FDS홍보2019. 7. 10. 22:11

FDS 룰 공유 및 연구반 운영

금융보안원은 각 권역별 금융회사 FDS 담당자님들과 FDS 룰 공유 및 연구반을 운영하고 있습니다. 새로운 Fraud에 대해 트렌드를 공유하고 FDS에서 탐지할 수 있는 방법을 논의하고 고민하는 자리입니다.

Posted by Theo Kim
카테고리 없음2019. 4. 2. 13:38

인터넷전문은행의 IT시스템 구축이 본격화됐습니다. 은행은 전통산업이지만, IT시스템의 도움 없이는 존재할 수 없는 산업입니다. IT는 은행에서 가장 중요하고, 비용도 많이 들어가는 핵심 분야라고 볼 수 있습니다.

국내 최초로 인터넷전문은행 예비인가를 받은 K뱅크와 카카오뱅크도 예외가 아닙니다. 이들은 특히나 오프라인에 기반을 두지 않은 인터넷전문은행이기 때문에 IT시스템의 중요도는 기존 은행보다 몇 배 클 것입니다. 이 때문에 두 인터넷전문은행이 어떤 IT환경을 선택할지 업계의 많은 관심을 받았습니다.

그리고 최근 본격적으로 IT시스템 구축 프로세스를 밟기 시작했습니다. 두 인터넷전문은행이 선택한 IT환경을 비교해 볼까요?

서버 : 검증 택한 K뱅크, 도전 택한 카카오뱅크

일단 가장 기본적이라고 볼 수 있는 서버 컴퓨터와 운영체제가 서로 엇갈렸네요. K뱅크는 유닉스 기반으로 시스템을 구축하기로 했고, 카카오뱅크는 리눅스 기반으로 개발할 예정입니다. 이는 K뱅크의 경우 IBM, HP 등이 공급하는 중대형 컴퓨터 위에서 시스템을 돌리고, 카카오뱅크는 X86 프로세서를 탑재한 범용 서버를 연결해서 IT환경을 만든다는 이야기입니다.
  
유닉스 시스템은 상대적으로 안정적인 반면 비싸고 개방성에 제한이 있다는 단점이 있습니다. 리눅스 시스템은 시스템 자체의 안정성 면에서 아직은 약간 의구심이 있기 때문에 여러 컴퓨터를 서로 보완하는 형태로 구축될 전망입니다.

카카오뱅크는 리눅스와 X86시스템 조합을 선택

기존 국내 은행은 대부분 유닉스 기반으로 거래가 진행됩니다. 아직 리눅스 기반으로 계정계(고객의 거래처리를 위한 핵심시스템)를 운영하는 기업은 국내에 없습니다. 카카오뱅크가 사업을 시작하게 되면 최초의 사례로 역사에 남을 것입니다.

이런 점에서 K뱅크는 검증된 안전한 길을 선택한 반면, K뱅크는 리스크를 다소 감수하더라도 더 유연성 있고 비용효율적인 길을 나섰다고 볼 수 있겠습니다.

코어뱅킹 : 국산 SW 선택한 K뱅크, 기존 혁신을 구매한 카카오뱅크

이번에는 두 인터넷전문은행의 코어뱅킹 솔루션을 살펴보죠. 코어뱅킹(core banking)은 금융기관이 고객과 거래하는 여수신 및 외환시스템 처리 ‘계정계’용 IT시스템을 말합니다. 은행이 차세대 프로젝트를 통해 새로운 IT시스템을 구축한다는 말이 곧, 코어뱅킹을 교체한다는 말을 의미한다고 볼 수 있을 정도로 핵심 중의 핵심 소프트웨어라고 볼 수 있습니다.

코어뱅킹 솔루션도 두 회사는 다른 전략을 선택했습니다.

이번에는 K뱅크가 다소 모험적인 선택을 했습니다. K뱅크는 뱅크웨어글로벌이라는 국내 중소 소프트웨어 업체의 코어뱅킹 솔루션을 탑재하게 됩니다.

logo기존 은행들은 일반적으로 글로벌 소프트웨어 기업의 코어뱅킹 솔루션을 고가에 구매하거나, 금융 프레임워크 기반으로 자체 개발하기 때문에 국내 중소 소프트웨어 기업의 코어뱅킹 솔루션을 구매한다는 것은 적지 않은 의미가 있습니다.

물론 뱅크웨어글로벌의 코어뱅킹 솔루션은 알리바바의 인터넷전문은행인 마이뱅크가 사용하고 알리페이에도 적용돼 이미 검증된 소프트웨어입니다.

카카오뱅크는 매우 색다른 전략을 택했습니다. 전북은행의 IT환경을 그대로 이식하기로 한 것입니다. 전북은행 차세대시스템 구축 프로젝트는 2012년 2월에 시작해 20개월 동안 진행된 사업으로, 그 당시에 매우 혁신적이라는 평을 받았습니다.

unnamed카카오뱅크는 올해 안에 프로젝트를 마무리해야 하기 때문에 20개월을 투자할 수 없습니다. 전북은행이 개발해 놓은 혁신적인 시스템을 그대로 구매해서 이식하면 시스템 구축 시간을 훨씬 단축할 수 있을 것이라는 판단으로 보입니다. 앞서 광주은행도 전북은행의 IT시스템을 이식해 단시간에 차세대 프로젝트를 마무리한 바 있습니다.

계정계 DBMS : 역시 오라클을 벗어날 수 없었다

K뱅크와 카카오뱅크 IT시스템의 공통점도 적지 않습니다. IT시스템을 구축할 때 가장 중요한 소프트웨어인 데이터베이스관리시스템(DBMS)은 두 은행 모두 오라클 DB를 선택했습니다.

