지난 1월 H은행에 예금계좌를 가진 김씨는 통장잔고를 확인하고 깜짝 놀랐다. 자신의 통장에 있던 2,100만원이 누군가에 의해 인출되었기 때문이다. 김씨는 부정인출에 대해 은행에 항의하였지만, 공인인증서, 패스워드, 보안카드, 이체비밀번호 등 4중 보안장치 모두 일치한 정상적인 이체거래였다는 대답만 들었다. 서울 강남경찰서는 이 사건이 중국에 등록된 IP주소를 통해 타 은행계좌로 무단인출된 사건이라고 밝혔다.
그렇다면, 그 누군가는 어떻게 김씨만이 알고 있는 공인인증서와 비밀번호, 이체비밀번호, 보안카드번호를 입수하게 된 것일까 지난 2005년 E은행에서 발행한 인터넷뱅킹사고에서 그 답을 찾을 수 있다. 사건발생 20여일 만에 용의자가 검거되었는데, 놀랍게도 전문해커가 아니라 평범한 인터넷 게이머였다. 용의자는 인터넷상에서 흔하게 구할 수 있는 키스트록 프로그램(사용자가 두드리는 자판을 그대로 특정인에게 전송하여주는 프로그램)을 이메일을 통해 여러사람의 PC에 설치하고 범행에 사용한 것이다.
이 대목에서 키스트록 프로그램이 사용자의 PC에 어떻게 설치될 수 있었는지 의문이 든다. 이에 대한 대답은 아이러니하게도 은행이 보안을 위해 사용하는 엑티브 X 프로그램 때문이다. 은행은 인터넷뱅킹의 안전을 확보하기 위해 소비자의 PC에 각종 보안프로그램을 설치하고 공인인증서를 확인하는 작업에 엑티브 X 프로그램을 활용하고 있다. 소비자는 통장의 잔고를 확인하건, 송금을 하건 지겹게 ‘예’라고 눌러야 하는 팝업창이 엑티브 X인 것이다.
문제는 이 엑티브 X 프로그램이 은행만이 만들어 배포하는 프로그램이 아니라는데 있다. 해커나 다른 목적을 가진 사람도 얼마든지 만들어 소비자에게 배포할 수 있고 그들이 원하는 정보나 작업을 소비자의 PC에서 수행할 수 있다. 일반적인 소비자들이 인터넷뱅킹, 인터넷쇼핑몰, 여타의 인터넷서비스 등을 이용하면서 제공되는 엑티브 X 프로그램이 누가 제공하는 것이고 어떤 내용을 담고 있는지 이를 일일이 확인하거나 사전에 알고 있기란 현실적으로 어렵다. 그냥 빨리 ‘예’를 누르고 원하는 거래가 이루어지기를 바랄 뿐이다.
그렇다면 은행은 보안을 위해 이렇게 위험한 엑티브 X라는 방법만을 이용해야만 하는지 의문이 든다. 답은 ‘결코 그렇지 않다’이다. 다만 업무의 편의성을 위해서일 뿐이다. 우리가 흔히 사용하는 인터넷 프리토콜은 http(Hypertext Transfer Protocol)이다. http는 인터넷상에서 하이퍼텍스트(hypertext) 문서를 교환하기 위하여 사용되는 통신규약이며 누구나 쉽게 접근하여 정보를 공유하는데 그 목적을 가지고 있다. 은행이 제공하는 인터넷뱅킹서비스가 인터넷상에 누구나 접근이 가능한 프리토콜인 http를 사용하고 있으며 다만 보안이 필요한 부분에 대해서만 MS사의 엑티브 X를 사용하고 있다.
현재 http가 가진 보안의 약점을 개선한 https (Hypertext Transfer Protocol over Secure Sockets Layer, HTTP over SSL)가 널리 상용화되어 있다. https는 인터넷 상에서 정보를 암호화하는 SSL(Secure Socket Layer) 프로토콜을 이용하여 데이터를 전송하고 있다는 것을 의미한다. https는 제3자가 의도적으로 암호화된 이용자 정보를 가로챈다 하더라도, 가로챈 정보의 해석이 불가능한 구조를 가지고 있다. 다만 비용이 http보다 비싸다.
엑티브 X의 문제는 이것으로 끝나지 않는다. 엑티브 X는 사실 익스플로어가 아닌 다른 브라우저나 윈도우가 아닌 다른 OS에서는 사용할 수 없는 범용성이 제한된 프로그램이다. 마이크로소프트사(MS)가 제공하는 익스프로어 상에서만 사용할 수 있는 프로그램이란 이야기이다. 더욱이 현재, 3G 기술을 이용하여 무선인터넷을 쉽게 이용할 수 있는 휴대폰에 기본 탑재된 MS사의 윈도우와도 호환되지 않는다. 모바일뱅킹서비스에서 공인인증서를 사용할 수 없는 기본적인 이유가 모바일에 탑재된 OS가 엑티브X를 인식하지 못하기 때문이다. 엑티브 X는 사실상 웹 표준을 무시하고 있을 뿐 아니라 현재의 인터넷환경 하에서는 보안장치로서도 큰 결함을 가지고 있음이 여러 번 입증되었다.
은행도 감독당국도 엑티브 X 방식의 인터넷뱅킹 운영시스템에 문제가 존재한다는 사실에 인식의 공유를 하고 있다. 그렇다면, 이 문제는 즉각 해결되어야 한다. 단지 다수의 사람들이 이 분야를 잘 몰라서, 관심이 없다는 이유로 현재의 상태를 유지해서는 안된다. 긴급히 해결되어야 하는 사회문제이다. 은행과 금융시스템의 신뢰를 유지하기 위해서 이문제는 선결되어야 한다.
스마트컨슈머
.png)
한국어
독일어
말레이어
스페인어
영어
일본어
중국어(간체)
태국어
프랑스어
베트남어
필리핀어
캄보디아어
몽골어
우즈베크어
러시아어
이 누리집은 대한민국 공식 전자정부 누리집입니다.
그렇다면, 그 누군가는 어떻게 김씨만이 알고 있는 공인인증서와 비밀번호, 이체비밀번호, 보안카드번호를 입수하게 된 것일까 지난 2005년 E은행에서 발행한 인터넷뱅킹사고에서 그 답을 찾을 수 있다. 사건발생 20여일 만에 용의자가 검거되었는데, 놀랍게도 전문해커가 아니라 평범한 인터넷 게이머였다. 용의자는 인터넷상에서 흔하게 구할 수 있는 키스트록 프로그램(사용자가 두드리는 자판을 그대로 특정인에게 전송하여주는 프로그램)을 이메일을 통해 여러사람의 PC에 설치하고 범행에 사용한 것이다. 
김혜린
