피싱사기와 복합적인 해킹 등 개인정보와 금전적인 이득을 노린 신종 공격으로부터 안전하게 인터넷뱅킹을 이용할 수 있는 새로운 전자금융거래 보안솔루션이 등장했다. 잉카인터넷(대표 주영흠)은 “안전한 전자금융거래를 위해 기존의 단일 보안 솔루션을 이용한 대책을 뛰어넘는 새로운 전자금융거래 보안체계가 필요하다”면서, 새로운 양방향 확인거래 시스템, 입력정보 보호 솔루션 등 신제품을 선보인다고 6일 밝혔다. 잉카인터넷이 선보이는 신제품은 ▲양방향 확인거래가 가능한 사전 ARS 시스템인 ‘오케이콜’ ▲비밀번호 보안 솔루션인 ‘P-프로텍트’ ▲계좌번호 보호 솔루션인 ‘A-프로텍트’ ▲소리를 이용한 카드형 일회용비밀번호생성기(OTP)인 ‘애니OTP’ 등으로, 모두 기존의 보안 제품과는 전혀 다른 개념의 솔루션이다. ◆새로운 뱅킹시스템 필요하다=‘엔프로텍트’로 인터넷 뱅킹 실시간 온라인 고객 해킹 차단 솔루션 시장을 창출했던 잉카인터넷은 신종 공격 유형 변화와 전자금융거래 시행 시대를 맞이하면서 “새로운 보안체계가 필요하다"며 "새로운 솔루션으로 신개념 인터넷 뱅킹 보안 시장을 열겠다”고 선언했다. 잉카인터넷에 따르면, 2005년을 기점으로 해커 한명이 피싱, 전화사기, 중간자(MITM, Man in the middle) 공격 등 다양한 사회공학적인 방법으로 다수의 피해자를 발생시키는 복합적인 새로운 해킹 유형이 등장하고 있다. 이러한 공격은 그 강도와 파급효과가 매우 위협적이기 때문에, 앞으로 전자금융거래 이용자들의 피해를 예방하기 위한 전방위적, 총체적 대안이 필요하다. 기존의 전자금융거래 사용자 해킹을 위해서는 키입력값을 절취하는 프로그램인 키로거나 스파이웨어를 이용한 계정 탈취, 네트워크 스니핑을 이용한 도청 등과 같은 단순하고 전통적인 기법이 사용됐다. 하지만 최근에는 공격 대상이 광범위하고, 피싱, 중간자 공격, 트로이목마, 스파이웨어를 결합하는 복합적인 기술을 이용한 해킹이 이뤄지고 있다. 지난달 발생했던 두개 은행 피싱 공격은 웹해킹, 트로이목마와 결합하는 복합적인 기술이 사용된 대표적인 사례로, 웹 취약점 제거나 개인방화벽·백신의 사용 등과 같은 보안체계를 적용할 수 있지만 사실상 이러한 신종 공격 기법을 방어할 수는 없는 것으로 드러나 새로운 체계의 필요성을 절감케 했다. 또한 올해 이용자 보호 범위가 확대되고 거래과정에서 발생한 사고로 입은 이용자 피해 책임을 금융기관에 묻는 규정이 담긴 전자금융거래법을 악용한 공격도 발생할 수 있어, 이에 대한 대안도 마련해야 한다. 전자금융거래법을 악용하는 경우는 이용자가 직접 거래를 수행했음에도 불구하고 그 사실을 부인하고 해킹 피해로 위장하거나 접근매체를 분실이나 도용에 의한 피해로 주장해 보상을 요구하는 것 등을 예상할 수 있다. 