개콘 '황해'가 내 일이 되지 않게 하려면

현장속으로/세미나 2013.09.23 07:00

지난 7월 10일부터 7월 12일 2박3일간 대학생 금융보안 캠프가 열렸다. 천안 KB국민은행 연수원에서 이루어진 이 캠프는 미래 정보기술 환경에 능동적으로 대처하는 금융보안전문가 양성을 위해 금융감독원, 금융보안연구원이 개최하였다.

올해로 4회를 맞이한 이 캠프는 금융보안 및 취업 관련 세미나, 금융회사 it담당자, 정보보호 관련 종사자들과의 토론, 금융회사, OTP통합 인증센터 등 현장 견학이 진행되었던 금융보안캠프는 금융보안에 관심 있는 대학생 100명이 참여하였다.

캠프에서 다양한 전문가들이 금융보안에 대한 세미나가 있었는데, 장재환 금융보안연구원 팀장의 "전자금융 위협과 대응방안, 사고사례"의 발표를 소개한다.

유사 도메인과 피싱

피싱사이트는 가짜사이트를 만들어 금융거래에 필요한 정보를 공격자들이 수집을 하여 도용해 자동이체 등의 금전적 피해를 주는 공격방법이다. 예전에는 포털사이트나 중소기업 사이트의 취약점을 이용하여 정보를 입력받았지만, 최근 금융회사 사이트들이 증가하면서, 금융회사 도메인주소와 유사한 도메인주소를 만들어 공격하는 방법이 트렌드가 되었다. 이를 통해 사용자에게 의심없이 정보를 입력받는것이 활성화 되었다.

예를 들어 card-nonghyupd.com와 같이 도메인주소를 금융회사 도메인과 유사하게 등록하고, 사이트의 디자인 역시 해당 금융회사 사이트와 똑같이 만든다. 그리고 그 사이트에 중요정보(카드정보, 계좌번호, 비밀번호 등)를 입력하게 유도하여 정보를 유출한다.

실제로 이러한 사이트의 출처는 미국이 상대적으로 가장 많은 42%를 차지 하고 있으며, 일본, 홍콩 순으로 아시아 국가들이 다수를 차지한다. 미국이 가장 비율이 많은 이유는 피하기가 쉽고, 국내수사가 어려운 장점이 있기 때문이다.

피싱의 특징은 유사 도메인 사용, 유사 페이지 생성, 개인(금융)정보 요구로 요약된다. 금융회사 도메인 명과 유사한 도메인을 생성하거나 금융회사 홈페이지 구성과 거의 같은 페이지를 생성하여 보안카드 일련번호, 비밀번호, 계좌번호 등 금융 거래에 필요한 모든 정보를 요구하는 것이다.

이러한 피싱 사이트를 탐지하는 기술에는 유사 도메인 검색과 HTTP Referer 분석이 있다. 유사 도메인 검색은 최상위 도메인(.com, .net)에 등록되는 도메인 중 금융 회사 도메인과 유사한 도메인을 검색(ex, %kbstar%, %woori%, %shinhan% )하여 피싱사이트를 탐지한다. 검색된 유사 도메인의 정보를 바탕으로 금융거래정보 입력요구, 사이트 내 문구 등으로 피싱 사이트 여부를 탐지한다. (스마트폰 피싱사이트의 경우 단축 URL 사용으로 사전 탐지가 어려운 점이 있다.) 피싱사이트의 여부가 판단되면 KISA나 금융권에 통보를 해 준다.

HTTP Referer 분석은 피싱 사이트와 더욱 유사하게 보이기 위해 원사이트 이미지, 게시글 등 링크를 통하여 피싱 사이트를 탐지하는 기술이다. 

악성코드와 파밍

파밍은 자신은 정상적인 사이트라 생각하고 접속을 하지만, 해커에 의한 피싱사이트에 접속되게 된다. 파밍은 악성코드에 감염되는 것을 차단해 예방해야한다. 파밍의 유도경로는 주로 파일공유 사이트이다. 파밍을 통한 금융정보 유출 악성코드를 분석해보면, 이전의 악성코드와 유사하나, 좀 더 정교한 피싱사이트와 연계하여 동작을 한다. 현재, 많은 변종이 유포 중에 있으므로, 스팸 메일 열람, 음란물 다운로드 등에 의한 악성코드 감염을 조심해야 한다.

