본문 바로가기

Security Indicator

텔레뱅킹 -해킹

참 재밌습니다.

얼마전 인터넷 종량제에 관한 글을 올렸었는데 거기에 프레킹이라는 용어가 나옵니다. 다이얼의 숫자를 누르면 일정한 톤이 있고 이 톤을 역으로 추적하면 어떤 숫자를 눌렀는지는 금새 나오죠. 이런 형태로 공격이 일어나고 정보를 도용하는 사례가 발생한다면 대책이 뭐가 있을까요?.. 개인 전화마다 비화기를 달아야 되는 것은 아닌지.. 정말 그렇습니다.

 

기술의 발전이 급격하게 발전하는 이때에 문제는 더욱 더 많이 발생할 것임을 쉽게 예측할 수 있습니다. 엄격하게 테스트 되지 않은 도구의 출현 및 검증 되지 않은 솔루션이나 장비들의 출현은 많은 위험을 가지게 될 것입니다.

일단 빠른 성장 및 가시적인 결과에만 눈을 맞추는 우리 나라의 IT 분야는 더욱 그런 과정을 겪게 되겠죠. 아마도 앞으로 보안적인 이슈가 매우 많이 발생할 것이라 예측 됩니다.

 

며칠 전 뉴스에서 내년쯤이면 1가정 1로봇 시대가 된다고 하더군요. 대당 백만원 가량하는 로봇을 사용할 수 있을 것이라 하던데.. 네트워크로 연결되어 비용이 저렴하다고 하던데 저는 그 뉴스를 보는 순간 앞으로 얼마나 많은 문제가 발생할 것인가 하는 생각만 머리 속을 지배하더군요. 2002년쯤에 기반시설의 보안에 관련된 공개 문서를 썼었는데 그 현실이 성큼 앞으로 다가온 느낌입니다.

 

업은 업인지라.. 이 분야를 스스로 선택을 했으므로 지금도 감당하고 있지만 누구에게도 권하고 싶지 않을 정도로 부담이 많이 가는 분야가 보안이라고 생각합니다. 해야 할 것들도 많구요. 하다못해 프로그래밍 기법이나 언어의 발전만도 눈이 돌아갈만큼 많은 기법들이 나옵니다. 또한 신종 기술은 날마다 나오죠. 무선이니 RFID 이니 하는 DMB 니 하는 기술요소들은 많은 부분을 고려해야만 합니다. 따라 가기도 벅찬데..이런 부분에 보안을 고려 해야 한다면 정말 경쟁은 대단해 집니다.  한 분야의 전문가가 되기도 어려운 마당에 여러 분야를 전문가 레벨로 해야 한다는 부담은 정말 장난 아닙니다. 요구 수준도 매우 높구요.

 

 

앞으로는 또 얼마나 많은 발전과 굴곡이 존재할까요?

IT 분야의 새로움은 그에 따른 굴곡을 가지게 마련인데 얼마나 많은 것이 기다리고 있을까 하는 생각에 설레이기도 하고 지겹기도 합니다.

 

오늘 하루도 좋은 하루 되시길..

 

 

===========================================================

 

http://news.naver.com/news/read.php?mode=LSS2D&office_id=138&article_id=0000000552&section_id=105&section_id2=283&menu_id=105

 

이달초 외환은행의 인터넷 뱅킹 시스템이 `넷데블‘이라는 프로그램에 뚫린 금융사고가 발생해 금융권 시스템 보안이 업계 이슈로 부상하고 있는 가운데, 보편적인 금융방식 가운데 하나인 텔레뱅킹(폰뱅킹)을 통한 금융거래도 해킹에 무방비로 노출돼 있는 것으로 지적돼 대책마련이 시급하다.

 

30일 업계에 따르면, 최근들어 일반전화를 통한 소액의 텔레뱅킹 해킹 사례가 가입자의 전화 단자함을 통해 빈번히 발생하고 있어 은행들에서 골머리를 앓고 있다.

 

지금까지 대부분의 은행에서는 텔레뱅킹 해킹 사례가 발생하고 있지만 규모가 소액이거나 건수가 적어 대외적으로 알리지 않고 내부적으로 손실을 보전해 주는 방식으로 처리하고 있는 것으로 알려졌다.

 

현재 국민, 신한, 조흥, 기업 등 국내 대부분의 시중 은행들은 텔레뱅킹 해킹 방지를 위해 주민등록번호, 계좌번호, 비밀번호, 보안카드 등을 누르도록 하는 4~5단계의 사용자 인증절차를 거치고 있는 것으로 조사됐다.

 

하지만 업계 전문가들은 현재 은행이 사용하고 있는 4~5단계의 보안책으로는 전화선 도청을 통한 DTMF(Dual Tone Multiple Frequency) 해킹의 경우, 대부분 도감청이 가능해 원천적인 보안책이 될 수 없다고 지적한다.

 

특히 최근 등장하는 텔레뱅킹 해킹 방식은 전화기 단자함에 도감청 장치를 부착해 관련 데이터를 불법 채집하고 있어 방어 또한 쉽지 않은 것으로 전해졌다.

