개콘 '황해'가 내 일이 되지 않게 하려면

현장속으로/세미나 2013.09.23 07:00

지난 7월 10일부터 7월 12일 2박3일간 대학생 금융보안 캠프가 열렸다. 천안 KB국민은행 연수원에서 이루어진 이 캠프는 미래 정보기술 환경에 능동적으로 대처하는 금융보안전문가 양성을 위해 금융감독원, 금융보안연구원이 개최하였다.

올해로 4회를 맞이한 이 캠프는 금융보안 및 취업 관련 세미나, 금융회사 it담당자, 정보보호 관련 종사자들과의 토론, 금융회사, OTP통합 인증센터 등 현장 견학이 진행되었던 금융보안캠프는 금융보안에 관심 있는 대학생 100명이 참여하였다.

캠프에서 다양한 전문가들이 금융보안에 대한 세미나가 있었는데, 장재환 금융보안연구원 팀장의 "전자금융 위협과 대응방안, 사고사례"의 발표를 소개한다.

유사 도메인과 피싱

피싱사이트는 가짜사이트를 만들어 금융거래에 필요한 정보를 공격자들이 수집을 하여 도용해 자동이체 등의 금전적 피해를 주는 공격방법이다. 예전에는 포털사이트나 중소기업 사이트의 취약점을 이용하여 정보를 입력받았지만, 최근 금융회사 사이트들이 증가하면서, 금융회사 도메인주소와 유사한 도메인주소를 만들어 공격하는 방법이 트렌드가 되었다. 이를 통해 사용자에게 의심없이 정보를 입력받는것이 활성화 되었다.

예를 들어 card-nonghyupd.com와 같이 도메인주소를 금융회사 도메인과 유사하게 등록하고, 사이트의 디자인 역시 해당 금융회사 사이트와 똑같이 만든다. 그리고 그 사이트에 중요정보(카드정보, 계좌번호, 비밀번호 등)를 입력하게 유도하여 정보를 유출한다.

실제로 이러한 사이트의 출처는 미국이 상대적으로 가장 많은 42%를 차지 하고 있으며, 일본, 홍콩 순으로 아시아 국가들이 다수를 차지한다. 미국이 가장 비율이 많은 이유는 피하기가 쉽고, 국내수사가 어려운 장점이 있기 때문이다.

피싱의 특징은 유사 도메인 사용, 유사 페이지 생성, 개인(금융)정보 요구로 요약된다. 금융회사 도메인 명과 유사한 도메인을 생성하거나 금융회사 홈페이지 구성과 거의 같은 페이지를 생성하여 보안카드 일련번호, 비밀번호, 계좌번호 등 금융 거래에 필요한 모든 정보를 요구하는 것이다.

이러한 피싱 사이트를 탐지하는 기술에는 유사 도메인 검색과 HTTP Referer 분석이 있다. 유사 도메인 검색은 최상위 도메인(.com, .net)에 등록되는 도메인 중 금융 회사 도메인과 유사한 도메인을 검색(ex, %kbstar%, %woori%, %shinhan% )하여 피싱사이트를 탐지한다. 검색된 유사 도메인의 정보를 바탕으로 금융거래정보 입력요구, 사이트 내 문구 등으로 피싱 사이트 여부를 탐지한다. (스마트폰 피싱사이트의 경우 단축 URL 사용으로 사전 탐지가 어려운 점이 있다.) 피싱사이트의 여부가 판단되면 KISA나 금융권에 통보를 해 준다.

HTTP Referer 분석은 피싱 사이트와 더욱 유사하게 보이기 위해 원사이트 이미지, 게시글 등 링크를 통하여 피싱 사이트를 탐지하는 기술이다. 

악성코드와 파밍

파밍은 자신은 정상적인 사이트라 생각하고 접속을 하지만, 해커에 의한 피싱사이트에 접속되게 된다. 파밍은 악성코드에 감염되는 것을 차단해 예방해야한다. 파밍의 유도경로는 주로 파일공유 사이트이다. 파밍을 통한 금융정보 유출 악성코드를 분석해보면, 이전의 악성코드와 유사하나, 좀 더 정교한 피싱사이트와 연계하여 동작을 한다. 현재, 많은 변종이 유포 중에 있으므로, 스팸 메일 열람, 음란물 다운로드 등에 의한 악성코드 감염을 조심해야 한다.