<악성코드에 의한 파밍의 진행 과정>

-대부분이 웹 사이트 변조를 통해 불특정 다수를 감염대상으로 함

-악성 파일 실행 시 윈도우 자체 취약점 및 백신 무력화 루틴을 통한 악성코드 자가보호 기능 탑재

-관리자 계정 생성 및 원격 접속 (RDP)을 수행

-정상적인 뱅킹 URL 요청 시 피싱사이트로 접속

-SendMessage를 통한 URL 변조 -> 정상적인 URL로 보이게 함 

스마트폰 기반 서비스 보안 위협 및 대응

스마트폰은 사용하기는 편리하나 보안위협요소들이 굉장히 많다. 스마트폰에 금융서비스가 등장하면서 암호화나 백신의 필요성논란이 있었지만, 스마트폰은 PC만큼이나 이용이 많이 되므로 보안도 반드시 필요하다. 따라서 이용자 PC와 똑같은 수준에서 보안위협을 봐야하며 보안대책을 세워야한다. 실제로 스마트폰의 분석 결과 pc와 같은 위협들이 발생한 것을 알 수 있다.

 

<스마트폰 전자 금융서비스 보안 고려사항>

-OS 플랫폼 변조 여부 탐지 및 차단 기술 적용

-중요 입력정보 보호 수단 적용(가상키패드 등)

-파일 시스템 내 금융정보 노출 방지

-전송구간 데이터 암호화 적용

-피싱 및 악성코드 예방 대책 적용 등

또한 최근 스마트폰 악성앱이 증가하고 있다. 악성앱은 악성코드와 유사하지만 조금 다르다. 악성코드도 쓰이지만 위배된 앱을 사용한다. 문자를 가로채는 앱을 통한 소액결제 사기, 파밍기법을 이용한 금융정보 입력 요구 등으로 주요 금융거래 정보 유출 및 금전적 피해가 발생하고 있다. 따라서 마켓에서 앱을 설치할 때와, 스미싱 url클릭으로 원치 않는 악성앱이 설치되므로 주의해야한다.

APT(Advanced Persistent Threats)

APT는 서버정보를 이용해 취약점을 찾아내 서버를 공격할 수 있는 악성코드를 보내고, 악성코드는 특정 시점에 특정 서버 공격을 수행하게 된다.

APT의 공격 대상은 정부기관(정부 내 기밀 문서 탈취, 군사 기밀 문서 탈취), 사회 기간 산업 시설(사이버 테러리즘 활동, 사회 기간 산업 시스템의 동작 불능), 정보 통신 기업(기업 지적 자산 탈취, 기업 영업 비밀 탈취), 제조 업종 기업(기업 지적 자산 탈취, 기업 영업 비밀 탈취), 금융 업종 기업(사회 금융 시스템의 동작 불능, 기업/개인 금융 자산/정보 탈취) 등으로 매우 다양하다.

APT의 피해예방을 줄이는 방법은 취약점 점검을 지속적으로 하는 수 밖에 없다. 특히 이용자가 많이 접속하는 서버에 악성메일이 오지 않도록 예방교육도 필요하다. 실제로 악성코드가 담긴 메일을 통해 공격을 당하는 경우가 많으며 이같은 방법은 한명이 감염되면 내부사람 전체가 감염될 수 있기 때문에 주의가 필요한 부분이다.

끝으로, 전자금융을 위협하는 보안위협은 지속적으로 이어짐에 따라 주기적인 모니터링 강화가 필요하며 피싱, 파밍 등 기존의 위협들에서 한 단계 발전한 공격들에 대한 대응방안 역시 필요하다.

스마트폰, 태블릿 PC 등 새로운 기기와 채널을 통한 전자금융이 발전함에 따라 관련된 보안 위협 또한 증대 되고 있는것이 현실이다. 새로운 기술의 발전에 따라 해킹 기술 또한 발전하고 있어 이에 따른 지속적인 보안기술 개발과 관련 담당자들의 관심이 필요할 것이다. Ahn

 

 대학생기자 박서진 / 서울여대 정보보호학과

 끝없이 노력하고 끝없이 인내하고 끝없이 겸손하자.