 

이에 대해 업계에서는 텔레뱅킹의 다이얼톤을 통한 해킹을 방어하기 위해서는 시스템적으로 다이얼톤 주파수를 감지하지 못하도록 하는 장비의 개발이 필요할 것으로 보고 있다.

 

해킹 방식=현재 주류를 이루고 있는 전화단자함 도감청 기술은 기존 흥신소(심부름센터) 등에서 주로 사용하던 전화 도감청 방식으로 PC 등 디지털기기와 결합돼 신종 텔레뱅킹 해킹 방식으로 사용되고 있다.

 

DTMF(Dual Tone Multiple Frequency)를 이용한 해킹은 전화기의 다이얼톤에서 발생하는 고주파수와 저주파수군의 조합에서 생성되는 다이얼패드 키톤의 주파수 신호를 감지하는 방식으로 해커는 전화선에 도청기를 설치해 가입자가 누르는 번호를 모두 디지털로 해독해 해킹하는 방식이다.

 

가입자가 통장 계좌번호에서 부터 비밀번호, 인증키 등 전화기 버튼을 누르는 동안 모든 숫자는 고스란히 해커들의 PC에 저장되는 것이다. 실제 은행들에서 사용하는 다양한 인증체계 및 방식은 원천적인 해킹 방어책이 될 수 없다는 게 관련 업계 전문가들의 지적이다.

 

이처럼 해커들이 주로 사용하는 DTMF 전화방식이 해킹에 취약한 것은 DTMF가 전세계적으로 공통된 규격을 갖고 있으며, 관련 기기의 판매가 일반화돼 있다는 점과 네트워크상에서 발생하는 도감청은 증거가 남지 않기 때문에 검거가 쉽지 않다는 취약점이 있다.

 

최근 자주 이용되는 해킹방식중 하나인 직접연결의 경우는 전화기 단자함에 접속할 수 있는 장치로 자체 메모리를 내장하고 있으며, 데이터의 실시간 시리얼 전송도 가능하다. 따라서 해커가 원격지 PC모니터를 통해서도 실시간으로 전송되는 텔레뱅킹 원천 데이터를 가로채 불법 이체나 송금을 할 수 있게 된다.

 

은행들 대책마련 골몰=사실상 DTMF를 이용한 가입자 단자함 해킹에 무방비 상태인 대부분의 은행들은 사용시마다 비밀번호가 새로 생성되는 원타임패스워드(OTP)를 비롯한 지정번호제 등의 시스템으로 텔레뱅킹 보안 강화에 나서고 있는 상황이다.

 

국민은행은 현재 계좌번호 및 비밀번호, 주민등록번호, 보안카드 번호 입력 등 4~5단계의 보안책을 마련하고 있으며, 최근 불거지는 텔레뱅킹 시스템 보안 강화 차원에서 원타임패스워드, 출금계좌번호 지정 등의 보안 시스템 도입을 추진하고 있다.

 

신한은행은 4~5 단계의 기본 보안책을 포함해 발신자 지정번호제, 모바일 원타임패스워드(OTP), 송금한도 제한 등의 대책을 도입키로 했다. 이 회사 관계자는 “텔레뱅킹 보안을 위해 다른 보안책도 찾고 있다”고 말했다.

 

조흥은행 또한 현재 4~5단계의 시스템의 보강을 위해 OTP카드를 개발하고 있으며, 모바일 인증과 화자인증, SMS 통보기능, 사용자번호지정 등 다양한 방식 도입을 추진하고 있다. 특히 사고 등에 빠른 대응을 위해 SMS 통보 시스템 개발을 완료하고 파일럿 시스템 형태로 적용하고 있다.

 

기업은행은 주민등록번호나 보안카드 등 기존 방식이외에도 현재 OTP도입을 위해 개발 업체 선정에 나서고 있다. 기업은행의 OTP 도입은 2~3개월 후 도입될 것으로 보인다.

 

정부 대책, 텔레뱅킹 통한 해킹은 제외 돼=최근 넷데블 등을 통한 키스트로킹 방싱의 인터넷 뱅킹 사고 발생에 따라 정보통신부와 산업자원부, 금융감독위원회, 금융감독원, 한국정보보호진흥원 등은 공동으로 관련 태스크포스팀을 구성해 운영키로 했다.

 

TFT에서는 일단 ▲전자거래시스템 안전성 분석과 ▲해킹 프로그램 분석 ▲공인인증서 관리체계 개선 등의 실태조사와 그에 따른 안정성 강화방안을 마련키로 했다.

 

하지만 이 TFT에서는 대중적인 금융거래 방식중 하나인 텔레뱅킹으로 인한 금융사고 방어 및 안정화 방안은 현재 포함하지 않고 있다.

 

이와 관련해 정통부 관계자는 “현재 TFT에서는 인터넷 뱅킹에 초점을 맞추고 있어, 텔레뱅킹 보안에 대한 1차적인 계획은 없다”면서 “하지만 TFT가 다방면에서 금융사고를 예방하기 위해 구성됐기 때문에 관련 문제가 제기되면 TFT에서 논의할 수 있다”고 말했다.

 

<길섭 기자> seobi@ddaily.co.kr

안길섭기자