한 때 인터넷전문은행은 계정계 DB로 국산 DB나 오픈소스 DB를 도입할 수도 있다는 소문이 돌기도 했지만, 역시 계정계에 국산이나 오픈소스 DB를 사용하는 것은 아직 지나치게 모험적이라는 판단을 한 듯 보입니다.

Oracle-12c-pluggable-database오라클은 매우 비싸지만 성능과 안정성 면에서 이미 검증된 소프트웨어죠. 몇몇 예외적인 경우를 제외하면 국내 거의 모든 은행은 오라클로 계정계 DB를 운영 중입니다.

오라클은 비싼 가격과 높은 유지보수요율 때문에 기업들로부터 원성을 많이 듣는 회사인데요, 제품의 품질이 월등하다 보니 어쩔 수 없이 ‘미워도 다시 한 번 오라클’이라는 결론이 나왔습니다.

다만 계정계가 아닌 다른 시스템은 오픈소스 DB 등 다른 대안 소프트웨어가 들어갈 예정입니다.

개발언어 : 인터넷전문은행 자바 전성시대

두 회사 모두 자바를 개발언어로 선택했다는 점도 눈길을 끕니다. 자바는 기업용 애플리케이션을 개발할 때 매우 많이 사용되는 언어이지만, 금융권에서의 활용도는 높지 않았습니다.

Java_logo기존 은행의 IT시스템은 주로 코볼이나 C언로 개발돼 있습니다. 메인프레임에서 주로 코볼로 애플리케이션을 개발했고, 유닉스로 옮겨오면서 그 애플리케이션을 그대로 다운사이징 했기 때문입니다.

K뱅크가 자바를 쓸 수밖에 없는 것은 뱅크웨어글로벌의 코어뱅킹 솔루션이 자바로 개발됐기 때문이고, 카카오뱅크는 전북은행 IT환경이 자바이기 때문에 자바를 선택할 수밖에 없습니다. 전북은행은 국내 최초로 코어뱅킹 시스템에 자바를 도입해 주목을 받았었습니다.

자바로 개발하는 것은 개발인력 수급에 어려움이 있을 수도 있습니다. 국내에 자바 개발자는 넘쳐 나지만, 은행 계정계 시스템 개발 경험이 있는 자바 개발자는 많지 않기 때문이죠.

전북은행 차세대 시스템 구축 사업 주 사업자였던 LG CNS는 당시 자바 개발자 부족 문제를 해결하기 위해  ‘모델 주도형 아키텍처’라는 방식을 도입했습니다. 개발자가 직접 소스코드를 쓰는 것이 아니라 로직을 만들면 자동으로 소스코드가 작성되는 방식입니다.

K뱅크와 카카오뱅크에는 시간이 별로 없습니다. 본인가를 받기 위해서는 IT시스템을 미리 구축해 놔야 하기 때문입니다. 국회 상황에 따라 달라질 수 있지만, 정부는 하반기 인터넷전문은행 본인가를 내겠다는 계획입니다. 그렇다면 IT시스템 구축이 그 전에 끝나야 합니다.

두 회사가 패키지 코어뱅킹 솔루션을 도입하거나 전북은행 IT환경을 이식하려는 이유도 여기에 있습니다. 프로젝트 기간을 최대한 줄여야 하기 때문입니다. 보통 은행 차세대 프로젝트는 1년 6개월 이상 소요됩니다. 과연 두 은행이 정부의 일정에 맞춰 시스템을 구축할 수 있을지 궁금해집니다.

 

출처 : https://byline.network/2016/04/1-116/

Posted by Theo Kim
카테고리 없음2019. 4. 2. 09:13

[보안뉴스=법무법인 선우 손태진 변호사] 29일부터 개인정보보호가 한층 강화된 정통망법 개정안이 시행되면서 기업의 부담이 가중되고 있다. 정부에서 강제하는 규정을 따르기 위해서는 새로운 솔루션을 도입해야 하고, 규제강화로 개인정보 취급에 있어서도 상당한 주의가 요구되고 있다.

기업에서 새로운 부가가치를 창출하기 위해서는 개인정보의 수집 가공을 통한 개인정보의 활발한 활용이 필요하지만, 개인정보가 한번 유출되고 나면 변경이 거의 불가능해 피해회복을 할 방법이 없다. 이를 취급한 기업도 상당한 처벌이 따른다. 여기서 살펴보고자 하는 부분은 어디까지 개인정보로 볼 것인지 여부다. 과거의 판례를 기준으로 이를 살펴보고, 어떻게 관리할지에 대한 방안을 마련하는 것이 필요하다.

일신전속적인 개인정보는 그 변경이 거의 불가능해 침해발생시 피해회복이 힘들다는 점에서 본질적으로 활용이 제한될 수밖에 없다. 이에 개인정보에 관한 법률들은 그 활용방안을 규정하면서도 활용자에게 개인정보의 보호의무를 부과하고 유출에 책임이 있는 경우, 민사적 책임(손해배상 책임), 형사적 책임, 행정적 책임(시정명령, 과징금, 과태료 등)을 부과하고 있다.

이런 상황에서 정보활용이 필요한 자들로서는 과연 어떤 정보가 ‘개인정보’인지 여부를 명확히 인식해야만 개인정보 활용시 발생할 수 있는 여러 법적 규제를 사전에 준수하고 그로 인한 법적 책임을 피해갈 수 있을 것이다.

