솔루션
모바일 뱅킹 사용자 폭증, 보안 전략은 어떻게?
디지털데일리
발행일 2012-05-04 07:46:23
[IT전문 미디어 블로그=딜라이트닷넷]
모바일 뱅킹 사용자가 급격하게 증가하고 있는 상황에서 금융권의 고민이 높아지고 있다. 스마트폰의 성능이 PC수준까지 올라오면서 보안에 대한 위협도 동등하게 나타나고 있기 때문이다.
인터넷 뱅킹 이용자가 폭발적인 증가함에 따라 PC, 모바일 기반 뱅킹을 대상으로 한 공격이 크게 증가하고 있다는 경고가 잇따르고 있다. 최근 위변조된 모바일뱅킹 애플리케이션이 인터넷에 퍼져 실제 거래에 빈번하게 쓰이는 것으로 확인된 바 있다.
위조 및 변조된 애플리케이션으로 사용자 몰래 개인정보를 빼내는 등 피싱 도구로 악용될 수 있다는 점에서 대응책이 시급하지만 대다수 금융 기관은 마땅한 대책을 마련하지 못하고 있는 실정이다.
<관련기사 : 스마트뱅킹 앱 무결성 검증, 어떻게 해야할까>
그러나 대책은 확실히 필요할 것으로 보인다. 지난 25일 한국은행이 발표한 ‘2011년도 지급결제보고서'에 따르면 지난해 스마트폰 모바일 뱅킹 자금이체 금액은 3727억원으로 나타났다.
이는 전년보다 698.1% 확대된 것으로, 스마트폰 모바일뱅킹 서비스는 2009년 12월 시작돼 2010년엔 470억원 이용실적을 기록했다. 등록고객 수로 보면 2010년 261만명에서 지난해 1036만명으로 297% 증가했다.
특히 스마트폰을 기반한 모바일 뱅킹 등록 고객 수는 같은 기간 775만명(297%)이나 급증한 1036만명을 기록하며 처음으로 1000만명을 돌파했다.
모바일 뱅킹은 과거 텔레뱅킹, 인터넷 뱅킹으로 이어지는 트렌드가 된 셈이다. 모바일 뱅킹을 안전하게 이용할 수 있도록 금융기관에서는 마련해야할 대책은 무엇이 있을까.
IDC파이낸셜인사이트(IDC Financial Insights)는 2012년 모바일 OS의 취약성을 노리는 사이버 범죄가 대폭 증가할 것이며, 금융 사기를 노리는 정교한 공격 방법이 등장할 것으로 내다봤다.
이에 대응하기 위해 금융권의 보안부서는 이슈로 떠오르는 모바일이나 소셜 등 새로운 서비스를 고민해야한다. 또 고객들에게 해킹에 대한 위험성을 알리고 주의를 주는 것도 금융권이 신경써야할 부분이다. 특히 최근 금융사이트를 가장한 피싱사이트가 급증하고 있어 주의가 필요하다.
이미 피해 사례가 많은 피싱 사기는 물론, 문자 메시지를 이용한 새로운 해킹 방법인 스미싱(smishing, SMS+피싱) 등 해커가 개인 금융 데이터에 접근하고 이를 탈취하는 과정을 사용자가 인지하도록 지원해야 하는 것이다.
IDC에 따르면 금융 사기, 해킹에 대한 사용자 교육은 현재 미흡한 상태이므로, 피싱 및 스미싱 공격 시뮬레이션을 실시해 고객이 한 번쯤 의심하고 다시 봐야 할 요소는 어떤 것이 있으며, 이에 대한 대처방안을 고민해봐야 한다.
프란시스 F. 트렌틀리 아카마이 정부 서비스 수석 이사는 “금융 기관은 빠르고, 확장성이 뛰어나며, 중단 없이 보호 기능을 제공하는 솔루션을 통해 금융 서비스의 안정성을 확보해야한다”며 “애플리케이션 레이어단에서 볼 때 악의적인 요청은 차단하면서, 금융 서비스 특성상 대량의 트래픽 발생 시 특정한 보호 기능을 사용할 수 있는 웹 애플리케이션 방화벽이 필요하다”고 설명했다.
아카마이는 최근 멀티벡터 DDoS 및 애플리케이션 보안 공격을 방어하는 아카마이 코나 사이트 디펜더(Akamai Kona Site Defender)를 출시했다. 아카마이 코나 사이트 디펜더는 실시간 웹 보안 모니터링, 어댑티브 레이트 콘트롤(adaptive rate controls) 등의 기능들이 통합된 클라우드 기반의 단일 솔루션이다.
또 아카마이는 아카마이 인텔리전트 플랫폼(Akamai Intelligent Platform)을 기반으로 ‘중단없는’ 보호를 지원한다.
한편 모바일 뱅킹을 겨냥한 공격이 최대 위협으로 떠오른 원인에는 모바일 애플리케이션 취약점을 이용한 악성코드의 대량 유포 가능성도 한 몫하고 있다. 모바일 뱅킹 솔루션 사용은 지속적으로 늘어나고 있지만 상용화가 시작된 것은 최근이기 때문에 보안 통제와 고객의 이해가 아직 보조를 맞추지 못하고 있다.
특히 모바일 뱅킹 앱들 중 네이티브 앱이 아닌경우가 많다. 이런 경우 PC와 동일하게 HTTP를 사용하기 때문에 SSL/TCP와 같은 수준의 보안을 제공해야한다. 같은 이유로 인해 모바일상에서 주고받는 전문도 암호화해야한다는 주장도 나오고 있는 상황.
소프트포럼 신윤섭 팀장은 “금융권들이 사용하고 있는 앱들 중 상당수가 웹 앱으로 전문을 주고받을 때, 내용을 탈취당할 수 있다”며 “PC뿐 아니라 모바일에서도 무결성을 체크할 수 있는 플랫폼을 만들어야 한다”고 강조했다.
[이민형 기자 블로그=인터넷 일상다반사]
Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지