본문 바로가기

벌새::Security

은행 예금 해킹과 개인정보 보관

반응형
최근 중국 해커에 의해 3~4억의 예금이 인출되었다는 소식과 함께 다시 한 번 개인정보 보관에 대해 생각해 볼 기회인 것 같습니다.

이들 해커가 개인 사용자의 예금을 해킹할 수 있었던 통로는 사용자 컴퓨터를 감염시켜 이메일 계정 정보를 수집하고 이메일 내부에 게시된 각종 개인정보를 통해 예금 인출로 이어진 것으로 보입니다.

사용자 컴퓨터 감염은 언론상에서 동영상 유포를 통한 감염으로 언급하고 있는데, 우리가 일반적으로 생각하는 avi, wmv 등과 같은 대용량 파일을 직접 재생하는 과정에서 삽입된 악의적 코드가 실행되었다고는 생각하기 어렵고, 아마 특정 동영상을 보기 위한 ActiveX 설치 방식, 코덱(Codec) 설치 방식, 동영상을 볼 수 있다는 문구를 통해 특정 취약점을 악용한 악의적인 사이트 유도 방식이 아닐까 조심스럽게 추정해 봅니다.

이런 과정에서 감염된 사용자 컴퓨터의 이메일 계정을 수집하여 해당 계정 내에 존재하는 정보 중 은행권과 관련된 내용이 있는 사용자가 피해자로 연결이 되었을 것이고, 실제 감염자는 더 많았을 것으로 추정됩니다.

일반적으로 생각해보면 이메일 계정의 경우 사용자들은 타 사이트에서 사용하는 아이디와 비밀번호를 그대로 이용하는 경향이 강하며 이메일 계정이라고 특별히 다른 것이 아닌 특정 이메일 서비스 사이트의 아이디와 비밀번호 방식이라 구지 이메일 계정 해킹이라는 표현보다는 웹 사이트 계정 노출을 통해 자연스럽게 이메일의 내용물까지 외부에서 수집할 수 있는 길이 열린 것 뿐일겁니다.

최근의 이메일의 변화 중의 하나가 대용량 서비스로 이어지면서 사용자 중에 USB와 같은 이동식 저장 매체보다는 조금 더 안전하리라 생각되는 이메일 계정에 특정 정보를 업로드하여 보관하는 방식을 선호할 경우 이번과 같은 피해로 연결될 소지가 있습니다.

200여명이 넘는 사용자 개인정보를 수집하여 실제 인출사고로 이어진만큼 금융권에서 제공하는 소프트웨어적인 보안보다는 역시 개인 사용자의 1차적인 보안 의식과 이용 습관을 다시 한 번 확인하여 금전적 피해를 줄여야겠습니다.

그러기 위해서는 자신이 특정 이메일에 자료를 보관할 경우에는 반드시 타 사이트의 비밀번호와는 다른 형태로 구성을 하고, 주기적인 비밀번호 교체를 하는 습관이 필요할 것입니다.

특히 특정 정보를 사용자 컴퓨터에 파일로 보관하는 것이 위험하다고는 하지만 현실성을 고려하여 어쩔 수 없이 보관을 하신다면, 스캔 방식의 경우 그림 파일로 생성된 컨텐츠를 특정 문서 프로그램에 넣은 후 해당 문서를 암호로 지정하여 최소한의 보안장치는 갖추는 것도 하나의 방법이 아닐까 생각됩니다.

또한 이번처럼 사용자 모르게 설치된 악성코드로 인하여 개인정보가 수집되는 과정에서 사용자가 사용하는 신뢰할 수 있는 보안제품의 주기적인 정밀 검사가 있었다면 사전에 예방을 할 수도 있었을지 모르겠습니다.

국내에서도 금융권 해킹 사고가 종종 들려오고 있으며, 이번과 같이 대규모 인출 사고로 이어지는 현실에서 개인의 재산과 정보는 자신이 1차적인 방어자임을 잊지 마시고 조금 더 안전하게 보관하고 이용하는 습관을 가질 필요가 있습니다.

728x90
반응형
  • usb는 잊어버릴까봐.. 이메일은 누군가에게 계정이 유출될까봐... 이리 걱정되서야..집에서만 인터넷 뱅킹을 해야할 것 같습니다. 사실 집안에서도 그리 안전한 것은 아니죠..

    뭔가 인터넷 뱅킹 사용의 근본적인 변화가 있어야 하지 않을까 합니다. OTP가 현재 유력한 방법이라곤 하는데 이것도 다소 불편하더군요.

    • 저도 그동안 인터넷뱅킹을 크게 신뢰하지 않아 이용하지 않다가 최근에야 이용을 시작했는데 편리성에 따르는 위험성이 공존하는 것 같습니다.

      반대로 보안에서는 불편성이 안전성을 보장하면 좋은데 꼭 그렇지만은 않은 것 같고..

  • 저는 최근에는 시간이 정말 부족할떄 이외에는 인터넷 뱅킹을 안하고 있습니다.그냥 조금은 귀찮고 불편하더라도 그냥 운동삼아 걸어가곤합니다.벌새님이 말씀하신것처럼 편리함과 동시에 위험성이 공존하는 것떄문이 아닐까 생각이듭니다.