현행 웹방식 언제든 재발 가능
접속과 거래채널 독립운용 필요

[서울파이낸스 김동기 기자]현재 전자금융 구조라면 은행권은 DDoS 공격에서 무방비 상황이라는 주장이 제기됐다.

물론 DDoS 공격으로 고객정보가 유출되거나 불완전거래로 인한 고객피해가 발생하지 않았다.

그러나 전자금융 이용의 궁극적인 목적인 편리성과 신속성에 있어 DDoS 공격으로 ‘접속불가’가 이어진다면 그 자체가 구체적인 피해라고 보는 지적이다.

이번 공격에서 주요 타겟은 공공기관 및 금융기관, 특히 은행이었다.

이로 인해 다수의 은행 인터넷뱅킹 사이트가 접속에 애를 먹었고 그로 인한 고객 불만이 증가했다.

개인정보 유출이 직접적인 피해라면 서비스 품질에 대한 불만 및 이로 인한 고객의 이탈이 더 큰 피해인 것이다.

현재 시중은행 인터넷뱅킹은 상품홍보 및 고객지원 등을 위한 마케팅 채널과 실제 금융 서비스를 제공하는 트랜잭션 채널이 단일 홈페이지에서 제공되고 있다. 이로 인해 DDoS 공격이 가해질 경우, 고객은 해당 은행의 모든 서비스를 이용하지 못하게 되는 것이다.

이러한 최악의 사태를 막기 위해서는 마케팅 채널과 서비스 채널(트랜잭션 채널)을 물리적으로 분리해 DDoS 공격을 받을 때에도 최소한의 거래 채널을 유지해야 한다.

즉 트랜잭션 채널을 별도로 유지하고 해당 채널에 대해 접속하는 방법을 일반적인 웹방식외에도 추가적으로 제공해야 하며 이를 위해 증권사의 HTS 프로그램과 같이 금융 거래 서비스를 지원하는 전용 프로그램 및 전용 프로그램용 서비스 채널을 만들어야 하는 것이다.

다만 단순히 접속 채널을 변경하는 것으로는 DDoS 공격으로부터 자유로워졌다고 말할 수 없다. 서버 주소나 접속 포트는 인터넷 뱅킹의 실행 전후부터 계속해서 해당 PC를 모니터링하면 얼마든지 알 수 있기 때문에 시간이 조금 더 걸릴 뿐 DDoS 공격이 가능하기 때문이다.

접속시점부터 사용자를 인증할 수 있다면 DDoS 공격은 예방될 수 있다.

즉 DDoS 공격이 정상적인 이용자 및 악성 공격자를 구분하지 못해 다수의 트래픽으로 인해 시스템이 다운됨을 감안할 때 서버에 접속하는 시점에 이미 사용자가 정당한지를 확인할 수만 있다면 악성 이용자를 사전에 차단할 수 있게 되는 것이다.

접속시점부터 사용자의 정당성을 입증하기 위해서는 공인 인증서와 같은 특정 데이터를 암호화한 후 이를 이용해 서버 접속시점부터 사용자를 인증하거나 사용자가 접속하는 단말기 또는 공인인증서나 전용 프로그램이 저장된 기억매체 등의 하드웨어 자체를 인증하는 등의 추가적인 보안강화가 필요하다.

업체 관계자는 “보안시스템은 공격과 방어의 연속”이라며 “DDoS 공격에 대한 방어는 DDoS공격이 들어왔을 때 얼마나 효율적으로 대응할 수 있는가”와 “DDoS 공격자와 일반 사용자를 어떻게 구분할 수 있는가” 의 2가지 문제로 구분된다며 “현실적으로 DDoS 공격에 대한 대응 솔루션이 100% 그 성능을 발휘하지 못함을 감안할 때 접속자에 대한 인증을 어떻게 할 것인지에 대한 심도깊은 논의가 필요한 시점”이라고 강조했다.

김동기 기자 kdk@seoulfn.com

김동기 기자 다른기사 보기