어제 KBS 취재파일 4321에서 ‘댁의 예금은 안녕하십니까?‘라는 주제로 메모리 해킹이라는 신종 수법으로 인터넷 뱅킹을 해킹하는 시연을 보여 주었다. 즉, PC에 설치된 해킹 프로그램으로 웹 브라우저로 인터넷 뱅킹을 하는 동안 메모리에 보관된 주소 내 데이터를 변조하는 방식을 통한 해킹 방식이다.
일단 PC에 해킹 프로그램이 깔리게 되면 어떤 형태로든 피해를 입게 되기 마련이다. 그러면 어떻게 이것을 해결 할 수 있을까? 그것은 아예 컴퓨터에 악성 프로그램이 깔리지 않도록 하는 것이다. 현재 인터넷 뱅킹 사이트에 수 많은 악성 프로그램(스파이웨어) 검지 프로그램이 깔리지만 그 프로그램도 스파이웨어의 일종일 수 있다.
우리 나라에 왜 이렇게 스파이웨어가 창궐한지는 ActiveX에 대한 거짓말과 진실II에서 자세히 언급했다. 아래 세 가지 보안 규칙만 잘 지키면 해킹 프로그램이 설치되는 것을 막을 수 있다.
1. 일단 자신의 PC의 기본 로그인을 ‘관리자’로 하지 않는다. 일반 사용자 계정을 만들고 함부로 PC에 아무 프로그램이나 설치하지 못하도록 해야 한다.
2. 자녀들이 있는 집에서는 아이들의 계정을 따로 만들고 그 계정으로 로그인 하도록 한다.
3. 보안 경고창이 뜨는 경우 정말 이 플러그인 프로그램(ActiveX)이 정말 필요한지 한번 더 고민하자. (일반 웹 사이트 서핑 중 설치 요구를 하는 프로그램은 설치하지 않는다.)
현재 우리 나라에서 윈도우 2000 이상 운영 체제는 모두 이런 방식으로 담을 쌓고 보안을 막을 수 있다. 스파이웨어 방지 프로그램이 깔릴 수 있는 이상 스파이웨어도 깔릴 수 있다는 사실을 염두해 두어야 한다.
p.s. 물론 이것이 근본적인 해결책은 아니다. 하지만 우리 나라는 실제로 이런 해킹 프로그램이 발생했을 때 피해가 엄청나게 커질 수 있는 구조로 되어 있다. 우리 나라 사람들은 다른 나라에 비해 ActiveX 플러그인을 거리낌 없이 받는 윈도우 사용 습관을 가지고 있기 때문이다. 결국 보안이라는 것은 어떤 문제에 대한 처리 비용의 문제다.
※ Disclaimer- 본 글은 개인적인 의견일 뿐 제가 재직했거나 하고 있는 기업의 공식 입장을 대변하거나 그 의견을 반영하는 것이 아닙니다. 사실 확인 및 개인 투자의 판단에 대해서는 독자 개인의 책임에 있으며, 상업적 활용 및 뉴스 매체의 인용 역시 금지함을 양해해 주시기 바랍니다. 본 채널은 광고를 비롯 어떠한 수익도 창출하지 않습니다. (The opinions expressed here are my own and do not necessarily represent those of current or past employers. Please note that you are solely responsible for your judgment on checking facts for your investments and prohibit your citations as commercial content or news sources. This channel does not monetize via any advertising.)
그거 심각하군요…근본적인 뭔가가 있어야 할 시점인것 같습니다. 제 블로그에도 관련해서 조금 생각을 적어보긴 했습니다만…글쎄요..어떻게 될런지..
어제 봤는데 한달이면 국내 모든 은행의 해킹 프로그램을 다 만들 수 있다고 하더군요…
마음만 먹으면 하는군요. 무서운 세상.
4. 맥을 사용한다. ^)^
단점 : 사용할 수 있는 은행이 아직은 신?은행뿐.
몇몇 사이트에서 비스타의 UAC를 제거 하라는 소리를 하는데..
역시 금감원은 자기네 일이 아니라고 발뺌하는군요. 도대체 하는 일이 뭔지…
윤석찬 님의 블로그에서 인터넷 뱅킹에 대한 위협을 봤습니다. 궁금하신 분은 http://channy.tistory.com/188 여기로…TV 에서 했다는데, 보질 못했군요. 저도 한 때 보안…특히나 PKI 쪽 계열 업체에 일한적이 있어서 이런 문제는 관심이 많습니다. 보니 결론은 메모리 해킹인데, 예상못한 것은 아니지만 실제로 만드는 사람이 있을 줄을 몰랐습니다. 이 시나리오를 시연까지 하다니…ㅡㅡ; 그렇게 하고 싶었나…누구야 그거 만..
지금 이 순간에도 activeX 기반으로 웹서비스가 계속 만들어지고 있다는 사실에 저는 정말 할말이 없습니다.
작년 말 경, 우체국 리눅스 뱅킹의 키보드 보안 프로그램과 백신에 관한 프로젝트에 몸을 조금 담았었습니다. 아직 끝나지 않은 프로젝트를 다른 분께 넘긴 모양이 되어 그 분께는 상당히 미안한 마음을 가지고 있습니다.말하고 싶은 것은, 당시 안티 키로거를 구현하기 위해 설계되는 모습을 상상하면서, 들었던 생각을 지금에야 쓰려고 합니다. 우리나라의 인터넷 뱅킹의 대처 방식은 사회적 이슈가 되어 온 것을 기술적으로 해결하고 있습니다. 제가 보기엔 현재의…
금감원의 “까짓꺼 뭐 문제 될 거 있나요”식의 대답이 안이하네요. 실시간 감시 안티 바이러스나 안티 스파이웨어를 쓰고는 있습니다만, 이 것도 완전히 믿을 수 있으련지…
네트워크 암호화, 방화벽, 키보드 보안에 이어
이제 IE의 메모리를 실시간으로 암호화해서 타 프로그램의 접근을 막는 보안 프로그램이 나올 차례군요!
(가드캣이라도 붙이려나요?)
해킹의 종류가 한종류 늘어나면 이용자의 인식 전환 유도보다는 보안프로그램을 한종류 늘리는 세상.