아이뉴스24

<아이뉴스24>

[김국배기자] 공공기관과 금융기관이 도입한 '가상키보드 보안솔루션'의 대다수가 원격조정시스템(RCS)에 무방비 상태인 것으로 드러났다.

RCS는 국가정보원이 이탈리아 업체 '해킹팀'으로부터 비밀리에 구매한 것으로 알려지면서 논란이 됐던 해킹 프로그램이다. 가상키보드는 데스크톱PC·노트북·스마트폰 등의 화면에 만든 키보드로, 키보드로 누른 정보를 중간에 가로채는 '키보드 후킹'을 방지하기 위해 개발됐다.

국회 기획재정위원회 윤호중 의원이 더스쿠프(The SCOOP)와 공동으로 지난 8월 3일부터 28일까지 약 한달간 가상키보드의 보안능력을 분석한 결과 은행·카드·보험 등 금융회사 35곳 가운데 88.5%에 달하는 31곳의 가상키보드가 RCS를 설치해 화면을 들여다볼 경우 마우스 커서, 가상키보드가 그대로 드러났다.

지방세 인터넷 납부시스템 위택스(wetax), 인터넷상 개인식별번호 공공 아이핀(I-PIN)의 가상키보드 역시 마찬가지로 사용자 컴퓨터에 RCS가 활성화되면 마우스커서의 움직임이 그대로 드러났다.

특히 가상키보드를 설치한 금융회사 35곳 중 27곳은 공인인증서의 비밀번호 입력단계에 가상키보드를 설치해놨는데 이중 25곳(92.5%)이 RCS에 마우스커서가 그대로 노출됐다.

윤 의원은 이에 대해 "국내 금융회사와 공공기관, 정부포털의 가상키보드 보안솔루션의 많은 수가 '구색 맞추기'일 뿐 보안이 되지 않는다"며 "RCS가 사용자 컴퓨터에 깔려있다면 개인정보, 금융정보가 노출될 여지가 있다는 뜻"이라고 강조했다.

'가상키보드의 보안능력이 약하다'는 지적은 어제오늘의 얘기는 아니다. 금융보안연구원은 2009년 11월 '전자금융거래 입력매체 보안기술 분석결과'라는 보고서에서 "일반적으로 가상키보드 영역에 화면저장 방지기술이 적용돼 있지 않아 키보드 입력값이 노출된다"고 지적한 바 있다.

하지만 금융회사, 공공기관, 정부 포털에 탑재된 대부분의 가상키보드엔 '화면저장 방지기술'이 없는 것이 현실이라는 게 윤 의원 측 설명이다.

윤 의원은 "화면해킹 등 신종 악성코드에 대응할 수 있는 보안프로그램을 운영할 필요가 있다는 이유로 행정자치부는 작년말 '개인정보 안전성 확보조치' 기준고시를 개정했다"며 "제도는 바뀌었지만 현실은 그대로인 상황"이라고 말했다.

김국배기자 vermeer@inews24.com

☞IT는 아이뉴스24      연예ㆍ스포츠는 조이뉴스24
☞새로운 시각 즐거운 게임, 아이뉴스24 게임
☞메일로 보는 뉴스 클리핑, 아이뉴스24 뉴스레터