국내 금융사와 공공기관 대부분이 해킹 방지를 위해 도입한 가상키보드 보안솔루션(이하 가상키보드)의 보안 문제를 두고 논란이 일고 있다. 개인 정보 보호 등의 보안 기능이 사실상 없다는 게 골자다. 대다수 가상키보드가 RCS(Remote Control System·원격조정시스템)에 무방비 상태인 것으로 드러났다. RCS는 지난 7월 국가정보원이 비밀리에 구입해 논란을 일으켰던 해킹 프로그램이다. 이처럼 가상키보드에 해킹 방지 기능이 없는 만큼 보완대책이 시급하다는 지적이 제기되고 있다.
▶금융기관 35곳 중 25곳이 RCS 공격에 무방비
금융권과 공공기관, 정부 포털에서 주로 사용되고 있는 가상키보드는 데스크톱PC·노트북·스마트폰 등의 화면에 만든 키보드를 뜻한다. 은행 등 홈페이지에 접속할 경우 주로 활용되며, 마우스나 터치를 통해 원하는 버튼을 누를 수 있도록 했다. 과거 해커들이 사용자가 키보드로 누른 정보를 중간에 가로채는 해킹을 주로 사용해왔던 점에 착안, 이를 막기 위해 개발됐다.
그러나 국회 기획재정위원회 소속 윤호중 의원(새정치민주연합)에 따르면 국내 금융사 35곳 중 27곳이 가상키보드를 운영 중이고, 이중 25곳이 RCS 공격에 속수무책인 것으로 나타났다.
현재 개인·금융정보를 많이 취급하는 KB국민은행, 우리은행, 현대카드, 교보생명, 산업은행 등 주요 금융회사들이 가상키보드를 도입해 운영 중이다. 이들 금융사는 공인인증서의 비밀번호 입력단계에 가상키보드를 설치했다.
25곳 금융사의 가상키보드는 상대방 컴퓨터에 RCS를 설치해 화면을 들여다 볼 경우 마우스커서와 가상키보드가 그대로 노출됐다. 공인인증서나 비밀번호 입력에 활용되는 만큼 개인의 금융거래 정보가 고스란히 유출될 수 있는 것.
더욱이 지방세 인터넷 납부시스템인 '위택스(wetax)'와 온라인상 개인식별번호 '공공 I-PIN'의 가상키보드도 상태가 비슷했다. 이들 시스템은 사용자가 많아 자칫하면 대규모 해킹 사건으로 번질 수 있는 실정이다.
윤 의원은 "가상키보드의 보안문제를 조사해보니 국내 금융회사와 공공기관, 정부포털의 가상키보드 보안솔루션의 많은 수가 '구색 맞추기'일 뿐 보안이 되지 않는다"며 "RCS가 사용자 컴퓨터에 딸려있다면 개인정보, 금융정보가 노출될 여지가 있다"고 지적했다.
▶도둑 막겠다고 문 열어 놓은 격…"보완대책 시급"
RCS는 일종의 원격조정시스템으로 지난 7월 국정원이 구입해 논란을 일으킨 해킹툴이다. RCS는 산업제어시스템에 사용될 뿐 아니라 데스크톱, 노트북을 원격으로 수리할 때 이용되는 프로그램이다. 일례로 채팅 프로그램인 네이트온이 스마트기기에서 내PC화면을 보고 쓸 수 있도록 무료로 제공 중인 '내PC제어' 프로그램과 같다고 보면 된다. 어떤 스마트기기를 통해서도 RCS프로그램만 깔려있다면 PC 모니터의 내용 확인이 가능하다. 보안업계 한 관계자는 "RCS는 해커가 아니더라도 손쉽게 구할 수 있는 시스템으로 조금만 손봐도 해킹툴로 활용이 가능하다"고 말했다.
여기에서 주목해야 할 점이 있다. 모니터상에 모든 내용을 확인할 수 있는 RCS는 가상키보드를 무력화할 수 있는 가장 강력한 해킹툴이라는 점이다. 금융회사, 공공기관, 정부포털에 탑재된 대부분의 가상키보드엔 '화면저장 방지기술'이 없다.
상황이 이렇다 보니 PC 등의 화면에 뜨는 가상키보드를 원격으로 볼 수가 있다. 가상키보드에서 가장 중요한 건 사용자가 가상키보드 자판을 칠 때, 해커의 눈에 해당 키보드가 보여선 안 된다. 일부 금융회사가 가상키보드에 '멀티커서(multi-cursor)'를 도입한 것도 이 때문이다.
보안업계 한 관계자는 "키보드후킹의 경우 해킹을 막기 위한 보안프로그램을 뚫어야 하지만 가상키보드의 경우 RCS만 깔려 있다면 특별한 활동 없이 정보의 확인이 가능하다"고 말했다. 도둑을 막기 위해 오히려 문을 열어 놓는 격이란 얘기다. 이어 이 관계자는 "보완대책이 시급하다"고 지적했다.
가상키보드의 보안능력이 취약하다는 지적은 어제 오늘일은 아니다. 금융보안연구원은 2009년 11월 '전자금융거래 입력매체 보안기술 분석결과'라는 보고서에서 "일반적으로 가상키보드 영역에 화면저장 방지기술이 적용돼 있지 않아 키보드 입력값이 노출된다"고 지적한 바 있다. 하지만 금융회사, 공공기관, 정부 포털에 탑재된 대부분의 가상키보드엔 '화면저장 방지기술'이 없는 것이 현실이라는 게 윤 의원 측 설명이다.
윤 의원은 "화면해킹 등 신종 악성코드에 대응할 수 있는 보안프로그램을 운영할 필요가 있다는 이유로 행정자치부는 지난해 말 '개인정보 안전성 확보조치' 기준고시를 개정했다"며 "제도는 바뀌었지만 현실은 그대로인 상황"이라고 꼬집었다. 김세형 기자 fax123@sportschosun.com