‘개인정보’에 관한 법률 규정 및 판례에 의하면, 개인정보의 개념요소는 크게 생존하는(살아 있는) 개인에 관한 정보로서 성명, 주민등록번호 등을 통해 (특정한)개인을 알아볼 수 있는 부호·문자·음성·음향 및 영상 등의 정보로 나뉜다. 또한, 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합해 특정 개인을 알아볼 수 있는 정보도 포함한다. 법원에서는 이 같은 정보의 유출사고를 어떻게 판단했을지 몇 가지 사안에 대해서 살펴본다.

어디까지 개인정보인가

ID/PW 만으로 개인정보로 볼 수 있을까?
온라인 게임서비스 제공업체인 엔씨소프트가 게임 서버의 업데이트 과정에서 실수로 일부 이용자의 아이디와 비밀번호 등이 로그파일로 기록되는 사고가 난 사안에서 법원에서는 이용자의 아이디와 비밀번호는 당연히 개인정보에 해당한다는 전제에서 별도의 판단을 하지는 않았다(서울고등법원 2006나12182).

이메일 주소만 유출...개인정보 유출인가?
은행담당자가 특정 유형의 금융상품 가입고객에게 이메일을 발송하면서 실수로 해당 금융상품에 가입한 고객의 성명, 주민등록번호, 이메일 주소 등의 정보를 첨부파일로 발송해 이메일을 수령한 고객들이 다른 고객들의 정보를 알 수 있게 한 사건에서 법원은 이메일 주소만으로는 특정 개인을 알아볼 수 없지만 다른 정보와 결합할 경우 특정인에 대한 추정이 가능해 개인정보로 판단했다(서울중앙지법 2007.2.8. 선고 2006가합33062,53332 판결).

특정한 상황에서만 확인 가능한 IMEI 및 USIM 일련번호는?
스마트폰 어플리케이션 개발업체가 사용자의 동의 없이 단말기의 고유한 식별자인 IMEI 및 USIM 일련번호의 조합정보를 전송해 서버에 저장토록 하는 ‘증권통’이라는 증권정보제공 어플리케이션이 문제된 사안에서 법원은 기계적인 정보라도 특정 개인에게 부여됐음이 객관적으로 명백하고, 이러한 정보를 통해 개인이 식별될 가능성이 크다면 이를 개인정보로 봐야 한다고 판단했다.

이들 정보가 개인의 소유로 귀속되기 전까지는 기기나 특정 카드에 부여된 고유번호이지만 어느 개인이 소유하는 순간부터 이들 번호는 ‘기기나 특정카드에 부여된 고유번호’라는 의미 이외에 특정 개인이 소유하는 휴대폰의 기기번호 및 USIM카드의 일련번호’라는 의미를 함께 지니게 된다는 것이다(서울중앙지방법원 2011. 2. 23. 선고 2010고단5343 판결).

휴대전화 뒷번호만 공개했다면 개인정보 침해일까?
경찰로부터 도박현장을 단속 당한 피고인이 경찰에 신고자를 알려달라는 부탁에 휴대전화 뒷자리 4자리를 알려줬는데 이를 통해 신고자가 누구인지 알 수 있었다. 이에 대해 법원은 휴대전화 사용이 보편화되면서 휴대번호 뒷자리 4개 숫자에 생일이나 기념일 등의 일정한 의미나 패턴을 담는 경우가 많고 집 전화번호의 뒷자리와 일치시키는 경우, 한 가족이 동일한 휴대전화번호 뒷자리 4자를 사용하는 경우도 적지 않다는 점, 그리고 휴대번호 뒷자리에 그 전화번호 사용자의 정체성이 담기는 현상이 점점 심화되고 있다는 점을 들어 개인정보로 판단했다.

특히 전화번호 사용자와 일정한 인적관계를 맺어온 사람이라면 특정한 개인을 파악할 수 있는 가능성이 높으며, 휴대번호 뒷자리 4자만으로는 그 전화번호 사용자를 식별하지 못한다 하더라도 뒷자리 번호 4자와 관련성이 있는 생일, 기념일, 집 전화번호, 가족 전화번호, 기존 통화내역 등을 통해 사용자가 누구인지 알아볼 수 있다는 것이 그 이유다(대전지방법원 논산지원 2013고단17판결).

정보 활용자가 바라보는 ‘개인정보’의 개념
앞서 본 바와 같이 ‘개인정보’ 정의에 관한 법률 문구들은 개별 판례를 통해 해석되고 있으나, 문언 자체가 매우 구체적이지 않고 보는 관점에 따라 여러 의미로 해석될 수도 있다는 문제도 있다.

개인정보 정의에 관한 법률의 규정 중 ‘특정한 개인을 알아볼 수 있다’고 할 때 특정한 개인을 ‘알아보는 것’이 이미 특정한 개인을 알고 있었던 사람을 기준으로 판단해야 하는지, 아니면 특정한 개인을 전혀 모르는 제3자를 기준으로 판단해야 하는지에 따라 해석이 충분히 달라질 수 있다. 또한, 다른 정보와 쉽게 결합한다는 점에서 ‘다른 정보’는 누구나 알 수 있는 정보인지, 아니면 행위자가 현재 취득한 정보만을 의미하는지, 적법하게 취득가능한 모든 정보만을 의미하는지에 대한 해석도 다를 수 있다.

이런 애매함은 학자들이나 수많은 법원 판결을 통해 언젠가는 해결되겠지만 정보 활용자는 그때까지 마냥 기다릴 수는 없는 상황이다. 불확실한 상황에서 정보 활용자가 자신의 법적 위험을 피하기 위해서 어떻게 해야 할까? 최소한 개인에 관련된 정보라면 그것이 ‘개인정보’로서 법적 규제의 대상일 수 있다는 ‘보수적’인 관점이 필요하다.

