[논문]전자금융사기 위험 분석과 대응방안에 관한 연구

정대용; 김기범; 이상진

doi:10.13089/jkiisc.2017.27.1.115

[국내논문] 전자금융사기 위험 분석과 대응방안에 관한 연구
A Study on Risk Analysis and Countermeasures of Electronic Financial Fraud 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.27 no.1, 2017년, pp.115 - 128

정대용 (고려대학교 정보보호대학원) , 김기범 (고려대학교 정보보호대학원) , 이상진 (고려대학교 정보보호대학원)

초록
AI-Helper

전자금융사기의 수법이 계속 진화하고 있다. 이에 대응하기 위해 다양한 연구와 대응방안이 제시되었으나 근절하기 어려운 상황이다. 본 연구는 MS사(社)의 Threat Risk Modeling 기법을 통해 전자금융사기의 위험을 분석하고 그 대응방안을 제시하기 위한 목적으로 수행되었다. 분석 결과 인증수단의 차이에도 불구하고 파밍의 위험이 높으며 추가적인 인증수단이나 기기보안 혹은 사용자 인증 기반의 보안체계 만으로는 공격을 예방하기 어렵다는 것을 확인하였다. 이에 따라 보안수단별 거래 한도의 재조정, 계좌인증 등 예방수단 및 추가적인 물리적 보안수단의 도입, 전자금융사기 예방제도의 연계와 홍보 및 사용자 인식 개선을 통한 종합적인 전자금융사기 예방 정책의 수립 시행을 제안한다.

Abstract ▼ AI-Helper

The methods of electronic financial fraud continue to evolve. Various research and countermeasures have been proposed to counter this problem, but it is difficult to eradicate it. The purpose of this study is to analyze the risk of electronic financial fraud through MS Threat Risk Modeling and to propose the countermeasures against the electronic financial fraud. As a result of the analysis, it is confirmed that despite the difference of authentication methods, there is a high risk of pharming, and it is difficult to prevent attack by using only additional authentication means, device security or user authentication based security system. Therefore, this study suggests the introduction of preventive measures such as readjustment of transaction limit by security means, account authentication, and additional physical security measures. It also suggests the establishment and implementation of a comprehensive electronic financial fraud prevention policy through linkage of electronic fraud prevention system and improvement of public relations and user awareness.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

본 연구는 전자금융거래 시스템상의 이체거래 프로세스에 대한 위협을 모델링 기법을 통해 분석하는 것을 목적으로 하고 있어, 인증 프로세스의 취약점을 공격하는 방식의 피싱 · 파밍 기법(②번 유형)과 이용자 단말의 이체 처리과정에서 메모리상의 계좌정보를 수정하는 메모리해킹 기법(③번 유형)만을 분석대상으로 한다.

