금융권이 보다 안전한 인터넷 뱅킹 서비스를 위해 준비 중인 메모리해킹 방지 솔루션의 도입이 사실상 연내 어려울 전망이다.
금융감독원은 인터넷 뱅킹 사용자의 금융 관련 정보가 메모리해킹 방식으로 빼돌려져 악용될 수 있다는 지적에 따라 각 금융기관에 연내 해킹 방지책을 마련할 것을 권고했으나 사용자의 불편을 가중시킬 수 있다는 이유로 사실상 연내 도입을 포기한 것으로 드러났다. 이에 따라 주요 시중 은행은 내년 이후에나 메모리해킹 방지 솔루션 도입, 보다 안전한 인터넷 뱅킹 서비스 제공을 기약하게 됐다.
◇“연내 도입 사실상 물건너갔다”=보안업계는 금융감독원 권고 이후 다양한 메모리해킹 방지 솔루션을 선보였다. 또 금융보안연구원은 메모리해킹 방지를 위해 △음성매체를 통한 계좌정보 분할 입력 △음성매체를 통한 최종 승인 △보안 키패드를 통한 계좌번호 입력 △보안 이미지를 통한 최종 승인의 다섯 가지 방식을 놓고 보안 적합성을 검토하기도 했다.
하지만 최근까지 메모리해킹 방지 솔루션 도입을 결정한 은행은 아직 없는 것으로 파악됐다. 다양한 솔루션이 나왔지만 은행이 최종 결정을 내리지 못하고 있는 것은 사용자 불편을 해소하는 방안이 마땅치 않기 때문이다.
◇“어떻게 사용자 불편 해소할 수 있나”=현재 메모리해킹 방지를 위한 유력한 대안은 기존 아이디나 패스워드 외의 다른 인증수단을 추가하는 이중 인증을 도입하는 것이다.
하지만 이중인증은 고객 불편을 끼칠 수밖에 없고 이중인증 사용을 선택하지 않는 고객도 많아 포괄적인 대책은 될 수 없다. 우리은행 관계자는 “다양한 메모리해킹 방지 기술에 관한 의견을 들었지만 불편을 최소화하면서 전체 고객을 대상으로 한 번에 적용할 수 있는 묘안이 없어 고민 중”이라고 토로했다.
또 기존 은행 시스템에 변화를 최대한 줄이면서 솔루션을 구축해야 하는 것도 과제다. 관련 솔루션 검토가 10월 중순에야 이뤄져 시간도 촉박했다는 지적이다.
◇보안업계 시장 속으로=현재 키보드 보안이나 암호화 모듈 관련 업체가 메모리해킹 방지 솔루션 개발에 적극 나서며 금융권을 공략하고 있다. 계좌번호 등 사용자 정보가 입력되는 사용자 PC에서 은행 서버까지 전달되는 정보를 암호화하는 종단간(E2E) 암호화 기술이 관심을 끌고 있다. 또 소프트포럼이 메모리해킹 방지 기능이 포함된 키보드 보안 제품의 금융보안연구원의 보안성 검증을 받고 있고 안철수연구소 역시 내년 초 메모리해킹 방지 기술을 선보일 계획이다. 비원플러스·씽크에이티 등은 전화를 이용한 보안 인증 솔루션을 내놨다. 성재모 금융보안연구원 팀장은 “예상보다 시간이 걸리긴 했지만 조만간 메모리해킹 방지와 관련한 결론이 내려질 것”이라고 말했다.
한세희기자@전자신문, hahn@
<용어>메모리해킹이란
PC 메모리상에 할당된 정보를 주소 단위로 조작하는 것으로 인터넷 뱅킹에 악용되면 입금 계좌나 입금 금액 등의 정보를 조작해 이체 금액을 빼돌리는 등 피해를 줄 수 있다.