이달초 외환은행의 인터넷 뱅킹 시스템이 `넷데블‘이라는 프로그램에 뚫린 금융사고가 발생해 금융권 시스템 보안이 업계 이슈로 부상하고 있는 가운데, 보편적인 금융방식 가운데 하나인 텔레뱅킹(폰뱅킹)을 통한 금융거래도 해킹에 무방비로 노출돼 있는 것으로 지적돼 대책마련이 시급하다. 30일 업계에 따르면, 최근들어 일반전화를 통한 소액의 텔레뱅킹 해킹 사례가 가입자의 전화 단자함을 통해 빈번히 발생하고 있어 은행들에서 골머리를 앓고 있다. 지금까지 대부분의 은행에서는 텔레뱅킹 해킹 사례가 발생하고 있지만 규모가 소액이거나 건수가 적어 대외적으로 알리지 않고 내부적으로 손실을 보전해 주는 방식으로 처리하고 있는 것으로 알려졌다. 현재 국민, 신한, 조흥, 기업 등 국내 대부분의 시중 은행들은 텔레뱅킹 해킹 방지를 위해 주민등록번호, 계좌번호, 비밀번호, 보안카드 등을 누르도록 하는 4~5단계의 사용자 인증절차를 거치고 있는 것으로 조사됐다. 하지만 업계 전문가들은 현재 은행이 사용하고 있는 4~5단계의 보안책으로는 전화선 도청을 통한 DTMF(Dual Tone Multiple Frequency) 해킹의 경우, 대부분 도감청이 가능해 원천적인 보안책이 될 수 없다고 지적한다. 특히 최근 등장하는 텔레뱅킹 해킹 방식은 전화기 단자함에 도감청 장치를 부착해 관련 데이터를 불법 채집하고 있어 방어 또한 쉽지 않은 것으로 전해졌다. 이에 대해 업계에서는 텔레뱅킹의 다이얼톤을 통한 해킹을 방어하기 위해서는 시스템적으로 다이얼톤 주파수를 감지하지 못하도록 하는 장비의 개발이 필요할 것으로 보고 있다. ◆해킹 방식=현재 주류를 이루고 있는 전화단자함 도감청 기술은 기존 흥신소(심부름센터) 등에서 주로 사용하던 전화 도감청 방식으로 PC 등 디지털기기와 결합돼 신종 텔레뱅킹 해킹 방식으로 사용되고 있다. DTMF(Dual Tone Multiple Frequency)를 이용한 해킹은 전화기의 다이얼톤에서 발생하는 고주파수와 저주파수군의 조합에서 생성되는 다이얼패드 키톤의 주파수 신호를 감지하는 방식으로 해커는 전화선에 도청기를 설치해 가입자가 누르는 번호를 모두 디지털로 해독해 해킹하는 방식이다. 가입자가 통장 계좌번호에서 부터 비밀번호, 인증키 등 전화기 버튼을 누르는 동안 모든 숫자는 고스란히 해커들의 PC에 저장되는 것이다. 실제 은행들에서 사용하는 다양한 인증체계 및 방식은 원천적인 해킹 방어책이 될 수 없다는 게 관련 업계 전문가들의 지적이다. 이처럼 해커들이 주로 사용하는 DTMF 전화방식이 해킹에 취약한 것은 DTMF가 전세계적으로 공통된 규격을 갖고 있으며, 관련 기기의 판매가 일반화돼 있다는 점과 네트워크상에서 발생하는 도감청은 증거가 남지 않기 때문에 검거가 쉽지 않다는 취약점이 있다. 최근 자주 이용되는 해킹방식중 하나인 직접연결의 경우는 전화기 단자함에 접속할 수 있는 장치로 자체 메모리를 내장하고 있으며, 데이터의 실시간 시리얼 전송도 가능하다. 따라서 해커가 원격지 PC모니터를 통해서도 실시간으로 전송되는 텔레뱅킹 원천 데이터를 가로채 불법 이체나 송금을 할 수 있게 된다. ◆은행들 대책마련 골몰=사실상 DTMF를 이용한 가입자 단자함 해킹에 무방비 상태인 대부분의 은행들은 사용시마다 비밀번호가 새로 생성되는 원타임패스워드(OTP)를 비롯한 지정번호제 등의 시스템으로 텔레뱅킹 보안 강화에 나서고 있는 상황이다. 국민은행은 현재 계좌번호 및 비밀번호, 주민등록번호, 보안카드 번호 입력 등 4~5단계의 보안책을 마련하고 있으며, 최근 불거지는 텔레뱅킹 시스템 보안 강화 차원에서 원타임패스워드, 출금계좌번호 지정 등의 보안 시스템 도입을 추진하고 있다. 신한은행은 4~5 단계의 기본 보안책을 포함해 발신자 지정번호제, 모바일 원타임패스워드(OTP), 송금한도 제한 등의 대책을 도입키로 했다. 이 회사 관계자는 “텔레뱅킹 보안을 위해 다른 보안책도 찾고 있다”고 말했다. 조흥은행 또한 현재 4~5단계의 시스템의 보강을 위해 OTP카드를 개발하고 있으며, 모바일 인증과 화자인증, SMS 통보기능, 사용자번호지정 등 다양한 방식 도입을 추진하고 있다. 특히 사고 등에 빠른 대응을 위해 SMS 통보 시스템 개발을 완료하고 파일럿 시스템 형태로 적용하고 있다. 기업은행은 주민등록번호나 보안카드 등 기존 방식이외에도 현재 OTP도입을 위해 개발 업체 선정에 나서고 있다. 기업은행의 OTP 도입은 2~3개월 후 도입될 것으로 보인다. ◆정부 대책, 텔레뱅킹 통한 해킹은 제외 돼=최근 넷데블 등을 통한 키스트로킹 방식의 인터넷 뱅킹 사고 발생에 따라 정보통신부와 산업자원부, 금융감독위원회, 금융감독원, 한국정보보호진흥원 등은 공동으로 관련 태스크포스팀을 구성해 운영키로 했다. 이 TFT에서는 일단 ▲전자거래시스템 안전성 분석과 ▲해킹 프로그램 분석 ▲공인인증서 관리체계 개선 등의 실태조사와 그에 따른 안정성 강화방안을 마련키로 했다. 하지만 이 TFT에서는 대중적인 금융거래 방식중 하나인 텔레뱅킹으로 인한 금융사고 방어 및 안정화 방안은 현재 포함하지 않고 있다. 이와 관련해 정통부 관계자는 “현재 TFT에서는 인터넷 뱅킹에 초점을 맞추고 있어, 텔레뱅킹 보안에 대한 1차적인 계획은 없다”면서 “하지만 TFT가 다방면에서 금융사고를 예방하기 위해 구성됐기 때문에 관련 문제가 제기되면 TFT에서 논의할 수 있다”고 말했다. <안길섭 기자> seobi@ddaily.co.kr