공공 I-PIN, 위택스 가상키보드 보안능력도 도마에 올라

 

올여름을 뜨겁게 달군 ‘국정원 RCS 사건’을 기억하는가. 국정원이 해킹프로그램인 ‘RCS(Remote Control System·원격조정시스템)’를 비밀리에 구입했다가 논란을 일으킨 사건이다. 문제는 이런 RCS가 우리의 개인정보와 금융정보를 공격할 수 있다는 점이다. 더스쿠프(The SCOOP)가 RCS 해킹툴을 이용해 국내 금융회사 35곳(저축은행 제외), 위택스(지방세 인터넷 납부시스템), 공공 I-PIN에 설치된 ‘가상키보드’의 보안능력을 분석했다. 결과는 충격적이다. RCS의 해킹성공률은 90%에 육박했다.

■ 금융회사 83곳 중 79곳 뚫려(저축은행 포함시)
■ 금융회사 공인인증서 비밀번호 해킹 우려
■ 지방세 인터넷 납부시스템 위택스, 공공 I-PIN 속수무책
■ 위택스는 공인인증서 비밀번호 유출 우려
■ 공공 I-PIN은 주민번호 뒷자리 유출 가능성

공공기관과 정부포털, 금융회사가 해킹 방지를 위해 도입한 ‘가상키보드 보안솔루션(이하 가상키보드)’이 해킹프로그램인 RCS (Remote Control System·원격조정시스템)의 공격에 속수무책인 것으로 밝혀져, 논란이 일 전망이다. 더스쿠프(The SCOOP)가 복수의 IT보안솔루션 전문가들과 ‘가상키보드의 보안능력’을 분석한 결과, 은행·카드사·캐피탈사·보험사 등 금융회사(저축은행 제외) 35곳 중 31곳의 가상키보드가 RCS에 뚫렸다. 금융회사 35곳은 로그인 또는 공인인증서의 입력단계에 가상키보드를 설치한 곳들이다.

금융회사만이 아니다. 지방세 인터넷 납부시스템 ‘위택스(wetax)’, 인터넷상 개인식별번호 ‘공공 I-PIN’의 가상키보드도 RCS에 힘없이 무너졌다. 익명을 원한 보안업체 관계자는 “국내 금융회사와 공공기관, 정부포털의 가상키보드가 뚫렸다는 건 개인정보, 금융정보가 해커에 무방비 상태로 노출돼 있다는 뜻”이라고 지적했다.

 

◇ RCS에 무너진 가상키보드 = 가상키보드는 데스크톱PC·노트북·스마트폰 등의 화면에 만든 키보드다. 마우스나 터치를 통해 키를 칠 수 있다. 전통적인 해킹방법인 ‘키보드후킹(hooking·키보드로 누른 정보를 중간에 가로채는 기술)’을 막기 위해 개발됐다. 글로벌 반도체 업체 ‘인텔’이 자사 직원들의 개인정보를 보호하기 위해 도입했을 정도로 중요한 보안솔루션이다. 국내에서도 개인·금융정보를 많이 취급하는 KB국민은행, 우리은행, 현대카드, 교보생명 등 주요 금융회사들이 도입했다. 산업은행(공공기관), 위택스, 공공 I-PIN 등 공적 부문에서도 가상키보드를 활용하고 있다.

RCS는 지난 7월 국정원이 비밀리에 구입해 논란을 일으켰던 해킹 프로그램이다. 해커가 유저(상대방)의 PC를 원격으로 제어할 수 있는 해킹툴이라고 생각하면 쉽다. ‘국정원 사건’으로 대중에게 알려진 탓에 무거운 툴 같지만 실제론 그렇지 않다. 데스크톱PC·스마트폰뿐만 아니라 산업제어시스템에도 폭넓게 쓰이고 있다. ‘(PC 관련) 서비스센터 직원이 소비자의 PC를 원격으로 수리하거나 제어할 때 사용하는 프로그램’이 바로 RCS의 일종이다. 보안솔루션 업체 큐브피아의 권석철 대표는 “해킹에 이용되는 RCS는 해커가 아니더라도 손쉽게 구할 수 있다”며 “인터넷에 공개된 RCS를 조금만 손봐도 해킹툴로 사용하는 게 가능하다”고 말했다.