제안 방법

이를 위해서는 전자금융 피해 분석을 통해 위협을 식별하고 이를 등급화하여 각각의 대응방안에 대한 우선순위를 부여하여 체계적인 대응방안을 모색할 필요가 있다. 본 연구에서는 전자금융사기를 통한 이체 위협을 먼저 확인하고 현재까지 알려진 위협에 대하여 MS社의 Threat Risk Modeling 기법을 적용하여 구조화된 방식으로 위험을 측정하여 문제점을 식별하고 현재의 피해 실태와의 비교를 통해 전자금융사기 피해 위험에 대한 대응방안을 도출하였다.
위험 분석결과와 실제 전자금융사기 발생실태와 비교 검토를 통해 분석모델의 신뢰성을 검증하였다. 위험 분석 결과에서는 파밍의 위험도가 가장 높게 나타나고 피싱의 위험도는 파밍과 유사하거나 조금 낮은 수준이며, 메모리 해킹이 가장 낮은 위험도를 보이고 있다.
이에 따라 평가자의 전문적인 역량수준과 주관에 의해 결과가 좌우될 수 있다. 이러한 문제점을 보완하기 위해 관련 분야 전문가를 평가 위원으로 구성하여 토론을 통해 위험 측정에 대한 기준을 결정하였다. 이후 결정된 기준에 따라 위원 각자의 개별 평가 후 이를 합산 후 각 항목의 평균값으로 위험의 수준을 확정하는 방식을 사용하였다.
또한, Threat Risk Modeling은 시스템의 전체적인 보안 위험을 분석하는 절차로서 전자금융사기와 같은 특정한 공격기법의 위험을 측정하는데 제한적이며, 각각의 위험도를 명확히 수치적으로 산정하기 어려워 위험도 측정이 객관적이지 못하다는 한계를 가진다. 이러한 한계를 보완하기 위해 Attack Tree를 이용하여 위협을 구조화된 형태로 분석하여 위협을 식별하였고, 위험 평가에 실제 사례를 경험한 전문가를 참여시켜 측정기준을 설정하고 이를 종합하는 방식으로 평가결과의 신뢰성 확보에 노력하였다.
이에 본 연구는 전자금융사기 발생실태를 통한 실증적인 방법과 체계화된 Treat Risk modeling 방법론을 적용하여 이체거래 시스템의 프로세스와 위협을 구조화된 방식으로 분석하고, 각각의 위협에 대한 위험도를 수치적으로 제시하여 그 대응방안을 모색하였다는 점에서 기존의 연구와 차이점을 갖는다.
이에 본 연구에서는 2014년, 2015년 2년간 국내 전자금융사기 발생 현황을 토대로 범죄의 유형과 수법을 분류하고 MS社의 Threat Risk Modeling 기법을 통해 전자금융거래의 자산을 식별하고, 구성 요소를 목록화 한 후, STRIDE Model과 Attack Tree를 통해 위협을 체계화하고 DREAD Model을 통해 공격 수단별로 Risk를 측정하였다.
이러한 문제점을 보완하기 위해 관련 분야 전문가를 평가 위원으로 구성하여 토론을 통해 위험 측정에 대한 기준을 결정하였다. 이후 결정된 기준에 따라 위원 각자의 개별 평가 후 이를 합산 후 각 항목의 평균값으로 위험의 수준을 확정하는 방식을 사용하였다.
항목별 위험 등급은 매우 높음(5), 높음(4), 중간(3), 낮음(2), 매우 낮음(1)로 구분하여 5단계로 수치화하였다. 등급이 높을수록 위험이 높은 것을 의미한다.

대상 데이터

평가위원은 전자금융사기의 프로세스를 이해하고 정보보호분야의 분석기법에 대한 전문지식을 갖춘 현직 경찰관으로 사이버수사, 디지털 포렌식, 경찰교육기관 관련분야 교수요원 등 10명으로 구성하여 평가를 수행하였다.⁴⁾

이론/모형

다양한 방법론 중에서 MS社의 Threat Risk Modeling 절차는 직관적이며 디자이너, 개발자, 코드 검수자와 품질 보증팀 등 다양한 구성원에게 채택되기 쉽다고 알려져 있다[9]. 따라서 본 연구에서는 위험분석을 위한 도구로서 MS社의 Threat Risk Modeling 기법을 사용한다.
⑤ Identify Vulnerabilities 단계에서는 분석된 위협을 평가하고 관련된 취약점을 검토한다. 확인된 위협과 취약점을 통해 위험을 측정하는 단계로서 DREAD 모델을 사용한다. 이를 통해 각각의 위협에 등급을 부여하고 이를 종합하여 위험을 측정한다[9].
확인된 위협에 대하여 DREAD 모델을 적용하여 위험의 정도를 측정한다. DREAD 모델은 각종 사이버공격에 대한 위험도를 측정하는 도구로서 각각의 항목에 대하여 시스템에 어떠한 영향을 미칠 수 있는지를 구조화된 방식으로 측정한다.

