은행의 위조사이트가 아닌 정상사이트에 방문하여 평소와 다름없이 공인인증서 비밀번호, 보안카드 번호 2개를 입력하였음에도 불구하고 거액의 예금이 타인에게 빠져나가는 이른바 메모리 해킹 기법의 신종 파밍이 최근에 사회문제화되고 있다.
기존의 파밍 사기는 은행의 정상사이트가 아닌 위조사이트에서 보안카드 번호 전부를 입력하는 기법이었다면, 이번에 문제가 된 메모리 해킹 기법의 파밍은 위조사이트가 아닌 정상사이트에서 발생하였고, 피해자가 보안카드 번호 전부가 아닌 단 2개만 입력한 것이다.
이러한 신종 파밍 사기가 가능한 것은 해커가 메모리 해킹 기법을 사용하고 있기 때문이다. 메모리 해킹 기법이란 과거 게임사이트 등에서 많이 활용되던 해킹 기법으로서, 금융회사 서버에 전송하기 위하여 메모리 주기억장치의 특정 주소에 저장되어 있는 금융데이터를 해커가 악성프로그램을 통하여 위변조하는 기법을 말한다.
해커는 악성프로그램을 이용하여 메모리에 있는 계좌번호나 이체금액까지 위변조할 수 있으므로, 피해자가 자신의 친구에게 300만원 보낸 것으로 인식하고 전자금융거래를 하더라도 실제로는 해커의 통장에 3,000만원이 입금될 수도 있는 것이다.
이번에 보도된 메모리 해킹 기법은 금융거래 발생시 악성프로그램이 이를 감지하여 금융기관이 해킹을 인식하지 못하도록, 금융기관이 제공한 보안모듈이 동작되게 유지한 채로 메모리 수정해킹을 수행하여 악성프로그램이 원하는 행위를 먼저 진행하도록 강제하고 있다.
사실 전자금융거래에서 메모리 해킹 기법이 문제된 것은 이번이 처음은 아니다. 2006년, 2007년 즈음에 이미 메모리 해킹 기법의 전자금융사기 사례가 보도된 적이 있었고, 잠시 이 사기 기법이 사회문제가 되었다가 곧 잠잠해 졌다.
이런 현재의 속수무책적인 연속적인 피해발생도 문제지만 더 큰 문제는 해커가 이러한 형태의 악성프로그램을 개발하고 구하는 게 쉽지 않기에 일부 금융기관에서 전 금융기관으로 모방범죄가 확대될 수 있다는 점이며, 피해 발생 사례가 이미 7~8년 전에 보도되었음에도 불구하고 금융기관은 그 동안 이에 대하여 아무런 대비도 하지 않고 있다는 점이다.
그나마 다행인 점은, 이러한 메모리 해킹 사고에 대하여 해당 금융기관이 전자금융사고 보험으로 보상을 해 주겠다고 발표한 점이다. 다만 그 보상이 피해금의 전부인지 아니면 일부인지는 좀 더 지켜보아야 할 것으로 보인다.
메모리 해킹 기법의 파밍에 대한 이용자의 대책으로는, 첫째, 보안카드 번호 2개를 입력한 이후 확인 버튼을 눌렀음에도 불구하고 비정상적으로 종료하였다면 파밍 사기로 의심하고 바로 은행을 전화를 걸어 지급정지를 시켜야 하며, 둘째, 평상시 공인인증서 비밀번호나 보안카드 번호를 별도의 팝업창에 입력하지 않았음에도 불구하고 별도의 팝업창에 입력하는 방식으로 바뀌었다면 일단 파밍 사기로 의심을 해 보아야 한다는 점이다.
일부 금융기관은 아직도 금융기관단의 보안에만 신경을 쓰면 되고, 이용자단의 보안에 대하여는 자신의 영역이 아니라고 보고 있다. 하지만 전자금융거래 과정에서 이용자단의 보안도 엄연히 금융기관이 책임을 다하여야 하는 영역이며, 이용자단의 보안이 이루어지지 않으면 금융기관단의 보안도 위협받을 수밖에 없다는 점을 인식하여야 할 것이다.
전자금융거래 서비스에서, 금융기관단의 보안뿐만 아니라 이용자단의 보안도 금융기관이 바로 운영 및 책임의 주체가 되어야 할 것이다.
* 법무법인 민후 김경환 대표변호사 작성, 디지털데일리(2013. 7. 22.), 리걸인사이트(2016. 2. 25.) 기고.