인터넷뱅킹에 사용하는 금융보안인증 소프트웨어 '이니세이프'를 악용해 해킹 당한 사실이 알려지면서 해당 프로그램과 보안 취약점에 대해 관심이 집중되고 있다.
인터넷뱅킹에 사용하는 금융보안인증 소프트웨어 '이니세이프'를 악용해 해킹 당한 사실이 알려지면서 해당 프로그램과 보안 취약점에 대해 관심이 집중되고 있다.

[포인트데일리 홍미경 기자] 인터넷뱅킹에 사용하는 금융보안인증 소프트웨어 '이니세이프'를 악용해 해킹 당한 사실이 알려지면서 해당 프로그램과 보안 취약점에 대해 관심이 집중되고 있다.

국정원 측은 북한이 인터넷뱅킹에 사용하는 금융보안인증 소프트웨어 '이니세이프' 보안 취약점을 악용해 PC 해킹 및 악성코드 유포 등 해킹 공격을 벌였다고 지난 30일 밝혔다.

이니세이프는 은행 및 금융 기관에서 인터넷 뱅킹 서비스를 사용할 때 고객의 안전하고 신뢰할 수 있는 인증을 보장하기 위해 사용하는 금융 보안 인증 소프트웨어다. 

이니세이프는 신원 도용을 비롯해 피싱, 기타 사이버 공격 등 다양한 유형의 사기로부터 보호하도록 설계돼 있다.

특히 이니세이프 소프트웨어는 사용자의 등록된 모바일 장치 또는 이메일 주소로 전송되는 일회용 암호(OTP)를 제공해 작동된다. 

사용자는 이 OTP를 입력해 온라인 뱅킹 계정에 액세스, 사용자가 실제로 승인된 계정 소유자임을 확인하는 단계를 거친다. 이 2단계 인증 프로세스는 사용자 계정에 대한 무단 액세스를 방지하기 위해 추가 보안 계층을 제공한다.

그러나 다른 소프트웨어와 마찬가지로 이니세이프도 보안 취약점에 영향을 받는다. 이니세이프의 잠재적인 보안 취약점 중 일부는 다음과 같다.

먼저 맬웨어 공격을 꼽을 수 있다. 사용자의 컴퓨터나 모바일 장치가 맬웨어에 감염되면 이니세이프가 보낸 OTP를 가로채서 공격자에게 보내 사용자의 온라인 뱅킹 계정에 액세스할 수 있다.

또 사회 공학 공격은 사용자를 속여 OTP 또는 기타 중요한 정보를 공개하도록 하는 것이다. 이것은 피싱 이메일 또는 사용자가 사기성 웹 사이트에 OTP 또는 기타 민감한 정보를 입력하도록 유도하는 다른 유형의 사기를 통해 수행될 수 있다.

이외에 이니세이프는 2단계 인증을 제공하지만 사용자가 약하거나 쉽게 추측할 수 있는 비밀번호를 선택하면 계정이 여전히 공격에 취약할 수 있다.

한 금융관계자는 "취약점을 완화하려면 사용자가 장치 및 바이러스 백신 소프트웨어를 최신 상태로 유지하고 의심스러운 링크 및 이메일을 피해야 한다"라며 "쉽게 추측할 수 없는 강력한 암호를 선택하는 등 적절한 조치를 취하는 것이 중요하다"라고 강조했다.

이어 "또 금융 기관은 사회 공학 공격 및 기타 유형의 사기를 방지하기 위해 정기적으로 보안 프로토콜을 업데이트하고 사용자 교육을 제공해야 한다"고 덧붙였다.

저작권자 © 포인트데일리 무단전재 및 재배포 금지