지난 5일부터 국회의 국정감사가 시작됐습니다. 국정감사 자체는 국민들에게 별 관심대상이 되지 못합니다. 딱딱하기 그지없고 이따금 오고가는 고성이 가끔 생동감을 더해줄 뿐입니다. 저 역시 별로 관심은 없었습니다. IT부분에 있어서도 정책관련한 내용이 많이 오고가고 특히 통신분야에서 요금정책 등 그나마 알아먹기 쉬운 내용이 나오는 것 빼고는 고리타분하기 그지 없기 때문입니다. 그런데 저와는 전혀 상관이 없을 듯 한 농림식품위원회의 국감이 관심을 끌더군요. 바로 농협에 대한 흥미로운 감사가 진행돼서 저의 시선을 끌었던 것입니다. 5일 모 국회의원실에서 오전에 배포한 보도자료에 따르면 농협의 OTP(보안토큰)에 허점이 노출돼 인터넷 뱅킹의 해킹이 가능하다는 내용이었습니다. 특히 의혹을 제기한 의원은 국감 현장에서 시연을 통해 이를 증명하겠다고 했습니다. 흥미로운 부분이 아닐 수 없지요. 직접 OTP 허점을 이용해 해킹을 하는 장면은 범죄자 친구를 두지 않은 이상 경험하기 어려운 일일테니깐요. 하지만 결과적으로 해킹 시연은 이뤄지지 않았습니다. 국회에서 도입한 IT시스템 중에 가장 쓸만한 솔루션인 '영상회의록시스템'을 통해 국감장면을 시청했는데요 시연 부분은 커녕 이 부분 자체가 질문에서 빠졌더군요. 국감에선 십수명의 의원들이 돌아가면서 질의를 하게 돼 있습니다. 국감은 자연히 질의과정에 시간이 많이 걸리고 예정된 시간이라는 것이 애시당초 존재하지 않는 시스템입니다. 따라서 애초 의원들이 준비한 질문 중 대부분은 서면질의로 처리되게 됩니다. 실제로 이번 국감에서도 추후에 서면질의로 답변을 바란다는 의원들의 말이 마무리 멘트로 자주 사용되더군요. 처음에는 시연이 언제 이뤄질 지 해당 의원실에 문의했는데요 시간 상 실제 시연이 이뤄질 지는 장담하지 못한다고 했는데 결국 그냥 넘어가더군요. 문제는 애초에 농협의 전자금융시스템에 대한 허점과 여기에 낭비된 농민들을 위한 자금이 허투로 쓰여졌다는 점을 부각시키려 했다는 것인데 여기에 약간의 무리가 있었다는 점입니다. 결론적으로 농협의 OTP는 아무런 문제가 없었습니다. 굳이 문제가 있었다면 키보드 보안에서 생겼다고 할 수 있지요. OTP는 금융권 최후의 보안수단으로 각광받고 있습니다. 시간에 따라 비밀번호가 다르게 생성되기 때문에 현실적으로 비밀번호를 외부에서 알아내기가 어렵죠. 어쨌든 이번 시연이 진행됐다면 OTP보다는 OTP 번호를 사용자가 키보드로 누르는 과정에서 이를 해킹하는 키보드 해킹을 통한 인터넷 뱅킹 해킹 방법이라고 보는 것이 정답일 듯 합니다. 의원실에선 농협의 방만한 경영을 지적하면서 수십억이 투자된 농협의 인터넷 뱅킹 보안에도 문제가 있다. 따라서 시정해라 뭐 이런 의도로 질의를 준비한 것 같습니다. 하지만 업계에서는 이번 의혹 제기가 OTP 자체에 초점이 맞춰져 있었지만 OTP보다는 키보드 보안에 대한 문제라는 의견을 내비치고 있습니다. OTP를 통한 해킹은 현실적으로 어렵다고 합니다.  공인인증서, 인증서 패스워드, 계좌이체 비밀번호 등 민감한 고객 정보가 모두 유출되어 공격자가 의미 있는 OTP 값을 얻어내었다 하더라도, 1분 이내에 공격을 성공해야 하므로, 공격이 성공할 확률은 거의 없는 것으로 알려져있는데요. 하지만 농협의 경우 그동안 법인 사용자의 편의성을 제고하기 위해 1분 이내에 2번의 로그인을 허용했습니다. 농협 관계자 말로는 멀티 로그인이라는 것인데 이를 통해 OTP 값을 얻어내고 공격할 수 있는 가능성이 내비쳐진 것이지요. 어쨌든 이는 OTP의 결함이라고 보기에는 어렵고 메모리 해킹과 키보드 해킹 등을 통한 해킹 방법으로 보는 것이 타당할 것 같습니다. 의원실에서는 '농협 OTP, 뚫려도 너무 쉽게 뚫린다' 라는 내용으로 보도자료도 배포했는데요.(보도자료는 파일로 첨부하니 참고하세요) 결과적으로 보도자료의 제목이 좀 비약된 것 같습니다. 의원실에서도 이러한 문제를 감지해 국감에서 질의를 뺀 것으로 추측됩니다. 차라리 농협 키보드해킹에 속수무책 정도로 질의를 꾸몄으면 시연이 가능했을 수도 있겠네요. 한편 농협은 위에 거론된 문제점에 대비하기 위해 관련 시스템을 오는 11월 도입할 계획으로 알려져 있습니다. 댓글 쓰기

키워드

#보안 #금융 IT 강호 #IT서비스 #농협 #OTP #국감 #해킹
저작권자 © 딜라이트닷넷 무단전재 및 재배포 금지