이를 위해 정보 활용자는 개인과 관련된 정보는 개인정보일 수 있다는 의심을 품고, 현재 자신이 활용하고 있는 정보가 과연 ‘개인정보’로 판단된 사례가 있는지, 어떻게 해석되고 있는지 적극 살펴봐야 한다.

Posted by Theo Kim
카테고리 없음2019. 3. 8. 09:27

The U.S. Citizenship and Immigration Services (USCIS) recently awarded a $49.5 million contract to support the work of the agency’s Fraud Detection and National Security Directorate.


Excella, an Arlington, Va.-based tech consultancy, will help USCIS detect potential immigration fraud through advanced data analytics.


“This is a significant step for Excella and our partnership with DHS to enhance USCIS data capacity across the board, helping the agency better meet its mission and serve its millions of customers,” Dave Neumann, a partner at Excella, said in a statement. “This is a terrific opportunity to expand our work to create modern digital experiences with great federal partners like DHS.”


USCIS’ Fraud Detection and National Security Directorate exists to determine “whether individuals or organizations filing for immigration benefits pose a threat to national security, public safety, or the integrity of the nation’s legal immigration system.” To do this, FDNS must comb through a lot of data. For the next three years, Excella will be offering data scientists, machine learning algorithms and natural language processing capabilities to streamline this process.


Immigration fraud made the news recently in a much more made-for-TV fashion when eight suspects were indicted on charges of student visa fraud. USCIS caught these alleged fraudsters by setting up a fake university, the University of Farmington, as part of an undercover operation.

Posted by Theo Kim
카테고리 없음2019. 3. 8. 09:20

강원지방경찰청은 보이스피싱 범죄로 80억 원의 거액을 가로챈 보이스피싱 4개 조직 40명을 검거이중 23명을 구속했습니다. 


경찰에 따르면 이들은 중국에서 걸려온 전화를 마치 국내 전화인 것처럼 번호를 조작한 뒤, 검사와 금융감독원 등을 사칭해 368명으로부터 80억 7천여만 원을 가로챈 혐의를 받고 있습니다. 


이번에 검거된 40명 중 절반인 20명이 중국 국적이었습니다. 


경찰은 이들 조직이 범행에 이용한 핸드폰 유심칩과 통장 등을 돈을 받고 준 2,000여 명의 사람들에 대해서도 사기 방조 등의 혐의로 입건할 계획입니다.




http://imnews.imbc.com/news/2019/society/article/5193987_24698.html


지방에 가면 핸드폰 명의로 소액대출을 해준다는 불법 광고를 볼 수 있다. 이 과정에서 핸드폰 명의가 대포폰으로 활용되고 있는 것으로 판단된다.

Posted by Theo Kim
보도자료/언론보도2019. 2. 22. 09:41

금융당국이 제도를 개선해 핀테크 기업 육성에 나선다. 기술환경 변화에 따른 전자금융거래의 안정성 확보 및 보안강화, 금융소비자 보호도 중점적으로 추진한다.


20일 서울 롯데호텔에서 열린 ‘스마트금융&정보보호페어(SFIS) 2019’에서 기조연설자로 나선 권대영 금융위원회 금융혁신기획단장은 “핀테크 산업에 충분한 자금이 흘러갈 수 있도록 적극 지원하고 디지털 변혁에 따른 금융보안 강화, 개인정보 보호, 금융소비자 보호 등에도 힘을 쏟을 계획”이라고 말했다.


금융위는 지난해 7월 핀테크 혁신과 금융보안을 전담하는 금융혁신기획단을 설치했고 처음으로 핀테크 지원을 위한 예산도 확보했다. 특히 지난 연말 금융혁신지원특별법이 국회를 통과해 올해 4월부터 금융규제 샌드박스의 운영이 가능해졌다.


금융위는 금융규제 샌드박스가 혁신적 아이디어를 갖고 마음껏 뛰노는 장이 될 수 있도록 전향적으로 운영할 계획이다. 충분한 자금이 투입될 수 있도록 금융회사의 핀테크 분야 투자 제약을 해소하고 성장단계에 맞춰 자본시장과의 연계도 강화한다는 방침이다.


시대에 맞지 않는 낡은 규제도 지속적으로 고쳐나가기로 했다. 권 단장은 “그림자 규제, 금융-비금융 융합규제 뿐만 아니라 과거에 안된다고 했던 것들도 다시 살펴보고 있다”며 “현장 수요에 맞는 전문인력 양성을 지원하고 창의적 도전을 위한 핀테크 업무공간 지원도 확대해 나갈 것”이라고 말했다.


금융감독원은 올해 금융IT 감독·검사를 전자금융거래의 안정성 확보와 금융소비자 보호에 중점을 맞춰 추진하기로 했다. IT감독에서는 우선 신기술 적용 금융서비스, IT아웃소싱, 클라우드 서비스 이용 활성화 등 금융IT 융합부문에 대한 리스크 관리·감독 체계를 마련한다. 해킹 등에 대해 대응체계를 점검하고 FDS(이상금융거래탐지시스템) 운영 고도화 등 사이버 보안 감독을 강화하고 금융권과의 소통 및 IT 감독 관련 국제협력도 강화할 방침이다.


