• mainvisual.jpg
  • Untitled-1.jpg
About Lab 아이콘

About Lab

ISAA 연구실 소개

VIEW DETAIL
Members 아이콘

Members

ISAA 연구실 연구원 소개

VIEW DETAIL
Research 아이콘

Research

주요 연구내용 소개

VIEW DETAIL
Project 아이콘

Project

ISAA 연구실 프로젝트 소개

VIEW DETAIL

ISAA NOTICE MORE VIEW +

  • 2019-07-22 더보기

    [ISAA Lab.] 이민경 학부과정, ‘2019 대학생 금융보안 캠프’ 장려상 수상

        2019.07.12(금)​ 우리 학교 이민경 학생(사이버보안학과, 3학년)이 7월 정보보호의 달을 맞아 열린 ‘2019 대학생 금융보안 캠프’에서 장려상을 수상했다. 이민경 학생은 금융 빅데이터 활용 아이디어 콘테스트에서 ‘Digital twin을 기반한 금융 인프라 시뮬레이션’을 주제로 우수한 성적을 거뒀다. 곽진 교수(사이버보안학과)가 지도를 맡았다. ‘2019 대학생 금융보안 캠프’는 지난 10일부터 3일간 KB국민은행 천안연수원에서 전국 36개 대학교 100여명 학생들이 참여한 행사로, 금융보안원, 금융보안포럼, 금융정보보호협의회가 주최하고 금융위원회, 금융감독원, KB국민은행이 후원했다. 캠프 기간 동안 정보보안 세미나를 비롯해 금융보안 관련 진로탐색 멘토링, 금융 빅데이터 활용 아이디어 콘테스트 등의 프로그램이 진행됐다.     [출처 : 아주대학교]

