전자금융 분야의 주요 사고 사례와 대응 전략

인터넷 뱅킹은 1990년대에 처음 출시되었으나, 각 금융사별로 다른 형태를 보였다. 외환은행 해킹 사고가 발생하였으며, 국내 최초의 인터넷 뱅킹 사고였다. 범인은 고등학교를 졸업한 19살 재수생이었다. 이메일 등을 통해 Key Logger 프로그램을 공격 대상 PC에 설치하였다. 이는 주기적인 관찰에 의한 정보 습득으로 접근을 시도하였으며, 1일 2회 반복적으로 시도하였다. 3회 이상 오류 시 재발급 받아야 하는 점과 24시간이 지나면 초기화되는 점을 악용하였다. 또한, 습득한 정보를 통해 인증서를 재발급 받았으며, 타 명의 계좌로 이체를 하였다. 당시 구체적인 인터넷 뱅킹 흐름도는 아래와 같은 방식으로 진행되었다. 피싱에 의한 정보 유출 관련 범행 수법은 해킹을 통해 접속 시 악성코드에 감염되도록 설정 - 공인인증서 자동 유출 - 피싱사이트 접속 및 금융정보 입력 - 금융정보 보관 - 보관된 공인인증서 및 금융정보 획득하는 방식으로 진행되었다.

1.     Key Logger 프로그램 등록

2.     Key Logger 프로그램 설치

3.     금융거래

4.     금융정보 유출

5.     불법 취득한 정보로 금융거래

6.     차명계좌로 자금 이체

#현대캐피탈 해킹 (2011년)

웹서버가 해킹되어서 정보가 유출된 사고이다. 해커가 정비 내역 조회 서버의 퇴직 직원의 사용자 계정을 해킹하여 약 21회 접속하였다. 접속 시 동 서버 게시판에 해킹 프로그램을 업로드하였으며, 약 139만명의 고객 정보를 해킹하였다. 해당 개인정보는 이름, 주민등록번호, 주소, 신용등급, 대출 금액 등이 포함되어 있었다. 또한, 해커는 광고메일발송 서버의 외부에서 접속한 직원의 사용자 계정을 해킹하여 서버에 4회 접속하였다. 접속 당시 메일 발송 리스트에 포함된 약 36만명의 고객 정보를 해킹하였다. 해당 개인정보에는 이름, 주민등록번호, 이메일 주소 등이 포함되었다. 해당 사건은 해킹 및 취약점에 대한 진단 및 분석, 보완 대책 수립 및 운용이 부적절하였다. 현대 오토에버와 해킹 시도 모니터링, 대응 업무 등을 위탁하고 있었으나 사고 발생일까지 구체적인 통보 기준을 지정하지 못하였다. 이에 해커가 사용한 9개의 IP 주소에 대한 해킹 시도 내용을 통보 받지 못하였다. 침입방지시스템에 탐지된 기록에 의하면 해커가 3개의 IP 주소를 통해 현대캐피탈 시스템에 대하 251회의 해킹 시도를 하였다. 메인으로 공격하였던 IP 주소의 경우 SQL Injection 등의 웹해킹 공격이 126회 기록이 있었음에도 불구하고 알 수 없었다. 또한, 주기적인 모니터링을 철저히 하지 않고 있었기에 동 IP 주소에 대한 Firewall 즉, 침입차단 시스템 등을 통한 차단이 실패하였다. 마지막으로 해킹 사고가 발생한 광고메일 발송 서버에서는 시스템 가동 후 검사착수일까지 해킹 및 취약점에 대한 진단을 실시하지 않았던 것으로 확인되었다. 광고 메일 발송 및 정비내역 조회 등 공개용 서버 관리를 불철저하였다는 문제점도 있었다. 내부 직원의 접속이 불필요한 광고메일 발송 서버에 5개의 내부 사용자 계정을 부여하였고, 외부 인터넷에서 동 계정을 통하여 서버 접근이 허용되도록 하였다. 이 때 정비 내역 조회 서버는 업무 상 접속이 필요한 정비 업체 이외에도 외부 접속이 불필요한 내부 직원도 서버에 3개의 내부 사용자 계정이 부여되었다. 이는 외부 인터넷에서 동 계정을 통하여 서버 접근을 허용하도록 설정되어 있었다. 또한 서버의 게시판에 해킹 프로그램이 업로드 되지 못하도록 파일 확장자를 필터링하거나 업로드된 파일에 대한 실행 권한을 제거하는 등의 조치를 실시하지 않았다. 뿐만 아니라 10년 전에 퇴직한 담당자의 사용자 계정을 별도로 폐기하지 않아, 퇴직자가 외부에서 피해 서버에 무단으로 7차례 접속되었으며, 해당 계정이 해킹에 이용되는 이슈가 발생하였다. 마지막으로 고객 비밀번호에 대한 암호화를 하지 않았고, 주민등록번호 등 고객의 주요 정보에 대한 변환처리를 별도로 하지 않았다. 정비내역 조회 WAS 서버의 로그파일이 보관 되어있는 고객의 비밀번호에 대하여 암호화처리를 하지 않아 9,950명의 비밀번호가 유출되었다. 더불어 광고메일 발송 서버에 있는 주민등록번호조차 변환되지 않아 해당 리스트에 포함된 약 36만명의 주민등록번호가 유출되었다.

