한나라 김태원 의원 공공ID ‘화면해킹’ 시연

  • “정부 홈페이지가 얼마나 쉽게 뚫리는지 직접 보여주겠다.” (김태원 의원)

    행정안전부 홈페이지가 맹형규 장관 앞에서 뚫렸다.

    해킹에 걸린 시간은 불과 3분 남짓이었다.

    전문 해킹프로그램을 사용한 것도 아니었다.

    중국 인터넷 상에서 단돈 몇 만원이면 누구라도 쉽게 구입할 수 있는 프로그램이었다.

    허무하게 홈페이지가 뚫리는 모습을 바라보는 맹 장관의 표정은 어땠을까.

    20일 국회 행정안전위원회가 행정안전부를 대상으로 실시한 국정 감사에서 한나라당 김태원 의원은 포털사이트와 행정안전부 공공 아이디와 비밀번호 등을 몰래 빼내는 ‘화면 해킹’을 시연했다.

    화면 해킹은 해커가 사용자 컴퓨터 화면상의 모든 작업을 훤히 들여다 볼 수 있는 신종 해킹 수법 중 하나다.

    해커들이 이메일과 파일다운로드 등을 통해 악성코드를 전파한 뒤 사용자의 아이디와 비밀번호, 주민번호, 계좌정보, 인터넷뱅킹 비밀번호, 공인인증서, 보안카드 번호 등을 훔쳐보며 빼내가는 사례가 급증하고 있다는 지적에 따른 시연이었다.

    김 의원은 이날 국감장에서 ‘화면 해킹’ 악성코드를 사용자 컴퓨터에 감염시킨 뒤 컴퓨터 화면상의 작업을 들여다보며 아이디와 비밀번호 등 개인 정보를 유출해 가는 일련의 과정을 소개했다.

    위원장석 뒤에 마련된 스크린에는 일반 시민과 해커의 컴퓨터 화면이 나란히 떠올랐다.

    일반 시민이 인터넷 브라우저를 열어 행안부 홈페이지를 찾자 똑같은 화면이 해커의 화면에 나타났다.

    시민이 공공ID를 키보드로 입력했고 해커 화면의 왼쪽 귀퉁이에 있는 작은 창에는 같은 ID와 비밀번호가 한글자 한글자 실시간으로 드러났다. 

    ‘최후의 보루’ 공인인증서가 필요한 민원24 홈페이지 역시 해킹 앞에 무너졌다. 해커의 모니터 앞에 공인인증서의 비밀번호가 고스란히 떠올랐다. 이어 해커는 시민의 컴퓨터에 설치돼 있는 공인인증서를 클릭 한 번에 자신의 컴퓨터로 복사했다.

    이를 지켜보던 맹형규 장관의 표정은 굳어질대로 굳어졌다.

    정보보호가 가장 잘 돼 있다는 은행 홈페이지도 화면 해킹 앞에선 속수무책이었다. 김 의원은 국민은행 홈페이지에 접속한 후 계좌번호를 포함해 보안카드 번호와 이체금액까지 직접 해킹해 보였다.

    김 의원에 따르면 최근 발생한 농협과 SK컴즈 해킹 사고는 서버에 대한 직접 공격이 아니라 화면 해킹 등 수법에 의한 것으로 드러났다.

    특히 화면 해킹 프로그램은 전문 해커가 아니라도 중국 측 인터넷 상에서 단돈 몇 만원이면 누구라도 쉽게 구입해 스스로 해킹할 수 있기 때문에 문제가 더욱 심각하다는 설명이다.

    중국 경매 사이트 타우바우나 중국 최대 검색엔진인 바이두 등에서 판매되는 해킹 툴은 동영상으로 사용법까지 알려주고 있으며 한국인 구매자들을 위해 기능을 상세히 알려주는 한글 웹페이지까지 제공되고 있다.

    김 의원은 “이해할 수 없는 것은 국내 부처나 금융기관의 사이버 보안 전문가들도 이미 이런 위험을 잘 알고 있다는 사실이다. 그럼에도 보안 전문가들은 아무런 문제가 없다며 신종 해킹의 위험성에 대처하지 않고 있다”고 강하게 질타했다.