  • 2019-07-03 더보기

    [ISAA Lab.] 또 `빈어택`.. KB카드 카드번호 2000개 노출

    KB카드 “신속 대처로 고객 피해 차단” 빈어택 이란? 그래픽=신동준 기자해커들이 최근 KB국민카드 고객 2,000명의 신용카드 번호를 알아내 무단 결제에 성공한 것으로 드러났다. 2년전 한국씨티은행 체크카드 사태로 알려진 일명 ‘빈(BIN) 어택’이란 해킹 방법을 통해서다. 다른 카드사들도 최근 비슷한 빈 어택을 받았는데, 카드사로서는 마땅한 예방 방법도 없어 업계는 곤혹스러워 하고 있다.◇해커들, 프로그램 돌려 카드번호 조합2일 금융감독원과 카드업계에 따르면, KB국민카드의 ‘로블 시그니쳐 비자’ 카드의 실제 일련번호 2,000개가 지난달 25일 빈 어택을 당해 해커 손에 넘어갔다. 당시 온라인 소비자 커뮤니티에는 “로블 시그니쳐 카드 일련번호가 새 나갔다” “새벽에 외국에서 1달러씩 결제됐다”는 글들이 다수 게시됐다.빈 어택은 해커들이 온라인 결제에 필요한 실제 고객의 카드번호를 알아내기 위해 사용하는 방법이다. 빈(BINㆍBank Identification Number)은 은행이나 카드사의 고유번호를 의미하는데, 통상 카드 일련번호 16자리 중 앞 6자리다. 해커들은 특정 카드의 앞 6자리가 같은 점을 포착해, 나머지 10자리 숫자를 프로그램으로 무작위 조합해 수많은 카드 번호를 만든 뒤 실제 결제를 시도해 ‘진짜 카드번호’를 골라내는 것이다.해커들은 알아낸 카드 번호로 일반 물품을 구매하는 대신, 온라인 마약 유통 공간으로 유명한 ‘다크웹’에 팔아 넘긴다. 번호를 들킨 고객이 졸지에 마약구매자가 될 수도 있는 셈이다. 지난 2017년 씨티은행도 체크카드 번호가 빈 어택으로 노출된 바 있다. 최근엔 다른 카드사들도 KB카드보다 규모는 적지만 비슷한 빈 어택을 당한 것으로 알려졌다. 카드업계 관계자는 “크고 작은 규모의 빈 어택이 계속 시도되고 있다”고 전했다.KB카드는 지난주 빈 어택 사고를 인지한 뒤, 피해 카드 사용을 우선 정지시키고 해커들이 알아내기 어려운 방식의 새 카드번호를 발급했다고 밝혔다. 로블 시그니쳐 비자 카드 회원은 총 5만2,000명이지만 “이번 사고 피해자 2,000명과 나머지 회원은 번호 특성이 달라 더 이상의 피해는 없을 것”이라고 KB카드 측은 밝혔다. 금감원은 “KB카드가 즉시 금감원, 다른 카드사들과 사고내용을 공유해 추가 피해를 막았다”며 “아직 별도의 검사 계획은 없다”고 말했다.◇아마존 이용, 정상거래와 구별 어려워이번 빈 어택이 2년 전 씨티은행 건과 다른 건, 해커들이 글로벌 전자상거래 업체 ‘아마존’을 범행에 이용했다는 점이다. 해커들은 무작위 조합한 번호로 아마존에 1달러 결제를 요청하고, 결제가 승인되면 실제 카드번호 임을 확인했다.아마존은 고객 편의를 위해 통상 다른 상거래업체가 요구하는 ‘CVC번호’를 결제시 요구하지 않는다. 해커들로선 카드번호와 유효기간만 알면 결제 시험을 쉽게 해볼 수 있다.또 아마존은 고객이 최초 카드 결제를 시도하면, 이 카드가 결제 가능 카드인지 확인하기 위해 카드사에 ‘1달러 결제 승인’을 요청한다. 승인이 되면 곧바로 결제를 취소하고, 물품 거래를 진행하는 식이다. 해커들의 ‘1달러 결제 요청’이 아마존의 결제 시험 방식과 유사해 카드사의 ‘이상금융거래탐지시스템(FDS)’으로도 구별하기 어렵다.카드사들은 곤혹스러워 하고 있다. 한 카드사 관계자는 “FDS로 걸러내려고 해도 정상 거래까지 막게 될 가능성이 높아 쉽지 않다”고 말했다. 금감원 관계자도 “이번에 KB카드가 대상이 됐을 뿐, 다른 카드사에게 시도했으면 똑같은 피해가 발생했을 것”이라고 설명했다.곽진 아주대 사이버보안학과 교수는 “카드 고객 스스로 평소 해외결제를 막아두거나, 가급적 상거래 사이트에 카드번호를 저장하지 않는 등 빈 어택을 당해도 ‘곧바로 결제가 가능한 카드’로 분류되지 않게 하는 노력이 필요하다”고 조언했다.  [출처 : 한국일보​]