 

# 농협중앙회 해킹 (2011년)

전산 외주 업체인 IBM 직원의 노트북을 통해 서버에 대한 파일 삭제 명령이 동시다발적으로 실행되어 인터넷뱅킹, 자동화 기기가 작동이 중단된 사례이다. 농협은 사고 직후 모든 서버를 차단하여 여수신 창구 업무, 후선 업무, 경제 사업 및 단위 조합 등의 모든 업무가 마비되었다. 사고 다음날 영업점 창구 입출금 업무와 자동화기기, 인터넷 뱅킹을 차례대로 복구하였다. 그러나 신용카드는 거래내역이 삭제되어 VAN 사, 타 신용카드사의 외부 자료를 활용하여 복구하는데 20일이 소요될 정도로 큰 규모의 사건이다. 관련 사건으로 인한 민원 내용은 공과금 납입 지연으로 인한 과태료 납부, 이용불편 호소 등이 있었다. 카드 이용내역 복구는 지연됨에 따라 대금을 고객에 청구하지 못하여 약 45.2억원의 이자비용이 발생하였다. 외주 직원이 비밀번호가 저장된 노트북을 수시로 반/출입을 하였음에도 불구하고 별도의 통제는 없었다. 또한, 외부 노트북으로 시스템 접속 시 단말 보안 프로그램이 설치되지 않았으며, 악성코드 진단조차 실시하지 않았다. 외주 직원의 경우 내부 직원과 다르게 별도의 IP 주소 및 권한을 부여해서 시스템을 보호했어야 하나 농협은 이를 준수하지 않았다. 이는 외부 통신망과 내부 통신망을 동시에 연결할 경우 외부에서 유입된 악성 프로그램 및 바이러스 등이 내부 시스템에 직접적으로 유입될 위험을 가지고 있다. 해킹에 사용된 ID 관리 계정은 초기 비밀번호 설정 후 사고 당시까지 약 30개월간 비밀번호를 변경하지 않았으며, 이에 대한 관리가 별도로 진행되지 않았다. 기타 상당 수의 계정이 단순 패스워드를 사용하거나 서버명과 동일한 비밀번호를 사용한 것으로 확인되었다. 계정 관리를 편하게 하기 위해 모든 서버로 통하는 하나의 계정관리시스템을 만들어 파일 삭제 및 변경할 수 있는 마스터 권한까지 부여할 수 있도록 개발하였다. 해커는 이를 악용하여 모든 서버에 접근할 수 있도록 마스터 권한을 스스로에게 부여하였고, 동시 다발적으로 악성 스크립트를 실행해버리는 결과를 초래하였다. 불과 20분만에 273대가 피해 입었다. IBM 서버 운영체제에 대한 백업 및 소산도 3년동안 부적절했다. 자동화기기, 인터넷 뱅킹 등 정상 작동을 위해 필수적인 시스템 소프트웨어의 약 85%가 백업 및 소산이 실시되지 않은 것으로 확인되었다. 최초로 카드 시스템이 설치된 이후 증가되는 데이터에 대하여 저장을 위해 추가된 디스크에 대한 백업이 누락되었다. 또한, 백업 상태에 대한 점검 및 복구 훈련을 직원들에게 별도로 실시한 적이 없어 일부 테이프 백업 기능이 작동되지 않고 있다는 사실조차 인지하지 못하고 있었다.

