해킹 취약한 은행 공인인증서 보안 어떻게?
해킹 취약한 은행 공인인증서 보안 어떻게?
  • 이종범 기자
  • 승인 2014.05.12 17:49
  • 댓글 0
  • 트위터
  • 페이스북
  • 카카오스토리
이 기사를 공유합니다

파일 형태 인증서 복사 쉬워 이동식 매체에 보관..비밀번호 어렵게 설정후 주기적 바꿔야

최근 들어 해킹에 취약한 은행 공인인증서 보안을 어떻게 해야 할까?

국내 전자금융시스템에서 인감 역할을 하는 공인인증서가 피싱(Phishing)과 파밍(pharming), 스미싱(Smishing) 등 각종 해킹 공격에 속속 뚫리고  있다.

문제는 정부에서 공인인증서 유출에 따른 위협을 6년 전부터 인지하고 있었다는 점이다. 대책도 마련하겠다고 했지만 올해 들어서도 구체적인 대책은 나오지 않고 있다..

PC 내 NPKI 폴더에 저장되는 공인인증서 파일은 노출되면 안 되는 파일이다. 키관리 전문회사인 세이프넷 코리아 관계자에 따르면 공인인증서 기술에서 근간을 이루는 '공개키기반구조(PKI)' 상 공인인증서에 담겨 있는 개인키, 공개키 등에 대한 정보는 누구나 쉽게 접근할 수 있는 공개된 폴더에 저장돼서는 안 된다.

실제로 일반 기업들 간 공인인증서를 활용해 정보를 주고 받는 과정에서도 인증서 파일은 USB드라이브나 보안토큰과 같은 곳에 별도로 저장하는 것이 안전하게 여겨지고 있다.
 

한국인터넷진흥원(KISA)이 2012년 발표한 전자서명 이용실태조사 보고서에 따르면 공인인증서 저장매체로 USB드라이브를 활용하는 비율이 71.9%(중복포함)로 가장 많았으며 PC 내 저장은 54.3%로 나타났다. PC에 저장하는 이유는 응답자 중 49.2%가 이동매체는 휴대나 컴퓨터 연결이 불편하기 때문이라고 답했다. 불편함을 최소화하면서 안전성을 확보하기 위한 방안이 필요하다.

보안토큰은 가장 안전한 공인인증서 저장매체로 활용될 수 있으나 사용자들이 3만원~4만원을 주고 구매해야 하는 부담이 따른다. 스마트폰 내 가입자식별모듈(USIM)칩에 저장하는 방법도 거론돼 왔으나 아직 활성화된 단계는 아니다.

KISA 전자인증팀 임진수 팀장은 "보안토큰은 비용을 부담해야 하는 탓에 보급률이 낮은 편이고, 스마트폰 USIM칩, 마이크로SD 등에 공인인증서를 저장하도록 노력하고 있으나 쉽지 않은 것이 현실"이라고 말했다.
 

따라서 전문가들은 연일 진화하는 해킹 수법을 원천 차단할 수 있는 마땅한 방법이 없는 만큼 소비자 스스로 보안 수준을 높여서 인증서를 지켜야 한다고 강조한다.

 공인인증서는 예금거래나 지급결제 등 국내 전자금융 거래 전반에 이용되는 인증 수단이다. 한국은행에 따르면 공인인증서는 2000년부터 발급되기 시작해 현재까지 3,000만건 넘게 발급됐다. 현재 공인인증서는 주요 금융회사의 인터넷·모바일뱅킹 ID를 대체하기도 한다. 비밀번호까지 유출될 경우 금전적 피해로 이어질 수 있다.

전문가들은 공인인증서가 해킹 피해에 노출되지 않도록 예방하는 것이 최우선이라고 지적한다.  이를 위해 인증서를 PC보다는 이동식 보관매체에 저장하고, 백신 소프트웨어 업데이트로 사용하는 컴퓨터의 보안 수준을 높여야 한다.

 공인인증서는 유출 방지 기능이 있는 보안토큰 등의 안전한 저장장치에 보관해 사용하는 편이 안전하다. 보안토큰(HSM)이란 전자 서명 생성키 등의 비밀 정보를 안전하게 저장하고 보관할 수 있는 저장매체다.

공인인증서 비밀번호 관리에도 주의를 기울여야 한다. 특수문자나 기호 등을 포함시키는 방법으로 유추하기 어렵게 만들고, 일반적으로 사용하는 웹사이트 비밀번호와 다르게 설정하는 편이 좋다. 주기적으로 비밀번호를 바꾸는 것도 안전한 관리를 위한 방법이다.
 

이번에 발견된 악성코드는 보호나라(www.boho.or.kr)를 통해 배포 중인 전용백신으로 치료할 수 있다.
 

최근 발생한 앱카드 개인정보 도용 문제와 관련, 아이폰과 공인인증서 방식을 결합할 때 사고 발생 우려가 크다. 아이폰에 앱카드를 설치할 때에는 유선 전화 인증이나 신용카드 cvc값 입력 등의 추가인증을 반드시 거치는 것이 좋다.

소비자들은 자신의 공인인증서 유출이 의심되거나 악성코드 배포가 의심되는 웹사이트를 발견할 경우 한국인터넷진흥원(118)에 신고해 도움을 받을 수 있다. 또 불법이체로 인한 피해가 발생할 경우엔 경찰청(112), 금감원(1332), 금융회사 콜센터에 즉시 신고해 지급 정지를 요청해야 한다. 휴대전화 소액결제로 인한 피해나 자료 유출 등 스미싱 피해를 입으면 경찰청이나 사이버테러대응센터(182)로 신고해 안내를 받으면 된다.
 

<관련 용어>


☞피싱

개인정보(Private data)와 낚시(Fishing)의 합성어로 개인정보를 낚는다는 뜻. 금융기관이나 공공기관을 가장해 전화, 이메일 등으로 인터넷 웹사이트에서 보안카드 일련번호와 코드번호 일부 등을 입력하도록 요구해 금융정보를 빼가는 수법

☞파밍

악성코드에 감염된 PC를 조작해 이용자가 정상 홈페이지 주소로 접속해도 피싱(가짜) 사이트로 유도해 범죄자가 개인 금융정보 등을 몰래 빼가는 수법

☞스미싱

웹사이트가 포함된 문자 메시지를 보내 소액 결제를 유도하거나 악성코드를 심는 사기수법
 


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.

  • (주)서울이코미디어
  • 등록번호 : 서울 아 03055
  • 등록일자 : 2014-03-21
  • 제호 : 서울이코노미뉴스
  • 부회장 : 김명서
  • 대표·편집국장 : 박선화
  • 발행인·편집인 : 박미연
  • 주소 : 서울특별시 영등포구 은행로 58, 1107호(여의도동, 삼도빌딩)
  • 발행일자 : 2014-04-16
  • 대표전화 : 02-3775-4176
  • 팩스 : 02-3775-4177
  • 청소년보호책임자 : 박미연
  • 서울이코노미뉴스 모든 콘텐츠(영상,기사, 사진)는 저작권법의 보호를 받은바, 무단 전재와 복사, 배포 등을 금합니다.
  • Copyright © 2024 서울이코노미뉴스. All rights reserved. mail to seouleconews@naver.com
ND소프트