골치 아픈 ‘파밍·관리자 계정 유출’ 대응 방안은?

디멘터, 그래픽인증 등의 ‘관리자 인증체계 이중화’가 대안

[보안뉴스 김태형] 지난 21일, ‘파밍’으로 개인정보 빼낸 뒤 수천 만원을 챙긴 중국인 2명이 구속되는 등, 최근 신종금융사기인 파밍으로 인한 사기피해가 빈번히 일어나고 있다.

‘파밍’은 사용자 PC에 악성코드를 심어놓고 가짜 금융사이트로 연결시킨 뒤, 개인정보를 빼내 돈을 갈취하는 신종금융사기를 말한다. 이러한 ‘파밍’ 등의 각종 해킹의 위협으로 사용자를 지키기 위해 ‘인증’에 대한 중요성이 대두되면서, 크게 세 가지에 대한 정책적 해킹에 대한 대응 전략이 필요하다.

첫째, ‘피싱/파밍’ 등의 악성코드를 통한 해킹에 대한 대처방안이 필요하다. 이러한 악성코드 감염을 통한 파밍 피해를 예방하기 위해 금융기관에서 제공하는 ‘그래픽 인증’, ‘개인화 이미지’ 등의 ‘파밍 예방 서비스’에 적극적으로 가입하여, 가짜 사이트에 유도되더라도 사용자가 직접 사이트 유무를 스스로 파악할 수 있어야 한다.

또, 금융서비스 이용자 금융서비스를 이용하는 데 있어서도, 스스로가 금융사이트 접속 시 보안코드 등의 개인정보를 입력하는 데 있어서 주의를 기울여야 한다.

둘째, 기업 내 보안시스템(IPS, IDS, PMS, NAC, VPN 등) 운영 관리자의 인증체계 이중화가 필요하다. 지난 20일 KBS, MBC 등의 방송사와 농협, 신한은행 등의 금융권에서 전산망 이 마비되는 사건이 발생했다.

이 사건은 기업 내부의 ‘업데이트 관리서버(PMS)’가 사내 모든 PC에 업데이트를 유포한다는 것을 악용해 악성코드를 유포시키는 방법으로 발생했는데 이 업데이트 관리서버의 관리자 계정 탈취는 기존 ID/PW방식의 취약점을 보여주는 하나의 사례라고 할 수 있다.

이러한 ID/PW방식의 인증체계를 보완할 제 2의 인증체계에 필요성이 대두되면서 GOTP, 그래픽인증과 같은 2차 인증 서비스를 도입하여 ‘인증 보안’을 강화해야 할 것이다.

셋째, 기업 내부 사용자들의 중요정보 접근에 대한 취약점을 강화할 사용자별 인증체계를 갖춰야 한다. 기업 사내의 주요 기밀 정보가 내부 직원에 의해 유출되는 빈도가 가장 크다는 연구조사에 따라, 내부 직원을 대상으로 한 ‘내부 2차 인증’에도 보안에 대한 관심을 쏟아야 한다.

흔히 해킹이 내부 직원들의 주요 기밀정보 탈취에서 일어나는 사건이 많기 때문에, 이러한 사건을 원천적으로 봉쇄하고자 ‘내부 2차 인증’ 등 또한 도입해야 한다.

한 금융관계자는 “현재 ID/PW 로그인 후에 사용되는 ‘그래픽인증’ 서비스를 이용해 내부에서 발생할 수 있는 보안 사고들을 미리 예방하고 있다”라고 말했다.

한편, 이러한 그래픽인증 보안 전문기업 디멘터(대표 김민수, www.dementor.co.kr)는 “현재 우리은행, 신한은행 등에서 디멘터의 ‘파밍 예방 서비스’를 도입했고, STX 등의 기업은 내부 직원 보안용으로 ‘그래픽인증’을 도입했다”면서 보안인증 분야 시장을 확대하고 있다.

[김태형 기자(boan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)