JaVa는 내부또는 외부 명령, 실행할수없습니다. [내공90]

해킹분석 및 대응

I. 인터넷 보안의 위협요소

위협요소	내 용
네트워크적 위협	-프로토콜 취약점 이용 : 스푸핑, 세션 가로채기 -서비스 방해 :스팸 메일, 패킷 loop 유도 -정보유출:네트워크 도청, 사용자 도청
시스템적 위협	-계정 도용: 크레킹,스니퍼 프로그램을 이용한 암호 해독 -해킹 : 시스템내의 특정 프로그램을 악으로 변경 -악성 프로그램:바이러스, 폭탄 프로그램
물리적 위협	-내/외부 출입자에 의한 보안사고
관리적 위협	-문서관리절차 및 승인절차의 취약

II. 정보시스템에 불법적으로 접근하는 해킹의 개요

가. 해킹의 정의:네트워크나 인터넷을 통하여 외부에서 타시스템에 접근하여

데이터나 자료를 획득/파괴하는 행위

나. 해킹의 목적

침입(Intrusion)

- 불법적으로 시스템의 자원을 사용한다든지, 또 다른 크래킹을 위해 거쳐가는 경로로 사용하기 위해서 상대방 시스템에 침입

서비스 거부(Denial of Service)

- 짧은 시간에 대량의 쓰레기 데이터를 공격대상시스템에 전송하여, 정상적인 정보서비스를 방해하거나 정지시키는 형태

정보유출(Information Theft)

- 주요한 국가 기밀 및 기업의 주요 정보를 빼내서 이를 악의적으로 사용하는 행위

III. 해킹의 수법 및 절차

가. 해킹의 수법

기법	설 명
사회 공학적인 침입	-시스템 관리자로 속여서 패스워드를 획득
사용자 도용	-정당한 사용자를 도용하여 ID와 패스워드를 획득하는 행위 ex)패스워드 크랙
시스템 취약성 공격	-취약성 분석 프로그램을 통해서 시스템의 보안 취약점을 파악
호스트 위장 (IP Spoofing공격)	-목표 호스트가 신뢰하는 시스템이나 네트워크로 위장하여 공격 (TCP/IP프로토콜의 취약점을 이용)
데이터에 의한 공격	-불법 프로그램을 이식 또는 백도어 설치 ex)전자우편에 악의적인 프로그램을 첨부
구조적인 공격	-시스템이나 네트워크 프로토콜 등의 구조적인 문제점을 공격

나. 해킹의 절차

절차	설 명
1. 공격대상 정보파악	-네트워크 구성, 장비 종류, 시스템 OS종류 및 Version등 정보파악
2. 불법적접근/권한 획득	-사용자 권한 획득(Sniffer / finger 등 이용) -Root 권한 획득
3. 침입도구 설치	-스니퍼설치(자신의 메일로 정보자동 발송) -백도어, 트로이 목마 등 설치
4.서비스 방해	-자료의 변조, 삭제, 유출, DoS공격 -시스템 내부자원에 피해
5. 침입흔적 삭제	-시스템 로그 삭제

IV. 해킹의 경향 및 전망

가. 최근 해킹의 경향

경 향	설 명
지능화 및 에이전트화	-Internet worm 증가 -광범위한 시스템/네트워크의 침입 및 파괴 -원격제어 가능한 에이전트형의 백도어를 설치,이를 이용하여 다른 시스템을 공격
분산화	-동시에 다수의 서버공격(IDS,Firewall등보안시스템 우회) -다수의 서버에서 목표시스템 공격
자동화	-자동 공격스크립트 등을 통해서 공격하는 형태 (인터넷 웜, 윈도우용 공격도구 등을 이용)
은닉성	-보안시스템을 우회, 공격자의 위치를 은닉

나. 해킹기법의 전망

① 고성능 스파이웨어 기술 발달을 통해 정보유출

② 해커들이나 해커그룹간 공조를 통해 해커역추적을 위한 경로파악 난해

③ 무선랜 프로토콜 아키텍처의 취약점을 이용한 무선랜 해킹 증가 예상

V. 해킹에 대한 대응 방안

가. 네트워크적 대응방안 나. 기술적 대응방안

-침입차단 시스템(firewall)-통합 보안관리(ESM)