# 사이버테러 (2013.03.20)

회원 조합을 포함한 농협은행, 신한은행 등 5개사 본점 및 영업점의 PC와 자동화기기가 악성코드에 감염되어 작동되지 않아 영업점 운영을 중단하거나 창구 업무 처리가 지연되는 사건이 발생하였다. 해커는 5개 지점의 PC로 최초 감염을 시켰으며, 해당 PC를 통해 APC 서버를 분석, 권한 획득한 후 PC파괴모듈을 APC 서버에 삽입하였다. 해당 서버와 연결된 농협은행 PC로 악성코드가 배포되었다. 배포된 악성코드는 감염된 PC 부트섹터 및 데이터 삭제, 자동 종료 등을 수행하도록 설계되어 있었다. 해당 사건과 관련하여 발견한 문제점은 방화벽 관리 소홀하여 영업점 PC에서 APC 서버로의 불필요한 관리자 포트가 오픈되어 있었다는 것이다. 또한, APC 서버에 대한 2개월간의 침투 시도에 대한 로그 분석과 외주업체 관리 및 자체 비상 대책 등에 소홀하였다. 더불어 패치 배포에 대한 관리 및 관련 통제 절차에 미흡하였다. 방화벽 보안정책 관리하는 방식은 Black List와 White List 방식으로 나뉜다. 먼저 블랙리스트 방식은 위험한 것으로 알려진 주소 및 포트만을 차단하고, 그 외의 주소 및 포트는 허용하는 방식이다. 이는 정책을 관리하기에 간편하지만, 알려지지 않은 위험한 주소 및 포트를 별도로 차단하지 못하는 위험이 존재한다. 대부분 기관에서는 사용하지 않고 있다. 반면에 화이트리스트 방식은 접근 허용이 필요한 주소 및 포트만을 허용하고, 그 외의 주소 및 포트는 차단하는 방식이다. 이는 알려지지 않은 위험한 주소 및 포트를 차단할 수 있는 안전한 방식이나 정책 관리에는 불편한 점을 가지고 있다. 화이트리스트 방식은 대부분의 기관에서 사용되는 방식이다. 농협은 APC 등 주요 서버 내 영업점의 백본 방화벽에는 블랙리스트 방식을, 안성센터 전산실습실의 망분리 방화벽에는 화이트리스트 방식을 반영하여 장애의 원인이 되었다. APC 취약점을 이용한 공격 시나리오는 다음과 같다.

1.      공격 Agent PC에 악성 프로그램 설치

2.      APC 통신 모듈에 대한 기능 분석 및 APC 서버에 로그인 인증 우회 취약점 발견

3.      공격 Agent PC에서 해당 취약점을 이용해서 악성코드 배포 시나리오 점검 및 테스트

4.      공격 Agent PC에 실제 피해를 발생하는 악성코드 패키기 다운로드

5.      C&C 명령에 의해 공격 Agent PC에서 APC 관리 서버로 악성 배포 패키지 및 배포 스케줄 등록

6.      APC 서버에 접속한 클라이언트 PC에 악성 배포 패키지 전송 및 실행

 

