`액티브X` 해킹툴 첫 공개 ‥ 10분만에 인터넷뱅킹 암호 빼내

16일 오전 서울 양재동 교육문화회관 거문고홀.국제 해커 컨퍼런스인 'POC 2007' 행사장에는 긴장감마저 감돌았다.

해커들이 인터넷 뱅킹 해킹을 시연하기 시작했기 때문이다.

방청객들의 눈은 정면에 마련된 2개의 대형 스크린으로 쏠렸다.

스크린 A에는 인터넷 뱅킹 사용자의 컴퓨터 화면이,스크린 B에는 원격지에 있는 해커 PC의 화면이 떴다.

<A HREF='http://advs.hankyung.com/RealMedia/ads/click_nx.ads/news.hankyung.com/index@Newsbox'><IMG SRC='http://advs.hankyung.com/RealMedia/ads/adstream_nx.ads/news.hankyung.com/index@Newsbox'></a>

스크린 A에서 S은행 사이트에 접속해 인터넷 뱅킹 프로그램을 실행해 자금이체를 시작하는 순간 스크린 B가 요동쳤다.

알 수 없는 문자와 숫자가 쏟아졌다.

아이디,패스워드,계좌번호,공인인증서 비밀번호,이체 금액 등 인터넷 뱅킹 이용자가 입력한 정보가 암호화하고 복호(암호가 풀림)되는 과정에서 교환되는 데이터라고 했다.

여기까지 10분도 걸리지 않았다.

발표자는 "이 데이터를 해독하면 이체한 돈을 가로채거나 금액을 부풀릴 수 있다"고 설명했다.

해킹 시연은 여기서 끝났다.

더 이상 계속하는 것은 문제라고 판단한 듯했다.

하지만 크래커(악의적 해커)가 마음만 먹으면 인터넷 뱅킹 과정을 실시간으로 훔쳐볼 수 있다는 사실이 적나라하게 드러났다.

방청객들은 벌어진 입을 다물지 못했다.

시연에서는 'PS액티브체크'라는 해킹 툴이 쓰였다고 했다.

인터넷 뱅킹 해킹 툴이 처음으로 공개된 셈이다.

PS액티브체크는 '액티브X'를 통해 구동하는 인터넷 프로그램을 모니터링하는 툴이다.

액티브X는 인터넷에서 응용 프로그램을 깔고 구동하는 데 필요한 프로그램으로 국내 은행,증권,포털,공공기관 등 대다수 사이트에서 쓰이고 있다.

따라서 크래커가 PS액티브체크를 악용하면 인터넷 뱅킹,전자정부 시스템 등 액티브X로 구동하는 프로그램의 실행 과정에서 개인정보나 돈을 빼갈 수 있다.

물론 인터넷 뱅킹 이용자의 PC를 해킹하려면 먼저 악성코드를 통해 PS액티브체크를 침투시켜야 한다.

행사장에서 만난 해커 A씨는 "크래커가 PS액티브체크로 장난치면 금융대란이 터질 수도 있다"고 말했다.

금융보안연구원과 은행 증권사 등은 PS액티브체크 위험에 대처하는 방안을 모색 중이나 근본적인 해결책은 찾지 못했다.

해커 B씨는 "금융권뿐 아니라 대다수 인터넷 사이트가 보안에 심각한 문제가 있다"며 "액티브X를 쓰지 말아야 하지만 현실적으로 어렵다"고 말했다.

한국은행에 따르면 국내 인터넷뱅킹 이용자는 4245만명(19개 금융기관 합계),이용 건수는 하루 1849만건이나 된다.

3분기 인터넷뱅킹 자금이체 금액은 18조6439억원에 달했다.

이번 컨퍼런스는 악의적 해킹의 위험성을 알리기 위해 보안 커뮤니티 시큐리티프루프가 마련했다.

행사에는 중국 일본 한국 미국 등의 보안 전문가와 한국정보보호진흥원，경찰청 사이버테러대응센터 등 공공기관 관계자 및 민간인 등 350여명이 참석했다.

시큐리티프루프를 이끌고 있는 해커 반젤리스(닉네임)는 "국내 기업이나 공공기관은 보안 담당자를 너무 가볍게 생각한다"며 "방어 기술을 개발할 수 있는 여건을 조성하고 보안 담당자 처우를 개선하는 일이 시급하다"고 지적했다.

이해성 기자 ihs@hankyung.com