IT검사에서는 우선 리스크 중심의 상시 감시를 강화한다. 전자금융업 경영기준 준수 및 모바일 서비스 보안실태 점검, 외주업체 관리 및 재난대비 비상계획 적정성 등 취약 부문에 대한 검사도 강화한다. 전길수 금감원 IT핀테크전략국 선임국장은 기조연설에서 “외주업체를 통한 우회적인 사이버공격이 많다”며 “외주업체 관리 부문을 집중적으로 감독할 것”이라고 말했다. 이와 함께 정보보호 수준 자율평가를 시행하고 금융회사의 자율보안 거버넌스 수립·운영을 관리하는 등 자율보안체계 내실화도 추진할 방침이다.


머니투데이가 주최하고 금융위와 금감원이 후원한 이번 행사는 급변하는 급변하는 금융IT 환경과 금융기관을 대상으로 한 보안위협에 선제적으로 대응할 수 있는 방안을 모색하고 공유하는 취지에서 마련됐다. 현장에는 국내은행, 증권, 보험, 카드사 및 IT업계 정보보안 실무자 약 250여명이 참석해 성황을 이뤘다.


(머니투데이, http://news.mt.co.kr/mtview.php?no=2019022015175864468)

Posted by Theo Kim
카테고리 없음2019. 2. 19. 23:42

특이하게 취약시간대(00:00~04:00)에 제약을 걸어놓은 것이 아니라 취약시간대 전 시간이 제한이 걸려 있습니다. 아마도 최근 전자금융사고가 취약시간대보다 그 전 시간에 많이 발생하는 것이 아닌가 생각됩니다.

Posted by Theo Kim
보도자료/언론보도2019. 2. 19. 10:32

"고객 자산을 보호한다는 점에서 큰 자긍심이 있다. 큰 돈을 잃을 뻔한 분이 내게 찾아와 보이스피싱범을 잡아줘서 고맙다는 인사를 할 때도 많다. '고맙다'라는 말을 들을 때 가장 큰 보람을 느낀다."


암호화폐 거래소에서 일하려면 아직 넘어야 할 편견이 많다고 업계 종사자들은 입을 모은다.


언론을 통해 암호화폐 거래소의 각종 사건사고들이 보도되고, 투자실패로 거액의 돈을 잃은 소식이 종종 들리면서 거래소 또한 눈총을 받고 있다는게 그 이유다. 편견과는 달리 고객들로부터 '고맙다'라는 말을 주로 듣는 사람이 있다. 업비트를 운영하고 있는 두나무의 안재민 CS운영팀장이 그 주인공이다. 안 팀장은 FDS(이상금융거래감지시스템) 담당자로 24시간 돌아가는 거래소의 거래내역을 모니터링하며 수상한 거래의 기운이 감지되면 이를 지체없이 경찰 등에 신고하는 역할을 하고 있다. 진짜 경찰은 아니지만 안 팀장은 업비트의 일종의 '비공식 사복 경찰'인 셈이다.


"이상거래가 발생하면 이를 미리 파악해 더 큰 피해를 막는 것이 나의 역할이다. 2건 중 1건은 신고가 들어오기도 전에 미리 파악한다. 이상 입출금이 발생하면 해당계정을 즉시 출금정지를 한다. 출금정지를 당한 회원이 회사에 내방해 따지다가 신고를 받고 출동한 경찰에 바로 검거된 적도 있다."


(사진)


기계공학 학·석사를 거쳐 국가연구소에서 일하는 등 20년 동안 기계공학 한 길만 걸었다는 안 팀장은 암호화폐와 조우하게 되면서 과감하게 방향을 틀었다.


"엔지니어로 일하던 중 가상화폐 붐이 일어나면서 투자를 시작했다. 자연스레 블록체인에 관심을 갖게 됐는데 초기 거래소들의 경우 소비자 서비스가 불만족스러웠다. 고객센터도 전화를 잘 받지 않고, 투자자들과 커뮤니케이션 한다는 느낌이 부족했다. 내가 하면 더 잘할 수 있겠다는 자신감으로 업비트에 입사했다."


사실 공공기관도 아니고 사익을 추구하는 거래소임에도 불구하고 고객들을 위해 이같은 수고스러운 일을 하는 이유가 뭐냐고 물었다. 안 팀장은 암호화폐가 보이스피싱 등에 자주 이용되고 있는 요즘, 가장 쉽게 암호화폐를 사고팔 수 있는 거래소 또한 사회적 역할을 다해야 한다고 답했다.


"사실 현금을 가장 빠르게 옮길 수 있는 수단중 하나가 암호화폐다. 암호화를 사서 암호화폐 지갑으로 옮기면 익명성 때문에 누구 지갑인지 파악이 어려워 수사가 어렵다. 보이스피싱범 또한 암호화폐로 자금을 세탁하기 위해 거래소를 이용하고 있고, 이를 이상거래로 탐지해 출금을 정지하는 것이 우리의 역할이다."


(사진)


이상거래를 감지하는 팁을 묻자 안 팀장은 '악용소지가 있어 자세히 알려주기는 어렵다'며 선을 그었다. 그러면서도 안 팀장은 거래소간 협력, 거래소 내 모니터링 프로세스 등을 통해 고객 자산을 정확하게 지킬 수 있도록 다양한 노력을 하고 있다고 했다.


"거래소 몇군데가 모여 협업을 하고 있다. 신고된 가상계좌 암호화폐 지갑주소가 있으면 이를 서로 공유한다. 많은 자료를 모르고 있고 금융기관과 협조도 활발하다. 거래소 내 모니터링을 통해 평소에 안하는 행동을 하는 계정을 발견하면 이를 이상거래로 파악한다."