해커는 신한금융지주 및 계열사가 공동 이용하는 그룹웨어 서버에 악성코드를 유입하여 신한은행 영업점 PC 등에 악성코드를 감염시켰다. 구체적으로는 신한데이터 시스템의 직원 게시판에 2개의 악성코드가 삽입되었고, 해당 게시판에 접속한 PC로 악성코드가 배포되었다. 감염된 단말기를 통해 계정 중계 서버로 접근하여 업무용 및 DB 서버에 접속하여 파일을 삭제하였다. 해커는 DB 서버에 관리자 계정으로 원격 접속하여 DB 삭제 모듈을 실행하여, 부트섹터 및 데이터 삭제와 자동 종료를 수행하였다. 해당 사건은 신한이 DB 접근 통제에 소홀하였으며, 그룹웨어 서버의 비밀번호를 변경하지 않아서 발생한 사례이다. 악성코드에 감염된 서버가 IBK 연금보험 등의 웹서버에 설치된 소프트포럼사의 암호화 송수신 프로그램에 대하여 버퍼오버플로우 공격을 수행하도록 지시하였다. 해당 공격 지시를 받은 PC는 IBK 연금보험 웹서버에 대해 버퍼오버플로우 공격을 실시하였다. 버퍼오버플로우 공격을 받은 웹서버의 암호화 프로그램은 강제 종료되었으며, 서버의 하드디스크의 MBR 영역이 파괴되어 서비스 장애가 발생하였다. IBK 연금보험은 암호화 프로그램만 종료되었으나, 같은 공격을 받은 우리아비바생명과 신영증권은 암호화 프로그램이 일반적인 경로에 설치되어 하드디스크 영역까지 파괴되었다.

 

#카드3사 고객정보 유출사고 (2014년)

검찰은 KB국민카드, NH농협카드, 롯데카드로부터 개인정보를 유출한 용역회사 직원 등을 기소하였던 카드 3사 고객정보 유출사고가 있었다. 유출된 데이터는 성명, 주민등록번호, 전화번호 등의 개인식별 정보와 카드번호, 유효기간, 결제계좌 등 개인 신용정보 등 총 1억 581만건이다. 카드 부정사용방지시스템 업데이트 작업을 위해 공유 받은 개인정보 데이터를 보안프로그램이 설치되지 않은 PC를 통해 USB로 복사하였다. KB국민카드는 이용자 정보를 변환하지 않고 제공, USB 차단 등 보안프로그램 미설치, USB 반입 및 반출 통제가 미수행되었다. 롯데카드와 NH농협카드 또한 보조기억매체 접근 통제를 소홀히 하였고, 시스템 테스트 시 고객 정보를 변환 후 공유하지 않았다.

 

#삼성카드 화재사고 (2015.04.20)

과천에 위치한 삼성 SDS 데이터센터 화재로 삼성그룹 금융계열사의 서비스가 2일 동안 장애를 일으켰다. 삼성카드는 온라인 쇼핑몰 결제, 문자 알림 서비스, 웹기반 홈페이지 및 관련 모든 서비스 사용이 불가능하였다. 삼성화재는 홈페이지 멤버십 카드 이용에 대한 신청, 고객센터 전화 상담이 불가능하였고, 삼성생명은 홈페이지 내 일부 서비스 이용이 불가능한 상태였다. 삼성카드는 온라인 사용 승인에 필요한 안심클릭시스템을 재해복구 시스템을 구축할 당시에 누락하였다. 즉, 체크카드 잔액 확인을 위한 통신회선을 재해복구시스템에 모두 구축하지 않아 2일간 업무가 중단되어 있었다. 해당 센터에는 실전환 훈련도 부적절하였다는 사실이 드러났다. 해당 훈련은 매년 1회 실시하였으나 업무 부담 등의 이유만으로 일부 시스템에 대해서만 실시하였다. 또한, 승인 및 고객상담 시스템 전환 훈련에 대해서 복구요원의 이동 없이 본사에서만 수행하는 것으로 다양한 시나리오를 적용하지 않은 것을 확인할 수 있었다. 결과적으로 화재 사고로 인하여 재해복구시스템 가동 선언 시점을 기준으로 카드처리 및 고객 상담 시스템 복구는 각각 3시간 이상, 체크카드 업무는 26시간 정도 중단되는 사태가 일어났다.