성능/효과

Affected users 항목은 피싱의 위험도가 가장 낮게 측정되었고, 파밍과 메모리해킹은 상대적으로 높은 수준으로 측정되었다. 피싱은 전화 등을 이용한 사회공학적 기법으로 피해자를 기망하는 개별화된 공격의 형태가 주로 나타나고 있음에 반하여, 파밍과 메모리 해킹은 악성코드 배포 서버를 이용하거나 대량의 이메일 발송을 통해 다중에 대한 무차별적인 공격으로 다수의 사용자에게 영향을 미칠수 있다는 점에서 위험도가 높다고 분석된다.
Attack Tree를 통한 위협분석결과 이체거래에 대한 전자금융사기는 공인인증서 및 비밀번호 취득, 이체 인증 정보 획득, 2채널 인증 통과 등 인증과정의 취약점을 이용하는 것으로 확인되었다. 이체거래를 위한 인증방식은 보안카드 또는 OTP를 이용한 인증방식에 따라 보안수준이 달라질 수 있으며 추가적인 2채널 인증의 적용여부에 따라 공격 수단이 달라질 수 있으며 위험도 다르게 나타날 수 있다.
Exploitability 항목에서는 공격기법별로는 메모리해킹의 위험도가 가장 낮고, 피싱의 위험도가 가장 높게 측정되었다. 보안수단별로는 2Ch 인증을 사용하는 경우 위험도가 낮아지는 것으로 나타난다.
각 항목별로는 Damage potential 항목은 공격에 의해 발생될 수 있는 피해금액이 클수록 등급이 높은 것으로, Reproducibility 항목은 공격 기회가 주어지는 시간적 범위가 클수록 등급이 높은 것으로 기준을 설정하였다. Exploitability 항목은 공격 기법의 구현 난이도를 판단하여 구현이 쉬울수록 등급이 높은 것으로, Affected users 항목은 하나의 공격 행위로 인하여 영향을 받는 이용자의 수가 많을수록 위험이 높은 것으로, 그리고 Discoverability 항목은 거래의 취약점과 이를 이용한 구체적인 공격 방법을 찾아내는 것이 쉬울수록 등급이 높은 것으로 기준을 설정하였다.
각 항목별로는 Damage potential 항목은 공격에 의해 발생될 수 있는 피해금액이 클수록 등급이 높은 것으로, Reproducibility 항목은 공격 기회가 주어지는 시간적 범위가 클수록 등급이 높은 것으로 기준을 설정하였다. Exploitability 항목은 공격 기법의 구현 난이도를 판단하여 구현이 쉬울수록 등급이 높은 것으로, Affected users 항목은 하나의 공격 행위로 인하여 영향을 받는 이용자의 수가 많을수록 위험이 높은 것으로, 그리고 Discoverability 항목은 거래의 취약점과 이를 이용한 구체적인 공격 방법을 찾아내는 것이 쉬울수록 등급이 높은 것으로 기준을 설정하였다.
공격기법별로는 각각의 인증수단의 차이에도 불구하고 피싱 · 파밍 공격의 위험이 메모리 해킹 공격의 위험보다 상대적으로 높은 수준이며, 특히 파밍 공격의 위험이 가장 높게 측정되었다.
그 결과 인증수단의 차이에도 불구하고 파밍에 의한 피해발생 위험이 높으며, 추가적인 인증수단을 이용하거나 PC, 스마트폰 등의 기기 보안 강화만으로는 위험을 감소시키는데 한계가 있으며, 사용자 인증에 기반한 보안체계만으로는 공격을 차단할 수 없다는 것을 확인하였다.
그러나 각 공격에 이용되는 기술적 취약점에 대하여는 수법에 따라 달리 평가될 수 있다. 먼저 피싱의 경우 피싱사이트 제작 외에 다른 시스템적인 취약점 확인이 불필요하므로 위험도가 매우 높으며, 파밍의 경우 악성코드 침투와 피싱사이트 유도를 위한 추가적인 시스템상의 취약점을 확인하므로 위험도가 상대적으로 낮으며, 메모리 해킹을 위한 거래과정의 메모리 분석과 변조에 관한 취약점 발견은 난이도가 높아 위험도는 가장 낮은 수준으로 평가되었다.
위험 분석결과와 실제 전자금융사기 발생실태와 비교 검토를 통해 분석모델의 신뢰성을 검증하였다. 위험 분석 결과에서는 파밍의 위험도가 가장 높게 나타나고 피싱의 위험도는 파밍과 유사하거나 조금 낮은 수준이며, 메모리 해킹이 가장 낮은 위험도를 보이고 있다.
위험 측정 결과는 표 4와 같다. 인증수단별로는 보안 수준이 높다고 알려진 인증수단 즉 OTP를 이용한 인증과 2 Ch 인증을 함께 적용한 인증방식이 가장 위험이 낮고 보안카드만을 이용한 인증방식이 가장 위험도가 높다고 측정되었다.
파밍의 위험분석결과 및 발생상황으로 보아, 현재의 파밍용 악성코드 유포 탐지 및 차단을 위한 대응이 효과적으로 작동되지 않는 것으로 분석된다. 특히 이용자의 스마트폰 등에 대한 침해가 발생되는 경우 2Ch인증도 무력화될 수 있다.

