인터넷 뱅킹이 악의적 해킹에 무방비로 노출돼 있는 것으로 밝혀졌다.

16일 서울 양재동 교육문화회관에서 열린 국제 해커 컨퍼런스 'POC 2007'에서는 인터넷 뱅킹 과정을 낱낱이 훔쳐보고 계좌 이체하는 돈을 가로챌 수도 있는 'PS액티브체크'라는 해킹 툴이 공개됐다.

행사에 참석한 해커들은 이대로 방치하면 '금융 대란'이 발생할 수 있다고 경고했다.

이날 공개된 'PS액티브체크'는 '액티브X'를 통해 깔린 프로그램을 모니터링할 수 있는 해킹 툴이다.

이 툴을 이용하면 10분만에 액티브X의 구성 요소(COM:컴포넌트)를 들여다볼 수 있다.

액티브X는 인터넷에서 응용 프로그램을 깔려고 할 때 주소창 밑으로 튀어나오는 것으로 은행,증권,포털,공공기관,동영상 사이트 등 국내 대다수 인터넷 사이트에서 사용하고 있다.

COM 모니터링이란 컴포넌트 사이의 통신을 감시하는 것을 말한다.

크래커(악의적 해커)가 이를 악용하면 인터넷 뱅킹,동영상 프로그램,전자정부 시스템 등 액티브X를 통해 깔린 프로그램의 실행 과정을 훔쳐볼 수 있다.

행사장에서 만난 해커 A씨는 "PS액티브체크는 원래 모니터링 용도로 개발됐으나 악용될 경우 금융 대란으로 이어질 위험이 크다"고 말했다.

이날 행사에서는 S은행과 K은행 인터넷 뱅킹의 암호교환 과정을 모니터링하는 장면이 시연됐다.

웜(악성 코드의 일종)을 통해 PC에 PS액티브체크를 침투시키자 PS액티브체크의 '실시간 모니터링' 창에 데이터 패킷 암호화와 복호(암호를 푸는 것) 과정이 그대로 드러났다.

이런 상태에서 자기 PC가 감염된 줄도 모르고 인터넷뱅킹 서비스를 이용하면 모든 입력 정보가 악의적 크래커의 손에 넘어간다.

여기서 한 단계만 더 나아가면 이체하는 돈을 가로챌 수 있다.

이날 시연에서는 엄청난 파장을 고려해 돈을 가로채는 장면은 시연하지 않았다.

금융보안연구원과 은행 증권사 등은 PS액티브체크 위험에 대처하는 방안을 모색 중이나 근본적인 해결책은 찾지 못했다.

해커 B씨는 "금융권뿐 아니라 대다수 인터넷 사이트가 보안에 심각한 문제가 있다"며 "액티브X를 쓰지 말아야 하지만 현실적으로 어렵다"고 말했다.

한국은행에 따르면 국내 인터넷뱅킹 이용자는 4245만명(19개 금융회사 합계),이용 건수는 하루 1849만건이나 된다.

3분기 인터넷 뱅킹 자금이체 금액은 18조6439억원에 달했다.

이번 컨퍼런스는 악의적 해킹의 위험성을 알리기 위해 보안 커뮤니티 시큐리티프루프가 마련했다.

행사에는 중국 일본 한국 미국 등의 보안 전문가와 한국정보보호진흥원，경찰청 사이버테러대응센터 등 공공기관 관계자 및 해킹에 관심 있는 민간인 등 350여명이 참석했다.

시큐리티프루프를 이끌고 있는 해커 반젤리스(닉 네임)는 "국내 기업이나 공공기관은 보안 담당자를 너무 가볍게 생각한다"며 "방어 기술을 연구개발할 수 있는 여건을 조성하고 보안 담당자에 대한 처우를 개선하는 일이 시급하다"고 지적했다.