안 팀장은 또 암호화폐를 이용한 보이스피싱 피해를 줄이기 위해서는 암호화폐의 제도권 편입이 꼭 필요하다고 강조했다.


"이상거래로 인해 계정이 잡힐 경우 그안에 들어 있는 것이 피해자들이 돈인데 돈을 찾아가는 절차가 따로 없다. 제도권에 들어가면 금융감독원 등에서 관련 제도를 이용할 수 있는데 아직 제도권이 아니기 ?문에 이같이 거래소에서 자체 프로세스를 통해 하고 있다. 피해금 환금 프로세스를 빨리 해드리고 싶은데 어려운 부분이 존재한다.


마지막으로 안 팀장은 금융사기 위험으로 마음을 졸이고 있을 소비자들을 위한 한마디도 잊지 않았다.


"전기 통신 금융사기는 계정대여, 구매대행 크게 2가지를 이용한다. 거래소 계정을 대여해달라고 요청하거나 특정인에게 돈을 받고 나머지 돈을 암호화폐로 해서 보내주는 구매대행 등이 있다. 비슷한 제안을 받을 경우 절대 응해서는 안된다."


매일경제 디지털뉴스국 김진솔 기자


http://news.mk.co.kr/newsRead.php?year=2019&no=98485


가상화폐거래소의 긍정적인 이미지 제고에 도움

Posted by Theo Kim
보도자료/언론보도2019. 2. 13. 09:55

인터넷전문은행 카카오뱅크의 카드 부정사용 사례가 또다시 불거졌다. 구글 관련 해외 결제, 뉴욕 약국 결제 건 등 지난해 보도된 사건과 마찬가지로 이번에도 사용자 모르게 해외 거래 승인이 이뤄진 점이 문제가 됐다.


카카오뱅크 카드 사용자는 지난 2월11일 오후 3시59분부터 자신도 모르게 LVISTP.COM이라는 곳에서 3.26달러, 13.79달러 등 결제됐다는 카카오톡 메시지를 받았다. 문제는 이 사용자가 해당 카드로 해외 거래를 진행한 적이 없다고 페이스북 게시글을 통해 알리면서다.


카드 사용자는 페이스북 게시글을 통해 “실시간 카카오뱅크 카드 해킹중. 저 카드는 비상용 카드로 우리집 약통에서 지난 2년간 딱 두 번(치킨사먹느라) 나온 적 있는 카드이자…카톡뱅크 첫 카드임”이라고 밝혔다.


카카오뱅크의 카드 부정사용 논란은 이번이 처음이 아니다. 지난해 3월19일 당시 국회 정무위원회 소속 박찬대 의원(더불어민주당)이 금융감독원으로부터 제출받은 ‘인터넷전문은행 카드 발급 건수 및 국내외 부정사용 현황’ 자료에 따르면, 카카오뱅크 출범 이후 7개월에 걸친 영업기간 동안 카카오뱅크의 카드 부정사용은 총 671건으로 나타났다. 카카오뱅크보다 앞서 일찍 문을 연 케이뱅크보다 96배나 많은 수치다.


카드 부정사용 피해금액 역시 카카오뱅크가 높았다. 카카오뱅크는 카드 부정사용으로 인한 피해액이 5022만원, 케이뱅크는 17만원으로 카카오뱅크 보안 안정성 논란이 제기된 바 있다.


당시 발표 이후 1년에 가까운 시간이 흘렀지만, 카카오뱅크는 보안성 강화를 위해 특별히 추가로 노력을 기울이지는 않은 모습이다. 일반 카드사와 똑같은 수준의 보안 정책을 운용하고 있다고 밝혔지만, 사용자는 오히려 고객상담센터와 첫 통화에서 “가맹점 연락처(해외)를 가르쳐 줄 테니 통화해서 알려달라”라는 답변을 들었다.


비슷한 문제가 발생했을 시, 일반적으로 국내 카드사가 고객에게 먼저 ‘카드거래 정지’를 제안하는 것과 사뭇 다른 반응이다.


카카오뱅크 측은 “이 문제를 인지하고 어떻게 된 건지 알아보고 있다”라며 “고객과 통화해서 현재 정확한 상황이 어떤지 알아보고 있으며, 고객 책임인지, 고객 모르게 가족이 사용한 것인지 등 이 부분 관련해서 정확하게 조사가 끝나지 않았으며, KB카드 쪽에도 의뢰해서 현재 상황을 알아보고 있다”라고 밝혔다.


이어 카카오뱅크 측은 “카카오뱅크는 거래 이상 징후를 탐지하는 FDS(이상감지시스템)를 운영하고 있으나, 이번처럼 거래 내역이 없는 카드 사용자의 해외 사용 거래는 반응하지 않았다”라며 “해외 쪽에서 CVC 입력 등 거래가 정상적으로 이뤄진 곳으로 나타났으며, 조사 결과를 기다려달라”라고 설명했다.


카카오뱅크 카드 승인·결제 관련 업무는 KB국민카드 시스템을 사용하고 있다. 카카오뱅크 측은 해당 카드사와 함께 상황을 파악하고 있으며, 고객에게 책임이 없는 것으로 밝혀지게 되면 카카오뱅크 측에서 배상할 계획이라고 설명했다.


