온라인 은행은 대체 얼마나 안전한 것일까? 최근 경찰에서는 돈을 빼가는 것 뿐만 아니라 프라이버시와 개인 정보까지 훔쳐가는 최근 새로 나온 스파이 웨어 때문에 경계를 늦추지 않고 있다고 밝혔다.
이번 호에서는 인터넷 뱅킹 사용에 있어 은행들이 사 용자를 보호하기 위해 무슨 일을 하며 또 사용자는 어떻게 스스로를 보호할 수 있는지 알아 보았다.
***** 스파이웨어, 나도 모르는 사이에? *****
스파이웨어들은 흔히 많은 상금을 준다는 내용의 이메일로부터 시작된다. 클릭하면 다른 웹페이지로 이동하게 되는데 이 때 페이지가 채 뜨기 전에 작은 팝업 창이 뜨면서 플래시 플레이어 같은 소프트웨어를 업그레이드 해야 한다, 그렇지 않으면 페이지를 열 수 없다는 식의 메시지가 나온다. 이런 종류의 팝업 창은 매우 공식적이고 믿을 만하게 보이기 때문에 큰 고민 없이 'yes' 를 클릭하게 되고 이 순간, 프로그램이 업그레이드 되는 것이 아니라 바로 스파이 웨어가 설치된다.
스파이웨어는 안티바이러스 프로그램을 의미없는 사이트로 재이동시킴으로써 자동적으로 예정되어 있는 안티 바이러스 소프트웨어의 업데이트를 방해한다. 그리고 개인정보와 재정에 관한 정보, 컴퓨터 사용의 모든 기록들을 찾아내고 이런 정보들은 스파이웨어를 제어하는 사람에게 다시 보내지게 된다. 문제는 사용자가 전혀 눈치챌 수 없는 중에 이 모든 일이 일어난다는 것이다.
한 번 이런 식으로 스파이웨어가 설치되고 나면 발견하거나 제거하는 것은 매우 힘들다. 이제부터는 개인 컴퓨터가 아니라 거대한 스파이웨어 트로잔의 창조자에 의해 완전히 컨트롤되는 좀비나 로봇이 된 것이다. 이런 일은 이제 그저 상상력이 동원된 픽션 소설이 아니라 누구에게나 일어날 수 있는 일이다. 실제로 네덜란드에서는 스파이웨어 트로잔을 이용해 150만 달러를 주물럭거리던 남자가 붙잡힌 일이 있었다.
***** 안전한 인터넷 뱅킹과 이중인증 시스템 *****
인터넷 뱅킹의 안전에 대한 중요성은 너무도 명확하다. 범죄자들은 쉽게 당신의 로그인 세부사항을 얻을 수 있다. 이런 스파이웨어의 위험을 제거하는 단 한 가지 방법은 여분의 보안 방법을 통한 것이다. 자신이 이용하는 은행이 이중 인증을 사용하지 않고 있다면 그 은행은 정 보 보안에 최선을 다하고 있다고 보기 힘들다.
이중 인증을 통해 개인정보와 돈을 사기당하는 일을 거의 제거할 수 있는 추가적인 안전망을 제공받는다. 인터넷 뱅킹에 접근하기 전에 본인확인을 위한 두 가지 형식의 검사가 이루어지는데 하나는 아이디와 비밀번호, 그리고 추가 안전번호 같이 때마다 생성되는 것들이 있 다. PSIS, BNZ, HSBC, RaboPlus는 모두 로그인 할 때 이중 인증을 제공한다. ASB와 BankDirect는 이중 안전 장치를 가지고 있지만 현재는 개인의 예금 이체만 보호하고 있다. Kiwibank와 TSB은행은 이중 인증을 간략히 제공한다. ANZ과 National Bank 그리고 Westpac은 이중 인증방식을 사용하고 있지 않으며 앞으로 곧 시행하겠다는 계획도 아직 없는 상태다.
이중 인증 방법은 몇 가지 다른 방법이 있다. 첫째는 PSIS가 쓰는 것으로 SafeKey라고 불린다. 6개 숫자로 된 표시번호가 개인 고유의 것으로 생성된 후 화면에 60초간 보여지게 된다. 로그인 할 때 본인의 아이디와 비밀번호 그리고 이 표시숫자가 다 맞으면 인터넷 뱅킹을 시작할 수 있다. RanoPlus도 Digispass라는 비슷한 방법을 사용하고 있다. 사용자들은 Digispass를 활성화시키는 고유의 핀넘버를 사용하게 되는데 36초마다 바뀌는 무작위의 숫자들이 생성된다. 계좌에 접속하기 전에 반드시 인터넷 사용자 숫자와 핀넘버 그리고 Digipass로 생성된 접속번호를 넣어 주어야 한다. Digipass는 매번의 계좌이체마다 반드시 사용되어야 한다. 눈에 보이는 과정 이면에는 계좌이체에 디지털 서명이 덧붙여지는데 디지털 서명은 범죄자가 계좌이체를 가로채 가고 계좌정보나 잔액 세부사항 등을 바꾸는 것을 막아준다. 은행에서는 디지털 서명을 확인하고 어떤 것이라도 바뀐 것이 있으면 이체를 거부한다. 이 방법은 뉴질랜드 은행에서 개인 고객들에게 제공하는 가장 높은 수준의 안전 시스템 이라고 할 수 있다. 한 은행은 이중인증을 시행한 뒤 몇 달 동안 사이버 범죄로 잃어버린 돈이 전혀 없다고 밝히기도 했다.
인터넷 뱅킹 안전은 사용자와 은행 모두에게 책임이 있다. 은행은 개인실수가 아닌 것에 대해서만 책임지기 때문에 보안에 대해 개인이 더욱 의식할 필요가 있겠다.