[2015 국감]금융·공공기관, 가상키보드 RCS에 마우스커서 노출..위텍스 등 보안 무방비

공공기관, 금융회사 등이 키보드후킹 방지를 위해 도입한 ‘가상키보드 보안솔루션(이하 가상키보드)’의 대다수가 RCS (원격조정시스템)에 무방비 상태인 것으로 드러났다.

11일 국회 기획재정위원회 윤호중의원(경기도 구리시)이 더스쿠프(The SCOOP)와 공동으로 지난 8월 3일~28일 한달여간 ‘가상키보드의 보안능력’을 분석한 결과, 은행·카드사·캐피탈사·보험사 등 금융회사(저축은행 제외) 35곳 중 88.5%에 달하는 31곳의 가상키보드가 상대방 컴퓨터에 RCS를 설치해 화면을 들여다 볼 때 마우스커서와 가상키보드가 그대로 드러났다. 여기엔 은행, OO은행, OO은행, OO카드, OO카드, OO카드, OO카드 등 국내를 대표하는 금융회사 홈페이지가 포함돼 있다.

문제는 지방세 인터넷 납부시스템 ‘위택스(wetax)’, 인터넷상 개인식별번호 ‘공공 I-PIN’의 가상키보드 역시 마찬가지로 사용자 컴퓨터에 RCS가 활성화되면 마우스커서의 움직임이 그대로 드러났다. 윤호중 의원은 이에 대해 “국내 금융회사와 공공기관, 정부포털의 가상키보드 보안솔루션의 많은 수가 구색맞추기일 뿐 완벽하게 보안이 되지 않아, RCS가 사용자 컴퓨터에 깔려있다면 개인정보, 금융정보가 노출될 여지가 있다는 뜻”이라고 지적했다.

가상키보드와 RCS=가상키보드는 데스크톱PC·노트북·스마트폰 등의 화면에 만든 키보드다. 전통적인 해킹방법인 ‘키보드후킹(hooking·키보드로 누른 정보를 중간에 가로채는 기술)’을 보완하기 위해 개발된 키보드모양 위에 마우스로 키보드를 클릭하는 시스템이다. RCS는 지난 7월 국정원이 비밀리에 구입해 논란을 일으켰던 해킹 프로그램이다. 해커가 유저(상대방)의 PC를 원격으로 제어하거나 볼 수 있는 해킹툴이라고 생각하면 쉽다.

이에 의원실은IT보안솔루션 전문가들의 도움을 받아 데스크톱PC 두대(유저용, 해커용)를 준비했다. 해커용 PC엔 소비자의 PC를 훔쳐보는 기능이 있는 RCS를, 유저용 PC엔 화면송신기능이 있는 RCS를 탑재했다. 유저용 PC가 RCS에 감염된 것으로 설정한 것이다. 이런 상황에서 유저가 가상키보드를 사용할 때 해커용 PC에 해당 키보드와 커서가 보이는지 보이지 않는지 실험했다. 공격용 RCS는 IT보안전문가라면 누구나 구할 수 있는 것을 사용했다.

문제는 RCS를 통해 노출될 우려가 있는 정보의 ‘질(質)’이다. 가상키보드를 설치한 금융회사 35곳 중 27곳은 공인인증서의 비밀번호 입력단계에 가상키보드를 설치해놨는데, 그중 25곳(92.5%)이 RCS에 마우스커서가 그대로 노출되었다. 온라인거래의 ‘인감도장’으로 불리는 공인인증서는 개인의 다양한 금융거래정보를 파악할 수 있다. 해커들이 이를 ‘보물상자를 여는 열쇠’라고 부르는 이유다. 금융회사 35곳 중 8곳은 로그인에만 가상키보드를 설치해 놨는데, 이 역시도 문제가 없는 건 아니다. 금융거래정보는 아니더라도 신상정보가 노출될 수 있어서다.

위택스의 로그인에 도입된 가상키보드 보안솔루션도 마우스커서가 해커 화면에 그대로 노출돼 문제다. 위택스는 ‘공인인증서 로그인’ 방식을 채택하고 있는데, 가상키보드는 공인인증서의 비밀번호를 입력하는 단계에 깔려 있다. 위택스에선 가로챈 공인인증서와 비밀번호 있다면 재산세·자동차세·주민세 등의 납부액, 환급금·미납금을 비롯한 상세한 세금정보를 파악할 수 있다.

공공 I-PIN의 가상키보드도 허술하긴 마찬가지였다. 행정자치부가 제공하는 인터넷상 개인식별번호인 공공 I-PIN을 발급 받으려면 가상키보드로 주민등록번호 뒷자리를 눌러야 한다. 이 때문에 사용자 컴퓨터에 RCS가 활성화되면 가상키보드를 누르는 마우스커서가 RCS를 통해 해커화면에 그대로 보이면 주민번호 뒷자리가 노출되는 셈이다.

의원실은‘가상키보드의 보안능력이 약하다’는 지적은 어제오늘의 이야기가 아니다고 지적하고 있다.

실제로 금융보안연구원은 2009년 11월 ‘전자금융거래 입력매체 보안기술 분석결과’라는 보고서에서 “일반적으로 가상키보드의 영역에 화면저장 방지기술이 적용돼 있지 않아 키보드 입력값이 노출된다”고 지적했다. 하지만 금융회사, 공공기관, 정부포털에 탑재된 대부분의 가상키보드엔 ‘화면저장 방지기술’이 없다.

윤호중 의원은 “화면해킹 등 신종 악성코드에 대응할 수 있는 보안프로그램을 운영할 필요가 있다는 이유로 행자부는 2014년 말 ‘개인정보 안전성 확보조치’ 기준 고시를 개정했다”며 “제도는 바뀌었지만 현실은그대로인 상황이 안타깝다. 날로 발전하는 해킹기술에 대비해 금융기관과 공공기관의 보안을 항상 최신기술로 무장해야 한다”라고 말했다.