 

댓글을 달아 주세요

선배 보안 전문가들이 말하는 미래에 대한 준비

현장속으로/세미나 2010.09.01 08:38
"금보원 ! 금보원 ! 금.보.원.!"
금보원은 금융보안연구원의 줄임말이며, 위는 
8 18일부터 20일까지 금보원이 개최한 ' 1 2010 대학생 금융 보안 캠프’의 구호이다. 이 캠프는 미래 정보기술 환경에 능동적으로 대처할 금융보안 전문가 양성을 목적으로 올해 처음 열린 행사이다.

 

18일 첫날, 안성연수원에 도착한 참가자들은 각자 짐을 정리하고, 조끼리 모여 앉았다.
 
첫 강연으로 전자금융 이러면 안전할까?’라는 주제로 김인석 금융감독원 부국장이 강연을 했다. 전자금융의 IT 사고 사례를 들며 그에 대한 조사 방법을 설명했다.

이어서
신기술 기반 금융보안 추진 현황’을 장재환 금융보안연구원 팀장이 발표했다. 신기술 기반 금융보안으로 스마트폰과 IPTV, VoIP에 초점을 두고 그에 대한 금융보안 서비스와 위협 등을 설명했다.

그리고 정보보호 전문 교육 및 자격증 소개’를 맡은 서광석 한국정보보호교육센터 원장의 발표가 진행되었다. 센터가 추구하는 목표를 인성교육, 기술교육, 직무의 전문화라고 소개한 후 보안 기초, 공격 및 침해 대응까지의 교육 과정과, 알아두면 유익한 보안 자격증을 소개했다. 

나를 차별화하기 위해 남보다 2배 더 시간을 써라


약간의 휴식 후 대학생과 전문가 간 만남의 장이 있었다. 가장 많이 나온 질문은 취업 관련 질문보안 캠프가 3, 4학년을 대상으로 한 만큼 당연한 일이었다안철수연구소 조시행 상무는 나를 다른 사람과 차별화할 수 있는 것이 무엇인가? 다른 사람보다 2배 더 시간을 쏟아라.라고 말했다.

또한 이 시간에는 MS사가 추진하는 신뢰할 수 있는 컴퓨팅’이 보안, 개인정보보호 등을 기준으로 둔다는 것, 보안 관제가 여러 시스템의 로그를 분석하고, 실시간으로 문제점을 조사 및 분석하는 업무라는 것을 알게 되었다.
 보안 업계에 관심이 있는 대학생들이 전문가들에게 궁금증을 해결하고, 조언도 얻을 수 있는 흔하지 않은 기회였다.

뒤늦은 개회식에서 한국정보보호학회 임종인 회장은 최근 정보보호 동향 및 향후 과제’를 발표했다. 최근 정보보호 동향으로 스마트폰 보안을 소개하고 스마트폰의 보안 위협 및 대응, 확대하여 모바일 오피스 보안, 그리고 스마트폰 전자금융 서비스 보안까지 설명했다. 스마트폰 관련 주체별 정보보호의 역할을 강조하며 "정부를 비롯하여 금융과 보안업계, 통신업계 등 이해관계자가 적극적으로 참여하여, 신뢰성 있고 안정적인 정보보호 인프라 구축을 해야 한다."라고 말했다.


둘째 날인 19일, 첫 발표는 제 7회 해킹방어대회 최우수상을 수상한 순천향대 최현우씨의 해킹의 이해였다. 해커와 해킹은 무엇인가에서부터 해킹의 역사, 해킹의 사고 사례, 국내외 해킹대회 그리고 해킹방어대회 문제풀이를 설명했다. 같은 대학생이지만 해킹방어대회에서 입상하고, 발표까지 능숙하게 하니 모든 대학생의 부러움을 받았다

이어서  악성코드 현황과 대응 전략’을 주제로 조시행 안철수연구소 상무가 발표했다. 2010 상반기의 주요 보안 위협으로 사회 공학 기법, 허위 백신, 제로데이 취약점, SNS기반의 보안 위협 등을 꼽았다. 그리고 그에 대한 안철수연구소의 대응 방안을 소개했다. DDoS 대응 방안과 위협 관리’를 발표한 박종석 나우콤 과장은 7.7 DDoS 대란 때의 상황과 DDoS 탐지 및 방지 방안, 그리고 보안 관제 시스템을 소개했다.

