[정보보호]크롬서 KB국민은행 ID비밀번호 로그인 주의...가상키보드 보안성 도마

크롬 웹 브라우저로 KB국민은행 인터넷뱅킹을 하면 해커에게 모든 정보를 뺏길 수 있어 주의가 요구된다.

화이트해커그룹 락다운은 크롬에서 작동하는 KB국민은행 인터넷뱅킹이 키보드 보안프로그램 대신 가상키보드를 무조건 사용해 개인정보 유출 가능성이 높다고 밝혔다. KB국민은행은 크롬에서 ID와 비밀번호 방식으로 로그인할 때만 별도 보안프로그램을 설치하지 않고 가상키보드 방식을 쓴다. 공인인증서로 로그인할 때 5종의 보안프로그램을 설치하는 것과 비교된다.

크롬으로 접속한 KB국민은행 인터넷 뱅킹은 공인인증서로 로그인할 때는 보안 프로그램을 다운로드한다.
<크롬으로 접속한 KB국민은행 인터넷 뱅킹은 공인인증서로 로그인할 때는 보안 프로그램을 다운로드한다.>

우리, 신한, SC, 수협 등 대부분 다른 은행의 크롬 서비스는 인터넷 익스플로러와 마찬가지로 키보드 보안프로그램을 다운로드해야 한다.

이와 달리 KB국민은행은 ID·비밀번호 로그인 방식에서 물리 키보드 보안프로그램 대신 가상키보드를 무조건 사용하게 구현했다. 이 방식으로 로그인한 뒤 계좌 비밀번호, 보안카드 번호를 모두 가상키보드로 입력한다. 가상키보드는 물리 키보드로 입력하는 값을 빼가는 해킹을 방지하지만 원격에서 PC를 모니터링하는 악성코드에 감염되면 무용지물이다. 보안을 위해 가상키보드를 사용한 것이 오히려 취약점이 된 셈이다.

락다운은 사용자 PC가 원격모니터링 기능이 들어간 악성코드에 감염되면 KB국민은행 인터넷뱅킹에 입력하는 모든 값이 해커에 고스란히 노출된다고 설명했다. 해커가 실시간으로 PC를 모니터링하지 않아도 인터넷뱅킹 전 과정을 녹화해 주요 입력정보를 습득할 수 있다. 가상키보드 배열이 달라져도 화면에 숫자를 누르는 모습이 그대로 노출된다. 최근 공격자는 원격제어 기능이 들어간 악성코드를 대규모로 유포한다.

사용자가 보안을 위해 가상키보드를 사용했지만 ID와 비밀번호, 계좌번호, 계좌비밀번호, 공인인증서 비밀번호 등이 모두 노출된다. 락다운은 만약 해커가 악성코드로 공인인증서를 탈취하고 피싱으로 보안카드까지 확보했다면 금전적 피해로 이어질 수 있다고 설명했다.

락다운은 “크롬 브라우저에서 키로깅 해킹을 방지하기 위해 가상키보드를 썼는데 해커에게 이미 모니터링 당하는 사용자에게 오히려 독이 된다”며 “크롬 브라우저 사용자도 인터넷 익스플로러에서 적용되는 보안 모듈이 작동하게 해야 하며 가상키보드를 무조건 사용하게 해서는 안 된다”고 설명했다.

이에 대해 KB국민은행 측은 보안에 별다른 문제가 없다는 입장이다. KB국민은행 관계자는 “가상키보드는 금융보안연구원 적합성 심사를 거쳐 보안 적합 판정을 받은 기술”이라며 “키보드 보안프로그램과 비교해 동일한 보안수준을 확인할 수 있다”고 말했다. 이 관계자는 “가상키보드에서도 암호화를 지원하고 있고, 구동할 때 자판 배열이 랜덤으로 변동돼 보안이 한층 강화된 방식”이라고 덧붙였다.

김인순기자 insoon@etnews.com, 길재식기자 osolgil@etnews.com