  • 2019-07-03 더보기

    [ISAA Lab.] “한국 인터넷 이용 못해... 우린 `제외` 국민 입니까” [이슈 속으로]“

    재외국민, 온라인 서비스 ‘그림의 떡’ / 인증수단, 아이핀·공인인증서 등 있지만 / 발급 과정 휴대전화 본인인증 필수 요소 / 국내 이통사에 본인 명의 가입자만 허용 / 민원 발급 5~6개 프로그램 설치 기본 / 온라인 쇼핑 결제도 휴대전화 인증 떠 / 은행 OTP카드 분실하면 재발급 복잡 / 국내 보안기술, 이용자에 책임 전가식 / “한류 열풍 등 고려, 인증수단 다양화 / 보안시스템 국제적 수준으로 올려야” 원본보기“휴대전화 하나 없으면 사람을 바보로 만들어놓는다니까요.”6년째 중국 칭다오에 거주 중인 신지환(30)씨는 현지에서 한국 인터넷 서비스 이용을 아예 포기했다고 밝혔다. 그는 “홈페이지 회원가입, 아이디·비밀번호 찾기, 온라인 결제 등 인터넷으로 하는 온갖 것에 휴대전화 본인인증을 걸어놨다. 어떨 땐 해외라며 접속이 아예 차단당할 때도 있다”며 “한국에선 당연하게 이용하던 서비스들도 해외에선 ‘그림의 떡’이다. 우리도 대한민국 국민인데 마치 재외국민이 아니라 ‘제외’국민 같다”고 쓴소리를 했다.‘정보통신기술(ICT)강국’이라는 명성이 무색하게 국내 온라인 서비스의 해외 접근성은 낙제점이라는 비판이 크다. 특히 우리 국민이 국내에서 간단하게 이용하는 모바일뱅킹, 온라인 민원서류 발급, 심지어 포털사이트 휴면계정 해제 등의 서비스를 해외에 나가면 이용하기가 어려워 원성이 자자하다. 국내 이용자만을 고려한 낙후된 보안 시스템 탓이 크다는 지적이 나온다.원본보기◆‘기승전 휴대전화 인증’사업·파견·연수·유학 등의 사정으로 해외에 거주하는 국민들 사이에서 국내 온라인 서비스 이용 과정에서 불만이 가장 큰 것은 휴대전화 본인인증이다. 국내에서 주로 쓰이는 본인인증 수단은 휴대전화, 아이핀(I-PIN), 공인인증서 3가지인데 사실상 휴대전화 본인인증 하나로 봐도 무방하다. 아이핀과 공인인증서 발급 과정에 휴대전화 본인인증이 끼어 있기 때문이다. 네이버·카카오 등 대형 포털사이트, 공공기관 홈페이지, 온라인 쇼핑몰 등 대부분의 국내 온라인 서비스를 불편 없이 이용하려면 휴대전화 본인인증이 필수적이다. 해외 이동통신사(이하 이통사)가 아닌 국내 이통사에 본인 명의로 가입된 휴대전화만 가능하다.대학생 김모(22)씨는 어학연수차 미국에 갔을 때 친구들과 함께 군 복무를 신청하려다 포기했다. 병무민원포털 홈페이지의 본인인증 절차가 발목을 잡은 것. 김씨는 “국외체재자는 한국 휴대전화 번호가 없으니 아이핀, 공인인증서로 본인인증을 하라고 하더라”며 “한국에서 아이핀을 잘 쓰지 않아 비밀번호를 찾으려니 휴대전화가 필요했고, 만료된 공인인증서를 재발급받으려니 또 휴대전화가 필요했다. 결국 한국에 들어가서야 신청할 수 있었다”고 답답해했다.장준영 네덜란드한국학생회(KSAN) 임원은 “대부분 국내 온라인 쇼핑몰은 가입이나 결제에서 휴대전화 본인인증을 요구한다. 한국 휴대전화 번호가 없으면 돈이 있어도 살 수가 없다”고 지적했다. 한국에서 발급한 신용카드가 아니면 결제가 거부되는 경우도 허다하다. 어쩔 수 없이 해외 온라인 쇼핑몰에서 물건을 구매한다는 한 교민은 “이젠 온라인에서 ‘본인인증 팝업창’만 뜨면 분노가 치민다”며 쌓인 불만을 드러내기도 했다.원본보기◆“OTP카드 잃어버렸다가 큰 곤란”해외에선 국내 은행사의 온라인뱅킹을 이용하기도 쉽지 않다.캐나다에서 대학 시절을 보낸 김모(26)씨는 “현지에서 OTP(일회용비밀번호)카드를 잃어버렸다가 큰 낭패를 봤다”며 “재발급 받으려니 토론토에 있는 지점에 가거나 영사관에서 영사확인위임장 등을 발급받아 국내에 있는 지인에게 대리 수령을 부탁해야 한다더라. 절차도 복잡해 OTP카드를 받기까지 거의 두 달이 걸렸다”고 토로했다.OTP카드는 국제배송 중 분실·파손 위험도 있다. 