블로터 이지영 기자님, '19.2.13.


http://www.bloter.net/archives/331042

Posted by Theo Kim
보도자료/언론보도2019. 2. 13. 09:20

국내 1·2금융권 이용자를 노리고 모바일 트로이목마 악성코드와 피싱까지 동원해 온라인 사기를 벌인 국외 범죄집단의 수법이 드러났다. 보안전문가들은 한국어를 모국어로 쓰지 않는 범죄집단이 지난 2013년부터 2018년까지 5년간 인터넷에서 수행한 악성코드 및 피싱 공격 기법을 추적하고, 그 행적의 주체를 '스마트스파이(SmartSpy)'와 '헬로x스파이(HelloxSpy)'라는 두 해커그룹으로 명명했다.


중국 인터넷보안회사 치후360(Qihoo 360)의 모바일보안 전문가팀 '360비컨랩(360 Beaconlab'이 '360코어시큐리티' 공식블로그를 통해 2018년 12월 25일 발표한 분석 결과다. 이들은 5년간 한국을 직접 겨냥한 온라인 금융사기 활동 가운데 발생한 일부 악성코드 분석 결과 해커그룹이 중국어와 병음 표기를 사용했다고 지적하기도 했다. 


두 해커그룹은 한국의 중앙은행·캐피탈·저축은행 등 한국의 주요 금융업체 모바일 앱으로 가장해 이용자의 기기에서 주요 정보를 탈취하는 트로이목마 악성코드를 제작하고, 그 설치를 유도하는 인터넷 피싱 사이트를 만들어 운영했다. 이 사이트는 해외 서버를 통해 운영됐지만, 악성 앱과 사이트가 한국어 기반으로 정교하게 제작돼 대출서비스를 이용하려는 한국 인터넷 이용자를 끌어들였다. 


스마트스파이와 헬로x스파이 해커그룹의 행적은 해외발 온라인 사기를 비롯한 사이버 범죄의 지능화 추세를 보여 준다. 웹사이트가 국내 서버를 두고 운영됐다면 관련 실마리를 통해 범죄를 추적할 수 있지만, 특정 국가에서 다른 지역을 대상으로 만든 악성 앱과 사이트를 동원해 저지르는 사이버 범죄는 추적과 범죄자 검거를 어렵게 만드는 측면이 있다. 이런 경향은 올해 더 심각해질 전망이다. 


■ 5년간 온라인 사기 위해 안드로이드 트로이목마 제작 유포


360비컨랩은 지난 2013년부터 발생한 온라인사기에 동원된 일련의 트로이목마형 악성코드 군집을 수집했다. 악성코드는 한국어 인터페이스를 제공하는 국내 금융사 대출서비스용 애플리케이션처럼 가장하고 있었다. 이 악성코드에 감염된 안드로이드 스마트폰 기기는 단문메시지, 통화기록, 연락처 정보를 탈취당하고, 추후 온라인 사기에 직접 이용된다. 


악성코드 제작자는 앱을 유포하기 위해 구축된 피싱(Phishing) 웹사이트 기본 언어로도 한국어를 썼다. 하지만 360비컨랩 분석 결과 이 트로이목마 악성코드의 제작자의 모국어는 한국어가 아니었다. 피싱 사이트의 웹서버도 국외 지역에서 운영됐다. 360비컨랩 연구원들은 분석한 악성코드 샘플 다수의 발생 시기가 주요 휴일 전후 시기에 크게 요동치는 경향을 보였다고 지적했다. 


360비컨랩 연구원들은 분석된 악성코드의 패키지 명칭과 코드상의 특징을 근거로, 피싱 및 트로이목마 앱의 공격을 통한 온라인사기 활동을 벌인 범죄자들을 '스마트스파이'와 '헬로x스파이'라는 두 집단으로 구별했다. 두 해커그룹이 과거 다른 온라인사기나 사이버범죄 활동의 주체와 직접적인 연관성이 있는지, 특정한 지역에 기반을 두고 있는지 여부를 언급하지는 않았다. 



해커그룹이 한국에 유포한 트로이목마 악성코드의 로그파일 내용 일부. 중국어 단어와 병음 표기를 확인할 수 있다. [자료=360 Beaconlab]


■ 중국어 쓰고 한국 바깥 지역서 활동…한국 지역 정조준 


360비컨랩 연구원들은 두 해커그룹이 각각 유포한 트로이목마 악성코드 앱이 가장 많이 도용한 명칭 10종씩을 추려 목록으로 제시했다. 절대다수가 한국 지역에서 실제 사업장을 두고 운영되는 기업이나 금융사의 공식 앱 명칭을 도용했고, 한국어 인터페이스로 제작됐다. 이는 곧 해커그룹의 온라인사기 활동 핵심 표적이 일상적으로 한국어를 알아듣고 사용하는 한국인이라는 의미였다. 


스마트스파이가 제작해 유포한 가짜 앱의 상위 10개 이름은 ▲신한캐피탈 ▲고려저축은행 ▲China Social Insurance ▲알약 ▲NICE ▲KB국민은행 ▲WifiService ▲현대캐피탈 ▲SmartMonitor ▲현대저축은행이었다. 헬로x스파이가 만든 가짜 앱의 상위 이름은 ▲농협캐피탈 ▲현대캐피탈 ▲롯데캐피탈 ▲하나저축은행 ▲국민은행 ▲웰컴저축은행 ▲KB국민캐피탈 ▲하나캐피탈 ▲신한캐피탈 ▲KB캐피탈이었다.


360비컨랩 연구원들은 여러 악성코드 추가 분석 결과에서 파악된 세 가지 단서를 근거로 해커의 활동지는 한국 밖일 것이라 봤다. 



