1. 개요

- 필란트는 앞서 한국의 은행 보안 프로그램 TouchEn nxKey, IPinside에 대해 분석글을 게시

- 해당 보안 프로그램의 설치를 강제하는 것이 사용자들에게 더 나은 보안을 제공하지 못함

 

2. 중간 결론

2.1 엔드포인트

- 사용자가 은행 웹사이트 접속 시 공격자 등 외부 요소의 간섭 없이 사용할 수 있어야함

- 이를 위해 MS에서 윈도우 방화벽(방화벽)과 윈도우 디펜더(백신)을 제공

- 한국에서는 타사 백신(안랩 백신)을 사용

- 안랩 세이프 트랜잭션의 경우 백그라운드에서 동작이 없다가, 은행 웹사이트에 접속해야만 동작

- 보통 멀웨어 감염은 은행 웹사이트에서 발생하지 않으므로 호스트를 공격으로부터 보호하지 못함

 

2.2 키보드 보안

- 한국의 여러 보안 애플리케이션이 키보드 입력을 보호하려 함

- 금융권을 대상으로한 트로이 목마 바이러스가 유행해 암호를 탈취

- 당시 화상키보드를 사용해 물리키보드 입력을 통한 키로깅 행위를 방지함

- 트로이 목마 바이러스 변종이 등장해 키 입력 뿐만 아니라 마우스 클릭과 클릭된 위치 주변의 스크린샷을 저장

- 새로운 변종 바이러스가 다수 등장하였지만 한국의 환경에서는 과거의 방식이 많이 사용됨

 

2.3 IP 주소 감지

- 공격자들은 여러 IP를 이용해 공격을 시도

- 한국의 은행들은 새로운 방법을 찾기 보단, 익명 프록시 및 VPN 사용에 대한 대안을 찾고있음_IPinside 설치를 요구

- 일반적으로 로그인 시도가 3~5번 실패할 경우 계정이 잠기거나, 다중 인증을 요구하므로 접속 IP에 대한 관심은 낮은편

- 또한, 금융권을 대상으로한 트로이 목마 바이러스 역시 이를 회피하는 방법을 가지고 있음

- 회피 기능을 이용해 계정을 탈취한 후 악의적으로 사용

 

2.4 인증서 기반 로그인

- 한국 은행 웹사이트 로그인 환경에서 인증서기반 로그인이 많이 사용됨

- 한 때 인터넷 뱅킹을 위해 강제되었지만 더 이상 그렇지 않음

- 인증서를 백업하고 사용하는 모든 디바이스로 옮기는 과정에서 오류가 발생할 가능성이 높음

- 또한, 부가적인 가치를 제공하지 않음

- 결론적으로, 인증서의 실질적인 기능에 대한 의문

 

2.5 소프트웨어 배포

- 설치가 필요한 애플리케이션의 개수가 다수

- 웹 사이트에 따라 필요로 하는 애플리케이션이 다르며, 버전 또한 고려해야하므로 일반 사용자가 관리하기에 어려움이 있음

- 해당 애플리케이션을 은행에서 배포하며, 버전별 호환성에 의해 오래전 버전이 지속적으로 배포되고 있을 수 있음

- 또한, HTTP를 이용해 소프트웨어를 배포하는 경우도 확인됨

- 은행 웹사이트에서 최신 버전의 보안 프로그램과 호환 될 수 있도록 절차 마련이 필요

 

3. 참고

[1] https://palant.info/2023/02/20/south-koreas-banking-security-intermediate-conclusions/

[2] https://github.com/alanleedev/KoreaSecurityApps/blob/main/04_intermediate_conclusions.md

+ Recent posts