adsense_in_article_test


인터넷 뱅킹을 그나마 안전하게 사용하기 위한 최소한의 조치에 대한 잡담 IT/잡담

사실 이것은 매우 불편한 일이 될 수도 있다. 그러나 인터넷뱅킹/텔레뱅킹/스마트뱅킹 이런 종류의 서비스를 사용하고 있으면서 꽤 많은 금액의 돈이 통장에 있다면 반드시 지키는 것이 좋겠다.

입출금 내역에 대한 SMS통보 서비스를 무조건 신청하자. 무료일 수도 있고 유료일 수도 있는데, 통장에 큰 돈을 넣어 놓고 푼돈 몇백원 몇천원 아끼겠다고 이 서비스를 가입하지 않는 어리석은 짓은 절대로 하지 말자.

만약 PC를 사용하면서 웹하드나 토렌트 등을 통해서 이것저것 자료를 받고 해적판 프로그램을 설치하고 있다면, 그 PC에서는 인터넷 뱅킹을 아예 사용하지 않는 것이 좋겠다. 백신이 깔려 있으니 괜찮을 것이라고 생각하는 경우도 있는데, 끝도 없이 쏟아지는 악성코드와 그 변종들을 백신으로 막는데는 한계가 있다. 거액을 노리는 해커들이 악성 코드를 만들 때 백신 우회/무력화를 생각 안하고 그냥 순진하게 만들어 퍼뜨리는 경우는 별로 없다. 일단 PC가 해킹 당하면 PC뿐만 아니라 같은 네트워크(공유기)에 붙어 있는 인터넷 전화나 스마트폰의 Wi-Fi 통신내용도 노출될 수 있다.  

관리자 계정으로 웹브라우징을 하지 말자. 해킹프로그램/악성코드가 PC에 침입해서 계속 머무르기 위해서는 관리자 권한을 필요로 한다. 그러므로  관리자 권한이 아니라 표준 사용자 권한으로 웹브라우징을 해야 한다(이전에 올린 UAC 관련 글을 참고하자). 인터넷 뱅킹이나 홈쇼핑 결제가 아닌 다른 웹사이트에서 권한 상승을 요구한다면 이건 뭔가 수상한 것이다.

공용 PC에서는 절대로 인터넷 뱅킹을 하지 않는다. PC에 뭐가 설치되어 있는지 모른다.

스마트폰 역시 마찬가지다. 앱 권한(permission)을 자세히 읽지도 않고 온갖 앱을 이것저것 잔뜩 설치해서 쓰고 있다면, SMS나 메신저에서 받은 링크를 별 의심 없이 누르고 있다면, 스마트 뱅킹은 아예 처음부터 신청하지 않는 편이 좋겠다.

인터넷을 통해 돈과 관련된 사항을 통보 받았다면 인터넷이 아닌 다른 채널로 확인을 하자. 예를 들어 지인이나 거래처로부터 이메일 또는 메신저로 계좌번호가 변경되었다는 통보가 왔다고 하자. 그러면 이 변경사항에 대한 확인은 반드시 인터넷이 아닌 다른 채널로 해야 한다. 즉 전화나 팩스로 꼭 다시 한번 확인한다.

사용자가 위에 적은 내용을 지키지 않는다면, 은행이 아무리 철통 보안이라고 해도 결국 사고는 터지기 마련이다. 이건 우리나라만의 문제가 아니라 전세계 공통이다.

국내 인터넷 서비스의 보안 문제에 대해 거의 비난에 가까운 지적을 일삼으면서 정작 당사자의 IT 생활을 보면 보안 측면에서 정말 답이 없는 수준의 무개념인 경우를 여러번 본 적이 있는데, 최소한 지킬 것은 지켜가면서 남을 탓해야 되지 않겠나 싶다.

보안 사고는 대부분 가장 약한 부분이 깨지면서 일어난다. 사용자(클라이언트)가 아무리 보안에 신경을 써도 은행(서버) 관리가 엉망이면 결국 사고가 날 것이고, 은행쪽에서 아무리 보안에 신경을 써도 사용자가 보안에 아무런 개념이 없다면 결국 사고가 날 것이다. 어느 한쪽의 문제가 아니라 양쪽 다 노력해야 하는 문제다.



핑백

덧글

  • 음..... 2014/11/26 10:20 # 삭제 답글

    "푼돈 몇백원 몇천원 아끼겠다고 이 서비스를 가입하지 않는 어리석은 짓은 절대로 하지 말자"
    이 부분이 저는 문제라고 생각해요.
    블로거 분에게 감정적인 딴지는 절대 아니고요.