후속연구

따라서, 파밍 예방을 위하여 첫째, 기존의 악성코드 차단만이 아닌 악성코드로부터 보다 안전한 물리적 보안 매체를 적용하여 사용자 단의 보안을 강화하고, 둘째, 사용자 인증을 통과하거나 우회하는 경우 공격을 차단하기 위하여 서버 단에서 이상거래의 유무를 탐지하는 FDS 시스템의 효율적 활용이 필요하다.
또한, 이상의 대응방안을 효과적으로 시행하기 위해서는 금융거래의 보안을 위하여 기존에 시행되고 있는 정책을 연계 보완하고 새로운 제도를 도입하는 등 정책의 정비도 병행해야 할 것이다.
전자금융사기는 상황에 따라 매우 다양한 공격수법이 사용되므로 이를 모두 유형화하기는 어렵다. 본 연구는 전체적인 발생 현황을 중심으로 사례를 분류하고 대표적인 공격수법별 위협을 통해 위험을 추상화하여 측정하는데 중점을 두었기에 각각의 세부적 기법에 대한 기술적 분석이 부족하다는 한계를 갖는다. 또한, Threat Risk Modeling은 시스템의 전체적인 보안 위험을 분석하는 절차로서 전자금융사기와 같은 특정한 공격기법의 위험을 측정하는데 제한적이며, 각각의 위험도를 명확히 수치적으로 산정하기 어려워 위험도 측정이 객관적이지 못하다는 한계를 가진다.
이에 대응하기 위해서는 보안수단별 거래 한도를 재조정하고, 추가적인 물리적 보안 수단의 도입과 사용자 인증을 탈피한 새로운 예방수단의 활용, 홍보 및 사용자 인식 개선, 전자금융사기 예방 제도의 체계적인 연계를 통해 전체적인 금융보안수준을 향상시키는 것이 필요하다.

질의응답

핵심어	질문	논문에서 추출한 답변
	피싱이란 무엇인가?	피싱이란 피해자를 기망 또는 협박하여, 개인정보 및 금융거래 정보를 요구하거나, 피해자의 금전을 이체하도록 하는 수법을 말한다. 이는 전화, 메신저 등을 통해 피해자를 착오 빠트려 스스로 정상적인 이체 거래를 하게 하는 방식과 피해자로부터 개인정보와 금융거래 정보를 취득하여 공격자가 직접 인증과정을 통과하여 금전을 이체하는 수법을 포함한다.
	기존에 발표된 위험분석 방법론으로는 어떠한 것이 있는가?	기존에 발표된 위험분석 방법론으로는 ISO/IEC TR 13335(GMITS), 영국 표준협회의 BSM7799, NSA의 IAM, NIST의 SP 800-30, 카네기멜론 대학의 OCTAVE, CRAMM, PRAM 등 다양하다[7]. 시스템 평가 모델은 전문성을 가진 보안기술자가 시스템에 사용된 응용프로그램의 유형과 위험관리도구의 적합성 등을 고려하여 적합한 평가 모델을 신중히 선택하여야 한다[8].
	Threat Risk Modeling의 세부적인 절차는 어떻게 구성되어 있는가?	각 단계별로 ① Identify Security Objectives 단계에서는 보안의 객체(Objective) 즉, 시스템의 구성요소와 자산을 식별한다. ② Application Overview 단계에서는 식별된 보안 객체에 대하여 구성요소(Components), 데이터 흐름(Data flows), 신뢰 경계(Trust boundaries)를 식별하기 위해 DFD(Data Flow Diagram)를 작성한다. ③ Decompose Application 단계에서는 분석된 어플리케이션 구조를 통해 평가할 필요가 있는 보안에 영향을 미치는 요소들을 확인하고 분석한다. 구체적인 방법으로 STRIDE 기법을 통해 공격자의 입장에서 어떠한 방법으로 공격할 수 있는지 식별하는 단계이다. ④ Identify Threats 단계에서는 현재까지 알려진 다양한 위협을 기술하고, 이때, 구조화된 Attack Tree를 사용한다. ⑤ Identify Vulnerabilities 단계에서는 분석된 위협을 평가하고 관련된 취약점을 검토한다. 확인된 위협과 취약점을 통해 위험을 측정하는 단계로서 DREAD 모델을 사용한다. 이를 통해 각각의 위협에 등급을 부여하고 이를 종합하여 위험을 측정한다[9].