잉카인터넷의 유인향 이-비즈사업본부 차장은 “신종 공격과 금융기관 무과실 책임을 입증해야 하는 법규정을 이용한 범죄사기를 막기 위해서는 상호 거래 승인 과정과 계좌번호·비밀번호 정보 노출을 원천 방지하기 위한 새로운 입력체계가 필요하며, 피싱과 중간자 공격에 취약한 기존 솔루션의 약점을 보완해야 한다”며, “잉카인터넷은 새롭게 발생하는 전자금융거래 위험을 감소시킬 해법을 연구해온 끝에 새로운 솔루션들을 개발하게 됐다”고 설명했다. ◆새로운 전자금융거래 보안시장 창출한다=잉카인터넷이 새로운 전자금융거래 보안 솔루션으로 내놓은 신제품은 ▲양방향 확인거래 시스템 ▲새로운 정보입력 시스템 ▲추적 및 로그분석 시스템 3종이다. 이 중에서 양방향 확인거래가 가능한 사전 ARS 시스템인 ‘오케이콜’과 비밀번호·계좌번호 보호 솔루션인 ‘P-프로젝트’와 ‘A-프로젝트’, 추적 및 로그분석 솔루션인 ‘엔프로텍트 시큐로그마스터’는 이미 출시해 지난해 말까지 국민은행에 모두 적용했다. ‘오케이콜’은 인터넷뱅킹 이용자가 계좌이체 단계에서 직접 전화를 이용해 ARS 승인 후 실행토록 하는 시스템으로, 이체가 발생하기 전에 승인을 요청하기 때문에 거래 부인을 방지할 수 있으며 데이터 조작이나 불법이체, 피싱도 차단할 수 있다. ‘P-프로텍트’는 매번 바뀌는 랜덤한 문자열을 배열하고 비밀번호와 매핑되는 문자를 입력하는 방식을 제공하는 솔루션으로, 비밀번호 숫자를 직접 입력하지 않고 새로운 해당 문자열을 누르기 때문에 정보 유출을 방지한다. ‘A-프로텍트’는 키패드를 이용해 비밀번호와 매칭되는 영문자를 마우스로 입력하는 방식을 제공하는 솔루션으로, 입력된 데이터는 이중으로 암호화돼 정보유출을 사용하고 중간자 공격을 차단해 입금계좌 위변조를 방지한다. 입금계좌 브라우저의 표준스크립트를 이용해 설치프로그램이 없어 타프로그램과 충돌 우려 등 사용자 PC환경과 무관하다는 장점을 갖고 있다. ‘엔프로텍트 시큐로그마스터’는 인터넷뱅킹 사용자 통합관제/로그분석 솔루션으로, PC보안모듈 작동 상태나 바이러스·해킹툴 여부, 인증서 관리상태 등을 모니터링하고 로그관리도 수행한다. 잉카인터넷은 2월 중 하반기 소리를 이용한 시간동기화(Time-Sync) 방식의 새로운 카드형 OTP 제품인 ‘애니OTP’도 선보일 예정이다. ‘애니OTP’는 카드형으로 만들어져 있어 휴대·사용·보관이 간편하며, 일반 시간동기화 방식과 함께 소리로도 비밀번호를 생성한다는 특징이 있다. 일회용 비밀번호 숫자에 해당하는 아날로그 소리를 디지털화해 인증서버와 통신, 인증하는 구조로 돼 있어, 해커가 트로이목마를 사용자 PC에 설치해 중간에서 입력값을 가로채거나 IP를 변조시키는 중간자 공격이나 피싱 공격에도 안전하다. 시간동기화 방식의 인증 서버는 미래테크놀러지 제품을 사용한다. 이밖에도 잉카인터넷은 올 하반기 새로운 안티피싱 솔루션 신제품도 출시할 예정이다. 주영흠 잉카인터넷 사장은 “잉카인터넷은 온라인 보안서비스(ASP) 제품으로 처음 국내 인터넷뱅킹 보안 사업을 시작해 지금까지 보안을 담당해왔다”며, “지난 6~7년 동안 축적한 노하우를 바탕으로 보안위협 환경 변화에 맞게 새롭게 요구되는 전자금융거래 보안 솔루션 시장을 창출할 것”이라고 말했다. <이유지 기자> yjlee@ddaily.co.kr