[보안칼럼]해커와 양만춘

고구려 안시성 성주 양만춘은 당 태종의 고구려 침공에 맞서 나라를 지켜낸 인물이다. 당 태종은 안시성을 함락하기 위해 성 밖에 토산(土山)을 쌓고 대규모의 군사를 몰아 성을 공격했으나, 양만춘은 당 태종의 공격을 막기 위해 성 안에 목책(木柵)을 쌓고 당나라 군대의 총공세를 막아냈다. 양만춘의 지혜는 당 태종의 공격 패턴 이해에서 시작됐다.

오늘날 해커는 금전적 취득이나 정치적 목적 달성 등을 위해 집단적·조직적으로 움직이는 범죄 집단이 됐다.

특히 2000년대 중반부터 금융 회사는 해커와 전쟁을 치르고 있다. 만약 내가 해커라면 무엇이 필요하고 어떻게 해킹을 하겠는가.

당 태종과 양만춘의 일화에 빗대 당 태종이 돼볼 필요가 있다. 해커로서 구미가 당기는 때는 다음 두 가지다.

첫 번째는 금융 회사 자체를 해킹, 정보를 탈취하거나 협박해 금전적 이득을 취하는 방법이다. 두 번째는 사용자 정보로 위장해 직접적으로 금전적 이득을 취하는 방법이다.

전자의 예외적인 사례는 있지만 금융 회사를 직접 해킹하는 것은 매우 드물기도 하거니와 해킹을 하더라도 홈페이지 등을 변조해 금품을 요구하는 것이 일반적이다. 즉, 직접적으로 재화의 이동을 수반하는 해킹과는 거리가 멀다.

반면에 전자금융거래에서 정상적인 사용자로 위장하거나 정상적인 거래를 조작해 사용자에게 금전적 피해를 주는 행위는 매우 다양하고 지능적으로 이뤄진다. 해커 시각에서 바라볼 필요가 있는 부분은 이 영역이다.

정상적인 사용자로 위장하기 위해 해커는 전자금융에 필요한 제반 수단을 노린다. 공인인증서, 보안카드, 이체 비밀번호 등이다. 익히 알려진 전자금융 해킹사고는 모두 이런 사용자 인증수단이 탈취돼 일어났다.

최근 가장 심각한 보안위협은 거래를 조작하는 공격이다. 해커는 굳이 정상적인 사용자로 위장할 필요 없이 사용자가 행하는 거래를 자신이 원하는 거래로 조작해 금전적 이득을 취한다. 해커는 사용자 인증수단을 직접 탈취하지 않고 고도의 해킹 기술만으로 목적을 달성한다.

해커는 최종 목표인 금전적 이득을 실현하기 위한 일명 ‘대포통장’과 현금 인출책 등의 조직화된 인력이 필요하다. 이제 해커의 시각에서 필요한 것을 식별했다면 가장 효과적으로 해커 공격을 방어할 수 있는 방법을 금융 회사의 입장에서 고민해야 한다.

1차적으로는 안전한 사용자 인증 방법을 사용해야 한다. 일반적으로 멀티 팩터 인증과 소지하고 있는 것 등을 결합하는 방법이 안전하다. 전자적 침해 가능성을 최소화할 수 있도록 물리적 안전성이 보장된 매체를 사용하는 것이 필요하다.

공인인증서 복제나 부정발급, ID와 비밀번호 도용, 피싱이나 파밍 등에 의한 보안카드 번호 수집 등 사용자를 가장하기 위한 해커의 공격은 동시 다발적으로 외부에서 일어난다. 금융 회사가 사용자 PC나 스마트폰을 보호하는 것이 사실상 어렵기 때문에 최대한 사용자를 가장한 해커를 차단할 수 있도록 로그인이나 거래 시 멀티 팩터 인증을 의무화하는 것을 검토해야 한다.

최근에 이슈가 되고 있는 거래조작공격(메모리 해킹 등)은 멀티 팩터 인증만으로 대응이 어렵다. 대안은 인증 방법을 영구적인 방식이 아닌 해당 거래에 종속된 일회성 인증으로 하는 법이다. 인증을 ‘홍길동에게 100만원 송금할 경우’로 한정짓게 하면 해커가 원하는 ‘김 해커에게 1000만원 송금’을 차단할 수 있다. 이를 ‘거래연동 인증’이라하며 유럽 등을 중심으로 확대되고 있다.

지금까지 ‘기술적 관점’에서 해커를 분석했다면, 이제는 ‘경제적 관점’에서 해커를 분석해야 한다. 조직화된 해커 집단을 금융회사가 제어할 수는 없지만 해커에게 필요한 ‘계좌’는 제어할 수 있다. 최소한 계좌 개설 시에 충분한 신원 확인과 신용도 측정이 요구된다. 대포 통장 개설이 어려우면 어려울수록 해킹에 소요되는 인력과 비용이 증가한다. 이는 정책적으로 추진할 필요성이 있는 대목이다.

이 모든 것들을 만족한다 하더라도 사회 공학적 공격에는 뾰족한 방법이 없다. 금융 소비자에 대한 체계적인 교육 프로그램과 홍보, 사기를 적발할 수 있는 시스템 기술과 노하우 확보가 시급하다.

현대 해커는 매우 악의적이고 지능적이다. 해커의 시각에 서지 않고서는 절대로 해커를 막을 수 없다. 해커를 이해해야 한다. 해커와의 전쟁은 당 태종의 토산(土山)에 대응한 양만춘의 목책(木柵)과도 같다.

강우진 금융보안연구원 인증서비스본부장 hanull@fsa.or.kr