    일단 제 생각은 규제로 은행 전자결제 보안시스템에 면죄부를 주지말고 자율로하고 각 금융사들이 책임을 의무화 시키는것이 중요하다 생각하생각해요. 그러면 굳이 정부,관료들의 허술한 규제감독을 받을 필요도 없이 각 금융사들 스스로가 단순 선택적 옵션이 아닌 그런 여러 보안 서비스를 필수적/적극적으로 도입할 수 밖에 없는 환경을 만들어야하는데. 한국은 보면 사용자 책임이 될 수밖에 없는 시스템이더라고요.

    보안 지식이 전무한 일반 대다수 고객들을 상대로 해킹에 허술(?)한 전자 결제 서비스를 제공해 돈벌며 장사하면서.. 정작 사고가 터지면 사용자들의 보안적 무능(?)을 따지면서 책임을 지지 않는 환경을 보면...

    결국은 한국 국민들은...
    특히 보안지식이 부족한 사람들은 사실상 인터넷뱅킹을 하지 않는게 가장 안전한 방법이라 생각해요.
    아니면 보안전문가 자격증 딴 사람에 한해서만 인터넷뱅킹 자격을 부여하던지...

    그런데 이러나 저러나 결국은 강제의무화/규제/통제/면죄부/무책임 보다는 자율화/책임의무를 도입하는것이 가장 간단하고 사용자의 비용도 줄이면서 보안을 향상시키는 최선의 대안이라 생각해요.
    단순 사용자의 무지함을 책임으로 떠넘기는 것으로는 절대 이 해킹사고를 예방할 수 없다고 생각해요.
  • 반달가면 2014/11/26 21:20 #

    내용을 보시면 아시겠지만, 금융사고의 원인을 무조건적으로 사용자에게 떠넘기기 위해서 쓴 글이 아닙니다.

    이 글을 쓴 이유는 사용자가 보안에 무관심한 상황에서는 정부나 은행에서 아무리 노력해도 사고를 막을 수 없기 때문입니다. 개인적인 측면의 이유로는, 얼마전에 친구가 다니는 회사에서 실제로 해킹으로 인한 사고가 났습니다. 거래처로 가야 할 대금이 엉뚱한 곳으로...-_-;

    일반 사용자의 각성 없이 은행이나 정부의 대책만으로는 인터넷 자체의 구조적인 특징/제약 때문에 규제와 책임 문제를 떠나서 현실적으로 사고를 막기가 상당히 어렵습니다. 은행과 정부가 잘했다는 얘기가 결코 아닙니다.

    업체와 사용자의 IT보안에 대한 인식 수준이 같이 올라가지 않는 한, 둘 중 보안이 허술한 쪽에 있는 틈새로 인해 사고는 계속 터질 겁니다.

    취약한 웹사이트, SMS, 이메일을 통해 매일 끝도 없이 쏟아지는 악성코드의 공격대상이 보안에 관심 없는 일반 사용자라는 점을 생각할 때, 사용자도 자신의 돈을 지키기 위한 노력을 해야만 합니다.
  • 음..... 2014/11/26 10:38 # 삭제 답글

    님글을 읽다 갑자기 떠오른 영감(?)을 댓글로 쓴거라.
    쓰다보니 거시적인 글이 되버린... 죄송.

    일단 미시적으로 다시 돌아오면..
    저같은 경우는 윈도우 PURE상태로 항상 사용하고 설치된 거라고는 크롬, HIPS프로그램이 전부.
    익스플로러는 항상 샌드박스 처리, 사용자컨트롤 최고레벨, 디지털서명 항상체크,플레시플레이어같은 플로그인 차단(수동), 윈도우 보안업데이트 항상최신, 인터넷 뱅킹이체 한도 역시 몇십만원으로 제한, 와이파이끄기, 블루투스끄기,타사 프로그램경우 센드박스처리 혹은 업데이트기능 차단, 인터넷 사용할때 빼고는 아예 인터넷을 차단해서 오프라인으로 사용, HIPS로 각 프로세스의 행동들 감시,차단 등등...

    제가 일단 최대한 안전하게 사용하는 방법인데.
    이정도는 해야 한국 인터넷뱅킹 사용자들의 안전이 보장되지 않을까 싶어요.
    물론 이 댓글들은 순전 개인적인 생각이지만.
    사용자들이 책임을 질수 밖에없는 환경이라면 이정도는 어쩔수 없다 생각해요.
  • 반달가면 2014/11/26 21:34 #

    개인적인 추천하고 싶은 방법은, 정품 윈도우가 포함된 노트북 한대 사서 오로지 인터넷 뱅킹과 전자결제 용도로만 쓰고 그러면서 위의 본문에 있는 사항을 잘 지키는 것입니다. 최소한 사용자 부주의로 인한 인터넷 뱅킹 사고는 상당 부분 막을 수 있을 것 같습니다. 만약 이전에 PC를 방만하게 써 왔다면 보안카드/인증서를 재발급 받아야겠지요.

