Home > 전체기사
금액·계좌 바꿔치기! 메모리해킹, 어떻게 가능했나?
  |  입력 : 2013-10-04 02:22
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

키보드 입력값 ‘후킹’ 방식으로 금융정보 가로채 

PC 지정과 스마트폰 이용한 투팩터 인증으로 대응해야


[보안뉴스 김태형] 최근 은행의 정상 홈페이지에서 인터넷뱅킹 이체 거래 시 고객이 입력한 계좌 및 금액과 다르게 이체되는 메모리해킹에 의한 피해가 증가하고 있다.


이는 정상적인 홈페이지에서 고객이 수취인 계좌번호, 금액을 입력하면 잠시 멈춤 현상이 발생하고, 이후 보안카드번호, 계좌비밀번호 등을 정상 입력하여 모든 이체 과정이 정상적으로 완료되지만, 고객이 보내고자 했던 계좌와 금액이 아닌 다른 계좌와 금액으로 이체되는 신종 전자금융사기 방법이다.


정상적인 홈페이지에서 인터넷뱅킹 도중 보안카드번호 입력 후 거래가 더 이상 진행되지 않고 비정상적으로 종료되는 기존 방법과 다른 특징을 보이는 이 방법은 본지 확인 결과, 키보드 보안 시스템의 허점을 이용했던 것으로 나타났다.

 

공격자는 이용자 PC에 악성코드를 심어놓고 메모리 상의 키보드 입력값을 후킹하는 방법으로 키보드 입력 정보를 가로챘던 것. 즉 키보드와 본체 사이에서 오가는 정보를 가로채는 ‘후킹’을 이용하는 것으로 파악됐다.

이와 관련 한 보안전문가는 “키보드 입력값은 키보드 보안 시스템을 통해 보안을 하고 있지만 이 키보드 입력값의 보안을 위해서는 암호화가 필요하다. 하지만 인터넷 뱅킹은 실시간으로 입력되는 금융정보를 통해 거래가 이루어지기 때문에 이를 실시간으로 암호화하는 것은 사실상 불가능하다”면서 “이에 키보드 입력값 보안을 위해서 암호화 대신 ‘치환’이라는 방법을 사용하고 있는데, 공격자들은 키보드로 입력된 값이 어떤 값으로 치환되는지를 모두 파악해 이용자들의 금융정보를 빼낼 수 있게 된 것”이라고 설명했다.


이와 같은 방법은 키보드 보안 솔루션에서 모두 동일하다. 다만 키보드로 입력된 값을 치환하는 값은 각 키보드 보안 솔루션별로 차이가 있는 것으로 알려졌다. 하지만 공격자들은 각 보안회사별로 키보드 입력값의 치환값을 모두 파악하고 있고 이러한 정보들을 가지고 전자금융거래사기에 이용하고 있다는 얘기다.


이러한 보안위협에 대응하기 위해서는 금융권 등에 키보드 보안 솔루션을 제공하고 있는 기업들이 치환값 체계를 바꾸는 주기를 줄여야 한다는 주장이 제기되고 있다. 예를 들면 기존에는 6개월에 한번 치환값 체계를 바꾸었다면 이제는 3~4개월에 한번씩 바꿔야 한다는 것.


그런데 문제는 이용자들은 이러한 메모리 해킹 피해를 막기 위해 취할 수 있는 마땅한 방법이 없다는 것이다. 무엇보다 금융당국이 사용을 권장하는 일회용비밀번호생성기(OTP)도 공격자들은 키보드 보안과 같이 이용자들의 입력값을 탈취할 수 있어 OTP를 이용한 비밀번호 입력도 무용지물이 되는 셈이다.


특히, OTP는 거래정보와 상관없이 승인만하기 때문에 최근 메모리 해킹 사건 피해자도 OTP를 사용했지만 피해를 볼 수 밖에 없었다. 이와 같이 메모리 해킹의 위협은 인증과 관련된 모든 것, 즉 PC지정·PKI인증·키보드 보안 등 모두에 해당된다는 것이 보안전문가들의 의견이다.


이러한 보안취약성을 인식한 금융보안연구원은 몇 년 전부터 키보드 입력값의 후킹 방지와 금융사기 피해를 막기 위해 거래와 연동되는 OTP를 개발했고, 상용화를 위한 정책도 마련했다. 하지만 금융권에서는 별도의 입력 키 패드를 사용해 불편할 뿐더러 도입단가도 높다는 이유로 도입을 꺼리고 있다.


이와 같은 거래와 연동한 OTP는 별도의 번호입력 키패드를 사용해서 본인 계좌번호를 입력하면 이를 통해 일회용 비밀번호를 생성·입력해야만 본인 계좌에서만 금융 거래를 승인하는 방식이다.


즉, 사용자의 계좌번호 입력값으로 비밀번호를 생성해 입력하는 방식이기 때문에  해커가 이 OTP 번호를 탈취할 수도 없고 탈취한다고 해도 다른 계좌번호로 이체가 불가능하다.


이와 관련 한 보안전문가는 “결국은 투 팩터 지정 인증이 메모리 해킹에 대응할 수 있는 방안이다. 즉, 금융거래시 보안을 위해 PC지정과 키보드 보안을 가장 많이 사용하는 만큼 이에 대한 추가적인 보안대책을 마련해야 한다”면서 “예를 들면 PC지정 시에는 논리적 MAC 주소 이용을 금지하고 도용이 어려운 물리적 MAC 주소를 이용하거나 PC지정 정보가 해커에 의해 도용되지 않도록 PC지정 정보에 대한 위·변조 방지 대책을 적용해야 한다”고 말했다.


덧붙여 그는 “스마트폰을 이용해 추가적 비용이 발생되지 않는 투팩터 보안 인증을 통해 보안을 강화한다면 앞서 밝힌 바와 같은 키보드 입력값이나 OTP 입력값의 후킹을 통한 메모리 해킹 피해를 줄일 수 있을 것”이라고 밝혔다.


이와 관련 금감원 담당자는 “금융회사를 통해서 키보드 보안이나 PC지정에 대한 추가적인 보안강화 대책을 마련하라는 지침을 내린 상황”이라며, “이에 대한 조치가 완료된 곳도 있고 현재 보안대책을 마련 중인 곳도 있다”고 말했다.

[김태형 기자(boan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)