이 때문에 은행들은 숫자가 적혀 있는 보안카드로 바꾸길 권하지만 이 경우 한도가 OTP카드 이용 때보다 줄고, 일정 금액 이상 이체 시 또 휴대전화 본인인증을 요구한다.일부 은행은 해외 이통사를 통한 모바일뱅킹 이용 시 통신장애가 발생할 수 있고 해외 IP 접속이 차단될 수도 있는 것으로 알려졌다.◆공공기관 민원 신청도 어려워… 해외 접속 차단되기도공공기관 홈페이지도 불친절하긴 마찬가지다. 캐나다 토론토한인회의 신광희씨는 “민원24 등 온라인 민원 발급 서비스를 이용하려면 본인인증이 필요한데 컴퓨터 사양이나 보안 체계에 따라 보안프로그램이 깔리지 않거나 공인인증서를 이용할 수 없을 때도 있다”며 “가족관계증명서 등 민원서류를 뽑아야 하는데 캐나다와 한국의 종이 규격이 달랐을 때 아예 출력되지 않거나 내용이 일부 누락돼 곤란을 겪기도 했다”고 전했다.뉴질랜드 유학생 김모(24)씨는 “홈페이지에 로그인하기 위해 대여섯개의 보안 프로그램을 설치하는 모습을 보고 영국인 친구가 많이 놀라더라”며 “‘그 프로그램들에 오히려 해킹당할 것 같다. 설치 안 하면 로그인이 안 되냐’고 묻길래 많이 민망했다”고 전했다.정부 기관 홈페이지에 따라 독일, 중국 등 해외 일부 국가에서 접속이 막혀 있기도 하다. 한 기관 관계자는 “국가기관 홈페이지라 국가정보원에서 해킹 위협이 있는 IP목록을 주기적으로 제공한다. 그런 IP를 가진 접속자는 차단하는 경우가 있다”고 설명했다.곽진 아주대 교수(사이버보안학)는 “우리나라 공공기관은 해외 접속자를 사이버 공격으로 판단하는 경우가 종종 있다. 특히 중국 쪽에 민감하다”며 “이럴 땐 사용자가 해당 기관에 직접 IP차단을 해제해달라고 요청해야 하는데 홈페이지 접속이 안 되니 국민청원 게시판에 주로 관련 민원을 넣기도 한다”고 설명했다.원본보기◆전문가 “보안 시스템 국제적인 수준으로 높여야”국내 보안 시스템이 과도하게 휴대전화 본인인증에 의존하다 보니 교민 커뮤니티에 ‘출국 전 본인인증용 알뜰폰을 하나 만들어두라’는 조언도 공유된다. 몇천원짜리 알뜰폰 요금제에 가입해 국내 은행 계좌로 자동이체를 걸어두고 본인인증용 문자(SMS)를 받으라는 것이다. 로밍서비스를 꺼놓아도 SMS를 무료로 받을 수 있다.재외국민들은 “쓰지도 않는 휴대전화 번호를 오로지 본인인증을 위해 살려둬야 한다는 게 얼마나 비효율적이냐”고 답답해하면서도 그 외엔 뾰족한 수가 없다는 입장이다.전문가들은 국내 보안 기술이 이용자에게 책임을 지우는 방향으로 개발됐다고 지적했다. 곽진 교수는 “공인인증서 사용 의무가 폐지됐음에도 여러 기관에서 아직도 많이 활용하는 이유는 제도상 안전성이 확보됐기 때문이다. 공인인증서 시스템하에서 정보 유출 등의 문제가 생기는 건 인증서 관리를 잘못한 개인의 부주의일 확률이 높다”며 “서비스 제공자 입장에선 위험 부담을 감수하며 다른 인증 시스템을 들여올 유인이 없다”고 설명했다.임종인 고려대 정보보안대학원 교수도 “교민들을 위해 세계 각국의 다양한 제도와 환경까지 고려하려면 비용과 시간이 많이 든다. 이 때문에 업체들이 국내 이용자 환경만 고려해 시스템을 구축해 문제가 생긴다”고 꼬집었다.그러면서 “미국 등에선 인공지능을 활용한 FDS(이상금융거래탐지시스템) 등으로 해킹 위협을 감지한다. 이용자는 카드번호 등 간단한 정보만으로 물건을 구매할 수 있다. 물론 이 과정에서 사이버범죄 등이 일어나 손해가 발생할 수 있으나 이러한 피해는 업체가 사이버 보험(Cyber Insurance)으로 해결한다”고 전했다. 사이버보험은 해킹 등으로 고객 정보 등이 탈취돼 문제가 생겼을 때 이에 따른 법률비용 및 복구비용 등을 받는 상품이다.미국보험연구원(KIRI)에 따르면 미국 내 사이버보험 시장규모는 매해 급격히 성장하고 있으며 2020년 75억달러 규모가 될 전망이다. 임 교수는 “교민뿐 아니라 한류 열풍을 타고 온 해외 이용자들도 고려해 국내도 인증 수단을 다양화하고 보안 시스템을 국제적인 수준으로 올릴 필요가 있다”고 강조했다.  [출처 : 세계일보​]

TOP