    그리고 버추얼박스 같은 가상화 S/W를 설치하고 뱅킹 이외의 다른 웹브라우징은 오로지 가상머신에서만 하는 것이 좋겠습니다.
  • jklin 2014/11/27 03:38 # 답글

    은행이 보험쪽도 신경을 썼으면 좋겠어요. 구미쪽은 이렇게 사고가 나더라도 왠만한 경우는 은행측에서 보험으로 예금주 손해를 커버해버리는데 한국 은행들은 그렇지 않은 것 같더라구요. 실제 뱅킹 사고 위험률은 구미쪽이 우리보다 높은데 이게 사회문제가 되지 않는 것은 이렇게 보험과 같은 2차 대책이 있다는 이유도 크지요.

    그리고 은행쪽이 보안 관련해서 수상한 거래를 detect하는 기술에 신경을 더 써야 합니다. 미국 같은데서는 인터넷 뱅킹 사용자 아이피가 예를들어 뉴욕에서 갑자기 LA로 튄다든가 이런 상황이 나오면 바로 fraud alert 뜨고 사용자한테 전화들어와서 본인 확인 하거든요. 이런게 또 요즘 유행하는 빅데이터니 머신러닝인데 왜 이런 기법의 도입이 느린지 모르겠습니다.
  • 반달가면 2014/11/27 22:36 #

    대규모 전산망을 가진 조직에 그런 종류의 새로운 기능을 도입하는 것은 단순히 장비 몇개 사는 정도가 아니라 조직과 규정과 업무절차를 조정하고 인력과 자원과 시간을 상당한 수준으로 투입해야 하는 대작업입니다. 시간이 걸릴 수밖에 없겠지요.

    보험은 제가 잘 모르겠네요.
  • jklin 2014/12/11 06:58 #

    보험은 저도 디테일은 잘 모릅니다만 통계로 보면 미국이 한국보다 온라인 금융 사고 위험률은 높습니다. 미국은 공인 인증서를 쓰지 않다보니 본인 사칭을 하기가 한국보다 기술적으로 쉽기 때문이 아닐까 싶은데 어쨌든 사고는 한국보다 많이 터져도 실제 온라인 금융 사용자들이 금융 활동에 체감되는 위험은 낮습니다. 은행이 알아서 해 주는데 이 뒤에는 보험이 주역할을 한다고 들었습니다.

    빅데이터 관련 금융기술 도입에 조직과 규정이 충돌하는 것이 흥미롭네요. 이게 구체적으로 들어가면 연구해볼만한 토픽이 제법 될 것 같습니다만. 보통 빅데이터 기술들이 거의 다 만나는 장벽이 프라이버시 문제이긴 합니다. 빅 데이터 분석이 유용할 때는 특히 고객이나 사람들의 행동 패턴을 알고 싶어서인 경우가 많은데 이렇게되면 거의 프라이버시라는 사회적 규정 문제에서 걸리더라구요.

  • 반달가면 2014/12/11 22:12 #

    빅데이터 솔루션을 도입해서 구축하는 것까지는 금방 될 수도 있겠습니다만, 축적된 자료를 분석해서 금융사기 여부를 추정할 수 있는 모델/알고리즘을 고안하고 이걸 실제로 전산시스템에 적용하고 지속적으로 튜닝하면서 잘못 판정할 여지를 계속 줄여나가야 할 겁니다. 이 부분에서 인력/돈/시간이 상당히 들어갈 수밖에 없고, 게다가 민감할 수도 있는 고객 자료를 대량으로 축적하고 재가공하는 일이므로 법/규정 등 기술외적인 부분에서 상충하는 점이 나올 가능성도 무시할 수 없겠지요.

    금융권에서 실제로 빅데이터 관련 기술을 도입하고 있는지 어떤지는 모르겠지만, 어쨌든 빅데이터를 이용한 금융사기 적발은 몇달만에 뚝딱할 수 있는 종류의 일은 아니고 시간이 좀 걸릴 것 같습니다.
댓글 입력 영역
* 비로그인 덧글의 IP 전체보기를 설정한 이글루입니다.


B-Side


adsense(w160_h600)2

통계 위젯 (화이트)

262487
4519
2080401

2019 대표이글루_IT

Google Analytics