키보드를 두드리는 순간 돈이 사라진다

은행권 중심으로 고객 PC 대상 보안 강화 ‘붐’



지난해 여름, 중국계 해커가 싱가폴 은행의 21개 온라인 계좌를 해킹, 35000달러를 인출한 후 도주했다. 이 해커는 고객들이 키보드로 입력하는 아이디와 비밀번호의 키값을 잡아내는 트로이 프로그램을 활용해 불과 2시간만에 거액을 빼냈다.

당시 싱가폴은행은 고객들의 컴퓨터가 해킹당한 것이며 은행의 시스템에는 문제가 없다고 해명했다.

이는 고객 PC의 키보드를 통해 어떻게 금융사고가 일어나는지 알 수 있는 적절한 사례다.

국내 금융기관들은 2~3년 전부터 고객이 인터넷뱅킹 사이트에 접속하면 ASP 방식으로 보안프로그램이 PC에 자동 다운되도록 지원하고 있지만 키보드를 통한 해킹 방지 수준은 아직 미흡하다. 더군다나 인터넷뱅킹 접속 중 개인 방화벽이 작동하는 동안에는 해킹툴이 통신을 수행하지 않아도 뱅킹 접속이 끝난 후 미리 작성된 키 로그(Key log)를 외부로 유출할 수 있어 별도의 키보드 보안장치가 필요한 상황이다.

이에 최근에는 은행권을 중심으로 키보드 보안에 관한 관심이 높아지고 있다. 이미 키보드 보안시스템을 도입한 곳은 조흥, 한미, 외환, 기업, 대구은행이다. 국민, 우리, 하나은행은 키보드 보안시스템 도입을 추진하거나 검토하고 있다. 2금융권에서는 교보생명, 국민카드, 우체국 등이 이를 도입했다.

국민은행은 올해 4월부터 키보드 보안시스템을 도입하기 위해 관련업체 제품들을 대상으로 BMT(벤치마크테스트)를 실시했다. 7개 업체로부터 제안서를 받았으나 공통적으로, 키값을 암호화해 브라우저로 보낼 때 취약점이 있다는 사실을 발견하고 지금까지 이를 보완해 왔다. 국민은행은, 얼마전 업체들이 취약점 보완 작업을 마침에 따라 다시 BMT를 실시, 사업자를 선정하고 올해 안에 키보드 보안시스템을 구축할 방침이다.

우리은행은 얼마전 BMT 등을 거쳐 소프트캠프를 키보드 보안시스템 공급업체로 선정했다. 이달중 시스템 설치를 끝내게 된다.

하나은행은 고객 PC상에 바이러스 백신, 방화벽, 키보드 보안 장치를 설치하기 위해 사업자 선정 작업을 진행하고 있다. 지금까지 총 4개 컨소시엄이 제안서를 제출했으며 이들 회사의 제품을 대상으로 이달말까지 2주간 BMT를 실시할 계획이다. 다음달 초까지 평가를 마무리하고 사업자를 선정한 후 올해안에는 시스템을 구축 완료하게 된다.



관리자 기자