해 들어 인터넷 뱅킹은 사상 처음으로 창구 거래 규모를 앞지를 정도로 비약적인 성장세를 보였다.

한국은행 자료에 따르면 3월 말 현재 국내 19개 금융회사의 인터넷뱅킹 비중은 22.2%로 창구 거래 비중(21.7%)을 처음으로 앞질렀다. 또 올해 3월 말 현재 19개 금융회사에 등록된 인터넷뱅킹 고객은 3천811만 명으로 지난 해 말에 비해 6.1% 늘었다.

상대적으로 비용이 적게 드는 인터넷 뱅킹을 적극 확장하려는 은행들에겐 피싱이 눈엣가시 같은 존재가 아닐 수 없다. 물론 은행들은 그 동안도 피싱이나 파밍 공격에 대한 위험성을 인지하고 경고문을 발송하는 등 인식확대를 위해 노력해 왔다.

하지만 최근 들어 수법이 지능적으로 바뀌면서 이런 대책만으로는 피싱을 퇴치하기 힘든 상황이 됐다. 이에 따라 은행들은 전문 안티피싱 솔루션을 제공해 피싱 공격을 '시스템'적으로 차단하는 데 무게를 두고 있는 것이다.

◆안티피싱 제품, 어떤 것들이 있나?

안티피싱은 크게 단독 제품과 기존 보안 소프트웨어에 피싱 기능을 통합한 것으로 나눌 수 있다. 단독 제품을 출시한 것은 신한은행에 노피싱을 공급한 소프트런과 소프트포럼(클라이언트키퍼 피싱프로)이 대표적이다. 반면 인젠(시큐플렛 브이아이피)ㆍ화이트코어(화이트얼럿)ㆍ시만텍코리아(노턴컨피덴셜) 등은 기존 보안소프트웨어에 피싱 기능을 통합했다.

◇안티피싱 소프트웨어 분류

분류 기능
도메인 보안 ▲블랙리스트 방식▲화이트리스트 방식▲실제 IP 비교를 통한 서버의 물리적 위치정보 제공▲키워드를 통한 필터링
콘텐츠 분석 보안 ▲정상적인 도메인에서의 피싱 차단▲게시판 및 메일 내용 분석을 통한 피싱 유도 내용일 경우 경고 또는 차단▲은닉 프레임 등 피싱 패턴 차단
경유 공격 차단 ▲지능적인 경유 공격 판단▲URL 패턴 분석을 통한 피싱 차단
사용자 환경 보호 ▲호스트 파일 임의 변경 차단▲시스템 변조 차단-지능적 공격 패턴 분석

◆상주 프로그램 형태가 주류

최근 등장하는 안티피싱 소프트웨어들은 주로 피싱 기능을 원천 차단하는 '상주 프로그램' 형태를 취하고 있다. 상주 프로그램이란 사용자의 PC에 프로그램을 설치하고 PC를 켜는 순간부터 끌 때까지 '감시'하도록 하는 방식. 피싱/파밍 공격의 특징이 사이트에 접속하는 순간 '낚이도록' 하는 경우가 많기 때문에 상주 프로그램이 효과적이란 인식에 따른 것이다.

현재 유일하게 안티피싱 서비스를 제공하고 있는 신한은행의 경우 노피싱 프로그램을 사용자의 PC에 설치하도록 안내하고 있다. 노피싱을 설치하면 신한은행 사이트를 벗어나거나 인터넷을 하지 않더라도 노피싱 프로그램은 '살아 남아' 피싱 공격을 감시한다.

물론 안티 피싱 프로그램이 '상주 방식'만 있는 것은 아니다. 국민은행이 고려중인 것으로 알려진 '사이트 키' 방식도 안티 피싱 프로그램들이 택하고 있는 방식 중 하나다.

이 방식은 사용자가 아이디를 입력하면 예전에 스스로 등록했던 이미지를 먼저 보여주게 된다. 사용자는 사이트에서 띄운 이미지를 보고 자신이 예전에 입력했던 이미지와 일치하면 이 사이트가 진짜가 맞다고 판단하고 이후 암호를 입력하는 본인 인증단계로 넘어가게 된다.

미국의 뱅크오브아메리카도 이 방식을 통해 사용자들에게 안티피싱 서비스를 제공하고 있다.

/강은성기자 esther@inews24.com




주요뉴스



alert

댓글 쓰기 제목 [시험대 오른 안티피싱-상]안티피싱 시대 온다

댓글-

첫 번째 댓글을 작성해 보세요.

로딩중

뉴스톡톡 인기 댓글을 확인해보세요.



포토뉴스