인터넷 뱅킹 첫 해킹 누구의 잘못인가?

인터넷 뱅킹이 처음으로 해킹을 당했다고 합니다. 동아경제의 기사를 조금 인용해보면

어떻게 빼냈나=‘넷 데블’ 프로그램의 특징은 해커가 지정한 글이나 그림을 클릭하면 자신의 컴퓨터에 자동으로 깔린다는 점.

이용자는 자신의 컴퓨터에 프로그램이 깔리는지를 전혀 알 수 없지만 해커는 상대방이 컴퓨터 자판에 입력하는 내용을 자신의 컴퓨터를 통해 실시간으로 볼 수 있다. 상대방이 어떤 화면을 보는지도 파악이 가능하다.

이 씨는 이런 ‘키 스트로크(key stroke)’ 방식으로 피해자의 거래은행과 계좌번호, ID, 비밀번호, 공인인증서 비밀번호, 보안카드번호를 모두 알아냈다.

전문적인 해커가 아니라 하더라도 이 프로그램을 이용하면 상대방의 개인정보를 빼내는 일이 그다지 어렵지 않다는 것. 이 씨는 4월 자신의 계좌를 이용해 예행연습을 한 뒤 바로 실행에 옮겼다.

위의 사례는 Two-factor 인증은 안전하지 않다에 서 소개한 바 있듯이 Trojan horses를 고려하지 않았기 때문에 발생한 문제이며, 같은 글에서 언급했던 것처럼 진짜 문제는 "사칭에 따른 공격"입니다. 보안이 강화된 Two-factor 인증 방법으로써 대응하지 말고 어떻게 하면 "사칭에 따른 공격"을 막을 것인 가에 대한 고민을 해야 합니다.

금번 발생한 인터넷 해킹 사건의 책임은 누구에게 있을까요? SBS 뉴스를 조금 인용하면,

특히 현재의 전자금융거래 약관에는 이런 경우에 고객이 책임을 지도록 돼 있는 것도 문제입니다.

고객의 잘못이 없는 경우, 금융기관이 책임을 져야 하는 법안이 국회에 제출된 상태지만 금융권의 반발로 처리는 미지수입니다.

피싱과 ID 도용이란 글에서 소개드린 것처럼, 이 사건의 책임은 전적으로 은행에 있습니다. 왜냐하면 은행이 거래를 허가했기 때문입니다.
은행은 "거래를 인증해라. 사람이 아니고"란 말을 명심하고, 피싱과 ID 도용에서 언급한 권고사항들을 시스템에 반영했어야 합니다. 다시 한 번 적어보면,

• 호주 이외의 국가의 IP 주소를 제한해라
• 이상한 거래 시간을 제한해라.
• 접속한 단말을 식별하기 위해 쿠키를 설정해라.
• 주로 사용하는 IP를 기록하라
• 주로 접근하는 시간을 기록하라
• 주/월 중 사용일을 기록하라.
• 이상한 행동이 감지되면 메일을 보내라
• 속임수가 의심되면 계정을 잠궈라.
• 의심스러운 금액의 인출에는 유예기간을 둬라.
• 위험에 따라 감독을 달리해라.
• 은행이 아니고 사용자별로 위험을 정의해라