참고문헌 (22)

FSC(Financial Services Commission) and FSS(Financial Supervisory Servi ce), "Electronic Financial Fraud Prevention Service Test Operation- EnforcementofIdentificationProcedure on Replacement of Certificate and Electronic Transaction," Press Release, Sep. 14, 2012.
Dae Yong Jeong, Kyung-bok Lee, and Tae Hyoung Park, "A Study on Improving the Electronic Financial Fraud Prevention Service," Journal of the Korea Institute of Information Security and Cryptology, 24(6), pp. 1243-1261, Dec. 2014.

원문보기 상세보기
Ji Hwon Song, So Jun Ryu, "Malware evolution... Phising and Qshing Attack PC . Smartphone at same time," KISA Internet & Security Focus, pp. 36-54, Jul. 2014.
Yonhap News, "ARS certification require ments in the chat window... appeared ne w financial fraud," http://www.yonhapn ews.co.kr/economy/2014/03/20/0301000 000AKR20140320180900002.HTML, Mar. 2014.
ISO/IEC, "Standard 13335-1: Information technology - Security techniques - Management of information and communications technology security," Nov. 2004.
Korea Information Security Agency, "Guide to Information Security Management System Risk Management," Nov. 2004.
Cha Won Joo, "A Study on risk analysis and countermeasures of the type of cyber breaches to Public institutions," Master's Thesis, Korea University, Jun. 2013.
Rao, K. Ram Mohan, and Durgesh Pant. "A threat risk modeling framework for Geospatial Weather Information System (GWIS): DREAD based study," International Journal of Advanced Computer Science and Applications 1(3), pp. 20-28, Sep. 2010.
OWASP(The Open Web Application Security Project), "Threat Risk Modeling", Available : https://www.owasp.org/index.php/Threat_Risk_Modeling
Joon ho Sa and Sangjin Lee, "Real-time Phishing Site Detection Method," Journal of The Korea Institute of Information Security and Cryptology, 22(4), pp. 819-825, Aug. 2012.
Ki-Hong Park, Jun-Hwan Lee and Han-Jin Cho, "Countermeasure against Social Technologic Attack using Privacy Input-Detection,"？The Journal of the Korea Contents Association,？12(5), pp. 32-39, May 2012.
Gangshin Lee, "A Study on Improving Security Controls in the Electronic Financial Transaction," Journal of the Korea Institute of Information Security and Cryptology, 25(4), pp. 881-888, Aug. 2015.

원문보기 상세보기
Kim Kyoung Gon. et al., "Using Threat Modeling for Risk Analysis of SmartHome," Proceedings of Symposium of the Korean Institute of communications and Information Sciences, pp 378-379, Nov. 2015.
Dong-won Kim. et al. "Telemedicine Security Risk Evaluation Using Attack Tree," Journal of the Korea Institute of Information Security and Cryptology, 25(4), pp. 951-960, Aug. 2015.

원문보기 상세보기
Microsoft, "Threat Modeling Web Applications," Available : https://msdn.microsof t.com/library/ms978516.aspx
Microsoft, "The STRIDE Threat Model," available : https://msdn.microsoft.com/en-us/library/ee823878(vcs.20).aspx
Woori bank, "ARS certified fraud through real-time chat window," Available : http s://spot.wooribank.com/pot/Dream?wit hyouCQSCT0116&ARTICLE_ID1509 5&BOARD_IDB00301&bbsModeview
Schneier, Bruce, "Attack Trees," Dr. Dobb's Journal of Software Tools, 24(12), pp. 21-29, Dec. 1999.
Microsoft, "Threat Modeling," available : https://msdn.microsoft.com/en-us/library/ff648644.aspx.
Eui-soon Choi, Kyung-ho Lee, "A Study on Improvement of Effectiveness Using Anomaly Analysis rule modification in Electronic Finance Trading," Journal of the Korea Institute of Information Security and Cryptology, 25(3), pp. 615-625, Jun. 2015.

원문보기 상세보기
Financial Security Agency, "Research Report on the New Authentication Technologies for Electronic Financial Transaction," Financial Security Agency's Research Report. 2011-01, pp. 38-48, Mar. 2011.
The Bank of Korea "2016 1stQ, the domestic Internet banking service usage," Press Release, May 2016.

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증