파일공유 사이트서 해킹프로그램 다운

서울경찰청이 3일 발표한 인터넷뱅킹 해킹 사건은 계좌 비밀번호나 공인인증서 암호를 단순 도용하는 것을 넘어 다중의 보안체계를 갖춘 인터넷뱅킹마저 해킹의 안전지대가 될 수 없음을 여실히 보여주고 있다. 특히 이번 범행에 사용된 ‘넷데블(Net Devel) 해킹프로그램’은 인터넷뱅킹 시스템 자체를 뚫는 해킹프로그램이 아니라 피해자가 입력하는 키보드 정보를 실시간으로 모니터링할 수 있는 간단한 프로그램인 것으로 드러났다. 넷데블은 인터넷 P2P(개인간 파일공유) 사이트 등에서 쉽게 다운받을 수 있다는 것이 이번에 구속된 이씨의 설명이다. ◇범행 수법=이씨는 지난 5월 강원도 춘천시 모 PC방에서 인터넷 재테크 카페 ‘짠돌이’ 게시판에 ‘재테크’라는 제목의 글(미끼)을 게시하면서 해킹프로그램 넷데블도 끼워넣었다. 피해자 김모씨는 이 게시글을 클릭했고 자신도 모르게 컴퓨터에 해킹프로그램이 설치된 것. 이후 김씨가 자신의 PC에 누르는 계좌번호, ID, 패스워드, 공인인증서 비밀번호 등 키보드 내용이 실시간으로 이씨의 컴퓨터에 전송됐고 이를 이용해 이씨는 김씨의 계좌에서 5,000만원을 사전에 공모한 5명의 공범 계좌로 이체시켰다. 금융기관은 인터넷뱅킹시 고객이 보유하고 있는 30여 종류의 보안카드 비밀번호를 누르도록 요구하고 있지만 해커가 무작위로 30번 이상 끈질기게 입력하다 보면 한번은 맞을 수밖에 없는 상황이다. 경찰은 이씨도 계좌번호와 비밀번호 등 중요 사항을 해킹으로 알아낸 다음 이 같은 무작위 접근방식으로 예금을 인출할 수 있었다고 설명했다. ◇문제점 및 대책=은행 등 금융기관은 인터넷뱅킹 시스템에서 여러 장치를 통해 본인 확인을 거치도록 시스템을 마련했지만 이번 사건에서 보듯 본인 확인을 위한 여러 비밀번호들이 그대로 노출되면 대책이 없는 게 현실이다. 또한 금융기관은 ‘전자금융거래 기본약관’ 23조에 명시된 ‘정확한 비밀번호를 입력하고 지시대로 처리할 경우 은행의 과실이 아닌 위조 등 사고이므로 은행은 책임지지 않는다’는 내용을 들어 고객에게 책임을 넘기고 있어 문제로 지적되고 있다. 경찰청은 해킹 예방을 위해 인터넷에서 배포되는 무료 프로그램이나 보안성 검증이 되지 않은 프로그램을 함부로 다운받지 않아야 하며 보안패치나 바이러스 프로그램을 수시로 업데이트해야 한다고 주의했다. 또 인터넷뱅킹 등 금융거래를 할 때는 해당기관에서 제공하는 ‘firewall’이나 ‘nprotect’ 등 방화벽 프로그램을 반드시 실행해야 한다고 충고했다.