◇ RCS 해킹 실험, 충격적 결과 = 이런 RCS는 가상키보드를 무력화할 수 있는 해킹툴이다. PC 등의 화면에 뜨는 가상키보드를 원격로 보거나 제어할 수 있어서다. 그래서 가상키보드에서 가장 중요한 건 ‘가상假想’이다. 유저가 가상키보드에 ‘키’를 칠 때, 해커의 눈에 해당 키보드가 보이면 안 된다는 거다. 가상키보드와 그 위를 움직이는 ‘커서(cursor)’가 노출되는 순간 말 그대로 ‘끝’이기 때문이다. 일부 금융회사가 가상키보드에 ‘멀티커서(multi-cursor)’를 도입한 이유가 여기에 있다. 가상키보드가 노출돼 커서의 동선動線이 들통 나더라도 어떤 게 진짜인지 헛갈리게 만들기 위해서다.

 

▲ 왼쪽은 사용자 PC, 오른쪽은 해커 PC다. ❶ 사용자가 자신의 PC에서 가상키보드를 활용해 공인인증서의 비밀번호를 입력하고 있다. ❷ 오른쪽 해커용 PC에 가상키보드가 나타나지 않아야 하지만 그렇지 않다. 사용자가 움직이는 커서까지 빨간색으로 선명하게 표시돼 있다. 가상키보드를 사용하는 유저의 공인인증서 비밀번호가 해커에게 노출된 셈이다. [자료: 더스쿠프 영상]

그렇다면 가상키보드를 도입한 금융회사, 공공기관, 정부포털은 RCS의 공격을 제대로 방어할 수 있을까. 더스쿠프는 이 의문을 풀기 위해 지난 8월 3일~28일 IT보안솔루션 전문가들의 도움을 받아 가상키보드를 탑재한 금융회사 35곳(공공기관 산업은행 포함·저축은행 제외), 정부포털(위택스·공공 I-PIN)의 보안 능력을 실험했다. 일단 데스크톱PC 두대를 준비했다. 한대는 유저용用, 다른 한대는 해커용이다. 해커용 PC엔 소비자의 PC를 훔쳐보거나 제어하는 기능이 있는 RCS를 설치했다.

유저용 PC엔 화면송신기능이 있는 RCS를 탑재했다[※ 참고: 사실 RCS는 합법적으로 사용하면 아무런 문제가 없다. 앞서 언급했듯 소비자의 PC나 스마트폰을 원격으로 수리하거나 제어할 때 사용하는 프로그램이 RCS의 일종이다. 문제는 사용자가 모르는 사이에 RCS가 작동할 때다. 이 경우, RCS는 ‘악성코드’가 된다. 해커는 이런 RCS 악성코드를 이메일이나 SNS를 통해 소비자에게 전파할 것이다. RCS 악성코드는 요즘 가장 유행하는 해킹툴 중 하나다. 정보보안업체 시만텍의 분석에 따르면 최근 수집된 악성코드 중 88.7%는 원격에서 공격자가 직접 제어를 할 수 있는 RCS 계통이다. 하지만 RCS 악성코드는 현재의 백신을 통해 완벽하게 막아내기 어렵다. 2011년 안랩은 금융정보 기술포럼에서 “변종의 해킹툴이 지속적으로 등장해 백신 프로그램만으로 대처하는게 사실상 불가능하다”고 밝혔다.]

 

가상키보드 90% 이상 해킹

해킹 여부를 확인하는 방법은 의외로 간단했다. 유저가 가상키보드를 사용할 때 해커용 PC에 해당 키보드와 커서가 안 보이면 ‘방어성공’, 보이면 ‘방어실패’다. 공격용 RCS는 IT보안전문가라면 누구나 구할 수 있는 것을 사용했다. ‘성능 좋은 RCS라서 뚫린 것’이라는 반론을 미연에 방지하기 위해서였다.

실험 결과, 금융회사 35곳 중 88.5%에 달하는 31곳의 가상키보드와 커서가 해커용 PC에 그대로 노출됐다. RCS 공격을 받은 가상키보드가 ‘가상의 기능’을 상실한 셈이다. 여기엔 A은행, B은행, C카드, D생명, E생명, F캐피탈 등 국내를 대표하는 금융회사가 포함돼 있다. 위택스, 공공 I-PIN 가상키보드의 결과도 다르지 않았다. 특히 이들의 커서는 해커용 PC에서 빨간색으로 표시돼 ‘멀티커서 시스템’도 무력화됐다. 해커를 속이기 위한 또 다른 커서는 ‘흰색’으로 표시됐기 때문이다. 권석철 대표는 “시중에 나와 있는 가상키보드를 비롯한 보안프로그램은 대부분 분석이 끝났기 때문에 RCS를 약간만 응용해도 (보안프로그램을) 뚫을 수 있다”고 말했다.

