[디지털데일리 이민형기자] 파밍, 스미싱, 메모리해킹 등 지난해 보안업계를 강타한 신종 전자금융사기로 인해 금융권의 대응이 분주해지고 있다.

전자금융거래는 본인 확인 과정이 원격에서 이뤄지고, 진정거래 여부 역시 비대면채널에서 이뤄지기 때문에 본질적으로 금융사기에 취약할 수 밖에 없다.

몇 년 전까지만 하더라도 전화 등을 통해 개인정보를 탈취하거나 가짜 사이트에 돈을 입금하게 만드는 보이스피싱이 가장 큰 문제가 됐으나 정부와 금융권의 노력으로 인해 보이스피싱에 대한 피해는 점차 줄어들고 있다. 하지만 최근 공격자들은 보다 고도화된 방법으로 사용자들의 금전을 노리고 있다.

이러한 상황에 가장 난색을 표하고 있는 곳은 바로 금융회사다. 지난해 11월 전자금융거래법 개정안 시행으로 인해 전자금융거래 사고 발생시 1차적인 책임을 금융회사가 지게 됐기 때문이다.

책임소재에 대한 면책조항이 있으나 소비자 과실을 증명할 책임이 금융회사에 있다. 따라서 법조계를 비롯한 보안업계에서는 금융회사가 스스로 전자금융사기 예방 솔루션을 도입하는 것이 올바른 수순이라고 입을 모은다.

보안업계에 따르면 주요 은행들이 소비자들의 전자금융사기 예방을 위해 2채널인증, 브라우저 암호화(샌드박스) 도입에 한창이다.

2채널인증은 전자금융서비스를 이용 시 사용되는 PC 이외의 인증 수단을 뜻한다. 흔히 보안카드와 일회용비밀번호생성기(OTP) 등이 사용돼 왔다. 금융보안연구원에 따르면 지난해 3분기 기준 OTP 발급건수는 약 800만 건으로 집계됐다. 이 수치는 올해 더욱 증가할 것으로 보인다.

금융회사들은 여기에서 한발 더 나아가 2채널인증을 인터넷뱅킹 시스템과 통합해 구축한다는 계획이다. 구축 방법으로는 그래픽인증, 모바일 애플리케이션 인증, QR코드 인증, ARS 인증 등이 거론되고 있다.

현재 우리은행과 신한은행, 부산은행이 디멘터의 그래픽 인증 솔루션을 도입했다. 그래픽 인증 솔루션은 개인정보입력 이전 사용자가 설정한 이미지를 통해 정상 사이트 여부를 알 수 있도록 해 파밍, 피싱 공격에 의한 피해를 방지할 수 있다.

금융회사들은 모바일 앱을 통한 2차 인증 방식도 고민하고 있다. 인터넷뱅킹에서 1차로 인증을 하고, QR코드나 애플리케이션 등을 통해 2차로 인증을 하는 방식이다. 이같은 방식은 PC가 악성코드에 감염되더라도 인증 정보가 탈취되지 않는다는 강점이 있다.

해당 솔루션을 보유한 소프트포럼, 이지서티 등은 은행들을 대상으로 적극적인 영업에 나서고 있다. 소프트포럼 관계자는 “일부 은행들이 해당 솔루션을 도입해 서비스하고 있으나 유료라는 측면에서 아직 널리 활성화되진 않고 있다”며 “하지만 솔루션을 도입한 은행들의 예방 효과가 탁월해 앞으로 지속적인 주목을 받을 것으로 예상된다”고 전했다.

이어 “특히 최근 SMS를 탈취하는 악성 앱의 등장으로 SMS 인증 방식에도 빨간불이 들어왔다. 새로운 형태의 2채널인증이 필요한 시기”라고 덧붙였다.

하지만 이러한 방식은 메모리해킹에는 크게 도움이 되지 않는다. 사용자가 웹브라우저에서 어떠한 행위를 하는지 공격자가 모두 파악할 수 있기 때문이다.

이니텍은 지난해 웹브라우저의 메모리 영역을 보호할 수 있는 솔루션을 출시했다. 이니세이프 샌드박스로 불리는 이 솔루션은 인터넷뱅킹 서비스를 보호된 메모리에 상주(샌드박스)시켜 무결성을 확보할 수 있다.

예를 들어 구글 크롬 브라우저에서 마이크로소프트 인터넷익스플로러 확장기능을 사용해 전자금융서비스를 사용할 경우 크롬에 올라갔던 서비스의 프로세스가 확장기능으로 옮겨가게 된다.

만약 악의적인 확장기능이 설치돼 있다면 해당 영역에서 입력되는 모든 정보는 공격자에게 넘어가게 된다. 이러한 경우를 막을 수 있다는 것이 이니텍의 설명이다.

과거 등장한 시큐어 브라우저와 콘셉트는 유사하나 메모리 영역을 보호한다는 점에서 샌드박스 형태가 보다 진보한 것이다. 현재 이 솔루션은 신한은행 개인인터넷뱅킹에 적용돼 있다.

안랩은 실시간 웹보안 프로그램 ‘사이트가드’를 무료로 공개했다. 사이트가드는 악성코드 감염의 80% 이상이 웹사이트 접속을 통한 감염이라는 것을 인지하고, 웹페이지에 접속할 때마다 악성코드 삽입 여부를 검사해주는 기능이다.

한편 피싱 예방을 위해 국제서버인증서(EV SSL)를 도입하는 것은 이제 기본이 됐다. 현재 모든 시중은행이 EV SSL 도입을 완료했다.

올해 전자금융사기 예방 솔루션 시장의 개화가 기대됨에 따라 관련업계의 행보에 귀추가 주목된다.

<이민형 기자>kiku@ddaily.co.kr