해커그룹이 한국에 유포한 트로이목마 악성코드의 리소스 구조. [자료=360 Beaconlab]

첫째, 생성된 악성코드 관련 로그 일부에 중국어 단어가 포함됐고, 일부 앱 리소스의 이름이 중국어를 로마자로 표기하는 병음(?音, Pinyin) 체계를 따랐다. 둘째, 제작자가 한국인이 아니라는 점이 2016년말께 깃허브 계정에 등재된 스마트스파이 악성코드 소스 작성자 정보를 통해서도 확인된다. 셋째, 'ShinhanCapital.apk'와 'hana.apk' 등 악성코드를 유포한 피싱사이트의 서버 소재지도 한국 바깥이다.


하지만 스마트스파이와 헬로x스파이, 두 해커그룹의 악성코드를 분석해 보면 통화차단, 명령제어서버와의 통신확보, 민감정보 수집, 자원 위변조, 네트워크 통신 등 동일한 기능을 다르게 구현한 경향을 볼 수 있다.


스마트스파이가 만든 트로이목마 악성코드는 감염된 기기에서 통화 기능의 'NEW_OUTGOING_CALL' 브로드캐스트를 차단하고 'setResultData'를 통해 거는 전화번호를 설정한다. 로컬 데이터베이스를 직접 읽어 민감정보를 수집한다. 가짜 인터페이스를 표시하기 위해 로컬 영역에 접근해 자원 위변조를 수행한다. 'HttpPost'를 사용해 서버와 통신한다. 


반면 헬로x스파이가 만든 트로이목마 악성코드는 감염된 기기에서 통화 기능의 'endCall()'을 호출해 전화를 끊고 'intent.action.CALL'을 호출해 전화를 가로챈다. 내장된 콘텐츠 뷰어 기능을 사용해 민감정보를 수집한다. 가짜 인터페이스를 표시하기 위해 자체 zip파일에 압축된 자료를 해제한다. 'OkHttp'를 사용해 서버와 통신한다. 



해커그룹이 유포한 트로이목마 악성코드 출처 피싱사이트 소재지가 모두 한국 지역 밖이었다. [자료=360 Beaconlab]

이밖에도 두 해커그룹이 동일한 한국 금융사를 사칭해 각각 만든 가짜 앱의 사용자 인터페이스를 나란히 견줬을 때에도 미묘한 차이를 확인할 수 있다. 


■ "트로이목마, 기기 통화 가로채 사기 성공률 높여" 


스마트스파이와 헬로x스파이에서 트로이목마 악성코드를 유포한 목적은 누군가를 감염시켜 직접 피해를 입히는 게 아니라, 그를 상대로 한 온라인사기 성공률을 높이는 것으로 요약된다.


360비컨랩 연구원의 분석 결과, 두 해커그룹이 유포한 트로이목마 악성코드는 사기 대상의 전화에 걸려 온 전화를 가로챈다. 하지만 이 시점에 곧바로 감염 피해자를 곧바로 속이려들지 않는다. 통상적인 온라인사기와의 차이점이다. 연구원은 이 트로이목마가 "(감염된 뒤) 피해자에게 걸려온 최초 통화에서 신뢰를 유지함으로써 사기 성공률을 비약적으로 끌어올린다"고 묘사했다. 


해커그룹은 잠재적 표적인 한국 이용자에게 여러 수단을 동원해 피싱 웹사이트 링크를 전달한다. 피싱사이트에 방문한 이용자는 해커그룹이 제작한 악성코드 앱을 내려받아 설치하도록 유도당한다. 예시된 가짜 웹사이트와 앱은 한국어 인터페이스를 기본 지원하며 언뜻 보기에 수상하다는 점을 알아차리기 어렵게 만들어졌다.



해커그룹이 한국에 유포한 트로이목마에 감염되지 않았을 때의 정상적인 전화 기능(왼쪽)과 감염돼 통화상대 번호가 조작된 전화 기능. [자료=360 Beaconlab]

트로이목마 악성코드가 실행되면 감염 피해자 스마트폰에서 단문메시지와 통화기록을 가로채고 통화이력을 조작한다. 또 스마트폰의 전화번호 입력 인터페이스를 조작해, 특정한 전화번호로 전화를 걸도록 유도한다. 이 시점부터 실제로 '사기' 단계에 들어가게 된다. 이 전화를 통해 어떤 대화가 오가는지는 언급되지 않았지만, 연구원은 "기본적으로 전과정을 피해자가 (사기라고) 알아차리지 못한다"고 설명했다.


트로이목마 악성코드 감염 전후 전화 기능 인터페이스 차이 예시. 정상 기기로 전화를 걸었을 때(왼쪽)는 전화를 건 상대의 번호('1 555-521-5556')가 제대로 표시된다. 감염 기기의 경우 겉보기엔 제대로 된 번호('5556')로 전화를 건 듯 보이지만(가운데) 이는 감염 피해자를 속이기 위한 표시다. 실제 걸린 전화 상태(오른쪽)를 보면 빨간 네모 표시 안의 숫자('1 555-521-5558')처럼 다른 번호로 전화가 걸린다.


■ 2013년부터 악성코드 유포·2017년 별도 그룹 포착…"현재도 활동"


360비컨랩은 최초 트로이목마 악성코드 유포 시기를 지난 2013년 8월 이후로 판단했다. 처음 유포 주체는 스마트스파이였고, 이후 2017년께 헬로x스파이 해커그룹이 따로 움직이기 시작했다. 스마트스파이와 헬로x스파이 모두, 연구원들이 분석 결과를 발표한 작년말까지 활동 중인 것으로 파악됐다. 한국에서 이들을 대상으로 한 피해 사례가 있는지, 국내 사법당국의 수사가 진행 중인지는 불분명하다.

Posted by Theo Kim