 

▲ 국정원이 구입해 논란을 일으켰던 RCS가 금융회사의 상당수 가상키보드를 무너뜨렸다. 사진은 지난 8월 8일 국정원 국민해킹 진상규명 민주수호 ‘국민일동’ 대회 참가자들이 구호를 외치는 모습. [사진=뉴시스]

◇ 공인인증서 가상키보드 리스크 = 문제는 RCS를 통해 해킹될 우려가 있는 정보의 ‘질質’이다. 상당수 금융회사가 공인인증서의 비밀번호 입력단계에 가상키보드를 설치했기 때문이다. 금융회사 35곳 가운데 27곳이 이런 형태이고, 그 중 25곳(92.5%)이 RCS 공격에 무너졌다.

공인인증서는 온라인거래의 ‘인감도장’으로 불린다. 인터넷뱅킹·온라인쇼핑 등 금융거래를 할 때 신분확인용으로 사용돼서다. 공인인증서의 비밀번호만 있으면 개인의 다양한 금융거래정보를 파악할 수 있는 이유다. 그래서 해커들은 이를 ‘보물상자를 여는 열쇠’라고 부른다. 한국은행에 따르면 인터넷뱅킹용 공인인증서의 발급건수는 올 2분기 현재 2894만개로, 우리나라의 경제활동인구(2730만3000명·7월 기준)보다 많다. 금융회사 35곳 중 8곳은 로그인에만 가상키보드를 설치해 놨는데, 이 역시도 문제가 없는 건 아니다. 금융거래정보는 아니더라도 개인정보가 노출될 수 있어서다.

 

위택스의 로그인에 도입된 가상키보드가 뚫린 것도 문제다. 위택스는 ‘공인인증서 로그인’ 방식을 채택하고 있는데, 가상키보드는 공인인증서의 비밀번호를 입력하는 단계에 깔려 있다. 이런 맥락에서 위택스의 가상키보드가 RCS 공격에 무너졌다는 건 해커에게 ‘보물상자의 열쇠’를 헌납한 격이다. 위택스에선 재산세·자동차세·주민세 등의 납부액, 환급금·미납금을 비롯한 상세한 세금정보를 파악할 수 있다.

공공 I-PIN의 가상키보드도 심각하다. 행정자치부가 제공하는 인터넷상 개인식별번호인 공공 I-PIN을 발급 받으려면 가상키보드로 주민등록번호 뒷자리를 눌러야 한다. 때문에 가상키보드가 RCS에 뚫리면 주민번호 뒷자리가 노출되는 셈이다. 이는 ‘주민번호 유출 방지’라는 공공 I-PIN의 발급 취지를 송두리째 뒤흔든다. 주민번호 유출을 막기 위해 도입한 공공 I-PIN이 주민번호의 ‘유출처’가 될 수도 있어서다.

새삼스럽지 않은 가상키보드의 허점 = ‘가상키보드의 보안능력이 약하다’는 지적은 이미 수년 전부터 제기돼 왔다. 한국인터넷진흥원(KISA)은 2009년 5월 ‘보안위협과 대응전략’이라는 보고서를 통해 “가상키보드의 입력 등을 원격으로 감시하는 악성코드의 공격은 위험성이 크다”고 경고하면서 그 사례로 ‘원격제어도구(RCS 등)로 사용자의 행동을 감시해 비밀번호 등을 유출’ ‘원격제어도구에 감염된 사용자 PC 내부의 모든 자료 유출 가능’을 꼽았다.

금융보안연구원도 2009년 11월 ‘전자금융거래 입력매체 보안기술 분석결과’라는 보고서에서 가상키보드의 약점을 구체적으로 지적했다. “… 일반적으로 가상키보드의 영역에 화면저장 방지기술이 적용돼 있지 않아 키보드 입력값이 노출된다. 화면저장 방지기술이 없는 제품의 경우, 계좌비밀번호·보안카드번호 등 중요정보를 입력하는 부분에 적용하면 안 된다….” 하지만 금융회사, 공공기관, 정부포털에 탑재된 대부분의 가상키보드엔 ‘화면저장 방지기술’이 없다. ‘소’를 잃을 수 있다는 경고가 쏟아졌음에도 ‘외양간’을 고치지 않은 셈이다.

RCS의 공격. 국정원 이야기도, 남의 이야기도 아니다. RCS에 가상키보드는 무너졌고, 우리의 정보는 해커에 노출됐다. 말 그대로 무방비 상태다.
이윤찬·강서구 더스쿠프 기자 chan4877@thescoop.co.kr




 

저작권자 © 더스쿠프 무단전재 및 재배포 금지

개의 댓글

0 / 400
댓글 정렬
BEST댓글
BEST 댓글 답글과 추천수를 합산하여 자동으로 노출됩니다.
댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글수정
댓글 수정은 작성 후 1분내에만 가능합니다.
/ 400

내 댓글 모음