<악성코드에 의한 파밍의 진행 과정>

-대부분이 웹 사이트 변조를 통해 불특정 다수를 감염대상으로 함

-악성 파일 실행 시 윈도우 자체 취약점 및 백신 무력화 루틴을 통한 악성코드 자가보호 기능 탑재

-관리자 계정 생성 및 원격 접속 (RDP)을 수행

-정상적인 뱅킹 URL 요청 시 피싱사이트로 접속

-SendMessage를 통한 URL 변조 -> 정상적인 URL로 보이게 함 

스마트폰 기반 서비스 보안 위협 및 대응

스마트폰은 사용하기는 편리하나 보안위협요소들이 굉장히 많다. 스마트폰에 금융서비스가 등장하면서 암호화나 백신의 필요성논란이 있었지만, 스마트폰은 PC만큼이나 이용이 많이 되므로 보안도 반드시 필요하다. 따라서 이용자 PC와 똑같은 수준에서 보안위협을 봐야하며 보안대책을 세워야한다. 실제로 스마트폰의 분석 결과 pc와 같은 위협들이 발생한 것을 알 수 있다.

 

<스마트폰 전자 금융서비스 보안 고려사항>

-OS 플랫폼 변조 여부 탐지 및 차단 기술 적용

-중요 입력정보 보호 수단 적용(가상키패드 등)

-파일 시스템 내 금융정보 노출 방지

-전송구간 데이터 암호화 적용

-피싱 및 악성코드 예방 대책 적용 등

또한 최근 스마트폰 악성앱이 증가하고 있다. 악성앱은 악성코드와 유사하지만 조금 다르다. 악성코드도 쓰이지만 위배된 앱을 사용한다. 문자를 가로채는 앱을 통한 소액결제 사기, 파밍기법을 이용한 금융정보 입력 요구 등으로 주요 금융거래 정보 유출 및 금전적 피해가 발생하고 있다. 따라서 마켓에서 앱을 설치할 때와, 스미싱 url클릭으로 원치 않는 악성앱이 설치되므로 주의해야한다.

APT(Advanced Persistent Threats)

APT는 서버정보를 이용해 취약점을 찾아내 서버를 공격할 수 있는 악성코드를 보내고, 악성코드는 특정 시점에 특정 서버 공격을 수행하게 된다.

APT의 공격 대상은 정부기관(정부 내 기밀 문서 탈취, 군사 기밀 문서 탈취), 사회 기간 산업 시설(사이버 테러리즘 활동, 사회 기간 산업 시스템의 동작 불능), 정보 통신 기업(기업 지적 자산 탈취, 기업 영업 비밀 탈취), 제조 업종 기업(기업 지적 자산 탈취, 기업 영업 비밀 탈취), 금융 업종 기업(사회 금융 시스템의 동작 불능, 기업/개인 금융 자산/정보 탈취) 등으로 매우 다양하다.

APT의 피해예방을 줄이는 방법은 취약점 점검을 지속적으로 하는 수 밖에 없다. 특히 이용자가 많이 접속하는 서버에 악성메일이 오지 않도록 예방교육도 필요하다. 실제로 악성코드가 담긴 메일을 통해 공격을 당하는 경우가 많으며 이같은 방법은 한명이 감염되면 내부사람 전체가 감염될 수 있기 때문에 주의가 필요한 부분이다.

끝으로, 전자금융을 위협하는 보안위협은 지속적으로 이어짐에 따라 주기적인 모니터링 강화가 필요하며 피싱, 파밍 등 기존의 위협들에서 한 단계 발전한 공격들에 대한 대응방안 역시 필요하다.

스마트폰, 태블릿 PC 등 새로운 기기와 채널을 통한 전자금융이 발전함에 따라 관련된 보안 위협 또한 증대 되고 있는것이 현실이다. 새로운 기술의 발전에 따라 해킹 기술 또한 발전하고 있어 이에 따른 지속적인 보안기술 개발과 관련 담당자들의 관심이 필요할 것이다. Ahn

 

 대학생기자 박서진 / 서울여대 정보보호학과

 끝없이 노력하고 끝없이 인내하고 끝없이 겸손하자.

 

댓글을 달아 주세요