우리은행 최악 사태 막은 `공인인증서`…“불편해도 여전히 확실한 보안 수단”

실시간
뉴스

솔루션

우리은행 최악 사태 막은 '공인인증서'…“불편해도 여전히 확실한 보안 수단”

디지털데일리 발행일 2018-07-03 09:51:17

최민지

URL복사

[디지털데일리 최민지기자] 최근 사이버공격자가 다른 웹사이트에서 해킹을 통해 얻은 개인정보로 우리은행에 약 85만번의 부정접속 시도를 했다. 5만6000여건의 고객정보를 확보하는데 성공했지만, 출금에는 실패했다.

우리은행은 “최근 인터넷뱅킹을 통해 ID 및 비밀번호를 무작위로 부정접속 시도하는 사례가 발생하고 있다”며 “고객 피해를 최소화하기 조치를 취했으나, 불법으로 취득한 정보를 이용해 금융·공공기관을 사칭한 전자금융사기(보이스피싱)가 발생할 가능성이 있으니 각별히 유의하기를 바란다”고 공지했다.

지난 23일부터 시작된 85만번의 부정접속이 27일에서야 차단돼 우리은행 측의 뒤늦은 사태 대응이었다는 지적이 제기되고 있다. 다행히도 공인인증서와 보안카드까지는 해커가 뚫지 못해 이중 보안인증 체계가 최악의 사태를 막았다.

우리은행 측은 “공격자가 다른 웹사이트에서 아이디와 비밀번호를 가져와 우리은행 이용자도 같은 계정값을 사용하는지 매칭하는 행위를 했다”며 “큰 기업은 망을 하나로 쓰기 때문에 거래가 많다고 이를 모두 차단할 수 없는데, 정상적 방법으로 로그인을 했기 때문에 확인작업이 필요했고 대량 건수가 들어온 날 조취를 취하고 제재를 한 것”이라고 말했다.

이 관계자는 이어 “로그인에 성공했다고 출금까지 가능하지 않다”며 “본인인증과 공인인증서 등 2중, 3중 보안장치가 있다”고 덧붙였다.

공격자가 은행을 상대로 공격 시도를 벌인 것은 출금할 수 있는 이용자의 계좌정보를 확보해 금전을 탈취하기 위한 목적이 크다.

하지만 금융권은 이중 보안인증과 공개키기반(PKI) 공인인증 시스템을 필수로 마련하고 있어 이를 직접 뚫어 출금에 성공하기란 쉽지 않다.

불편하다는 핀잔을 들어야했던 공인인증서와 이중 보안장치가 막상 해커로부터 안전하게 자금을 지킬 수 있었던 하나의 중요한 보호장치로 작용한 것이다.

보안업계 관계자는 “PKI도 하나의 대안으로 볼 수 있는 게, 개인키를 소지해야 하는 점이 불편하지만 그만큼 안전하다”며 “그렇게 해킹 시도를 당했는데, 비밀번호만 안다면 인출 가능한 상황에서 공인인증서 PKI 인증 방식을 택했기 때문에 키를 탈취하지 못했고 인출할 수 없었던 것”이라고 강조했다.

사용자 부주의로 개인키를 유출할 수는 있지만, PKI 자체의 해킹 사례는 지금까지 발생한 적은 없다. 안정성이 검증된 공개키암호화를 사용하고 있어 인증서가 위변조되거나 개인키가 복구되는 경우도 없다는 설명이다.

이에 이 관계자는 “공인인증서를 폐지한다기보다는 그런 다양한 인증 수단을 같이 사용하는 안이 보안사고를 줄일 수 있는 방법”이라며 “사용자의 지식기반건은 유출되면 똑같이 도용될 수가 있는데, 공인인증서나 OTP와 같은 소지기반의 인증수단이 적용돼 있으면 인출사고를 막을 수 있다”고 말을 보탰다.

금융권은 아이디와 비밀번호로만 거래하기에 규모가 크다면 투팩터 인증을 사용하도록 권고하고 있다. 투팩터뿐 아니라 투채널 인증을 적용하는 추세도 확대되고 있다. PC 인터넷뱅킹을 사용하더라도 인증은 모바일에서 한 번 더 하도록 한다다.

이 관계자는 “가상화폐 취급업소는 핫월렛이라는 유출 가능한 매체에 있어 개인키를 잘못 보관하고 있다”며 “블록체인도 공인인증에 사용되는 PKI 보안기술을 사용하고 있고 공인인증기관은 HSM이라는 보안매체에 보관하고 있어 최악의 보안사고를 막을 수 있는 만큼, 가상화폐 거래소들이 벤치마킹을 해야 한다”고 전했다.

<최민지 기자>cmj@ddaily.co.kr