임형준 이글루시큐리티 과장은 정보보안관리 동향 및 발전 방향을 발표했다. 발표하기에 앞서 흥미로운 퀴즈를 내 흥미를 유발했다.

대학 중퇴자이며 자기 회사에서 쫓겨난 사람은
10
100승은?

그럼 애플과 구글의 공통점은?
.
.
각 질문의 답은 스티브 잡스구글, 차고에서 시작했다는 것.
그렇다면
, 우리의 차고는 어디인가?


마지막으로 ‘IT 컴플라이언스와 보안 컨설팅’을 주제로 최동근 롯데정보통신 이사가 발표했다, IT 컴플라이언스란 금융기관의 임직원 모두 법규 및 규정을 준수하도록 통제 감독하는 것을 의미한다. 이것의 필요성과 구축 사례, 정보보안 컨설팅 방법론 등을 소개했다.

 직접 본 관제센터, 역시 철통 보안


모든 세미나가 끝나고
, 조별로 토론회가 열렸는데 주제는 전자금융 보안 개선 아이디어 토론 및 제안이었다. 5시간에 걸친 이 토론회는 전공자, 비전공자 모두 함께 참여할 수 있고, 더욱 간편하게, 더욱 안전하게 전자 금융 거래를 할 수 있도록 스마트폰, OTP, 공인인증서, 보안토큰 등의 단점을 보완할 수 있는 아이디어들이 많이 나왔다. 또한 현 실무자가 아니기 때문에 아이디어의 참신성도 돋보
였다
.

 

셋째 날인 20, 정든 안성연수원을 떠나 롯데정보통신 통합관제센터를 방문했다. 보안이 생명인 만큼 사진 촬영이 불가능했고, 비밀번호+정맥인식을 통해 출입이 가능했다. 관제센터에는 전세계에 존재하는 운영체제 및 네트워크 장비가 구축되어 있었다. 이어 서버가 있는 전산기계실과 문제 발생 시 배터리를 백업하는 UPS실을 둘러보았다. 그리고 LG CNS에 있는 OTP통합인증센터를 견학했다. 이 곳은 비밀번호 입력, 정맥 인식, 그리고 몸무게 측정을 해야 출입이 가능했다. 현 몸무게와 저장된 몸무게의 오차 범위 내에 비교하는 것이었다관제센터와 클라우드 컴퓨팅, 유비쿼터스 기술과 통합 OTP를 볼 수 있었다.

 

2 3일 간 세미나, 현장 견학으로 금융 보안에 대해 배우고, 최근의 보안 동향까지 알 수 있었다. 또한 새로운 친구를 사귀고, 다른 사람의 생각도 들을 수 있는 자리였다. 첫 발을 뗀 캠프가 잘 자리잡아 많은 대학생에게 좋은 경험과 앞으로 나아갈 발판을 제공했으면 한다. Ahn

대학생기자 윤소희 / 순천향대 정보보호학과


윤소희가 '보안세상'에 왔습니다. 아직도 절 모르신다구요 ? 더 강한 파워, 더 색다른 매력, 더 불타는 열정으로 ! 풋풋함과 눈웃음까지 겸비한 여자! 그리고 뻔뻔함까지 ! 누구라도 기억할 만하지 않나요?



댓글을 달아 주세요

  1. 율무 2010.09.01 10:05  Address |  Modify / Delete |  Reply

    "나를 차별화하기 위해 남보다 2배 더 시간을 써라"라는건 취업 준비생 뿐만 아니라 직장인에게도 해당하는 말 같아요. 요즘 일이 바쁘다고 느슨해 진 것같은데 포스팅을 읽으니 정신이 번뜩 드네요~^^