-침입탐지시스템(IDS) -통합인증 및 권한 관리(EAM)

-가상사설망(VPN)-안티바이러스

-어플리케이션 암호화 통신-통합 일체형 장비

(SSL, Ipsec)(all-in-one appliance)

해킹피해시스템 분석방법 1. 각 기관별 해킹사고 현황 2. 해킹 피해 사례 및 분류 3. 침해사고 분석 방법 4. 침해사고와 법적 대응 및 수사

접수된 해킹피해 사고는 심도 있는 분석을 위해 피해기관과 공동으로 해당 시스템의 로그 파일과 의심스러운 사용자의 홈디렉토리를 분석하고 네트워크 접근 기록을 조사하며 라우터 등의 구성 설정 환경 등을 점검하게 된다. 그리고 필요시 실무자의 협조를 받아 추가적인 침입을 감시하기 위한 도구를 설치하고 공동 감시를 시작하거나 실무자의 요청에 의해 더 이상 침입할 수 없도록 기술지원과 각종 대응 환경을 구성하기도 한다. 이렇게 침해사고 접수 후 피해기관의 시스템을 직접 분석하는 경우 일일이 시스템의 로그파일을 분석하거나, last 혹은 lastcomm 등 관리자 명령어를 이용한 수작업으로 이루어지므로 최근 크게 증가하는 해킹사고 접수 건수에 비추어 보아 매우 업무를 가중시키는 일이 되고 있다. CERTCC-KR내 한사람 직원이 많게는 5개이상의 시스템을 동시에 지원 분석하는 경우가 있어 피해시스템 분석 방법론을 경험을 바탕으로 개발하고 이를 자동화하는 일이 필요하게 되었다.

추가1.

1. 서론
2. 최근 해킹기법 및 사례
2.1. 최근 해킹기법 동향
2.2. 최근 유형별 해킹 피해 사례
3. 해킹피해시스템 분석 방법
3.1. 관리자관점에서의 분석
3.2. 공격자관점에서의 분석
4. 해킹 대응기술
4.1. 해킹 대응기술 개요
4.2. Firewall
4.3. 침입탐지시스템
4.4. 해킹취약점 분석, 진단 및 복구기술
4.5. 네트워크 보안관리기술
4.6. 기타기술
5. 결론

추가2.

은행 및 비은행권 범죄의 실태와 형사법적 대응

오 경 식

	차 례
I. 은행 및 비은행범죄의 의의와 관련 법률 1. 은행․비은행범죄의 의의 2. 은행․비은행범죄 관련 법률 II. 은행․비은행 금융사고의 현황과 실태 1. 금융사고의 개념 2. 금융사고의 변천 3. 금융사고의 원인과 현황 III. 금융업무와 관련된 은행․비은행 범죄 1. 서 언			2. 불건전 금융거래와 관련된 은행․비은행 범죄 3. 금지행위와 승인 및 확인과 관련된 은행․비은행 범죄 4.위법․부당행위와 관련된 은행․비은행범죄 IV.은행․비은행 범죄에 대한 대응방안 1. 법적․제도적 대응방안 2. 행정적 대응방안 3. 기타 대응방안 V. 결 론

I. 은행 및 비은행범죄의 의의와 관련 법률

1. 은행․비은행범죄의 의의

은행․비은행범죄는 금융범죄라는 넓은 범위 중에서 은행․비은행과 관련된 범죄를 말한다. 즉 금융부정과 관련된 범죄 및 은행․비은행의 임직원에 의한 직무와 관련된 범죄로 정의할 수 있다. 여기서 금융부정이란 예금 또는 자금획득의 방식이 은행법 등의 금융관계법령에 위반되는 것과 대부와 관련된 대부업의 등록 및 금융이용자보호에 관한 법률위반죄와 자금대출과 관련된 형법상의 범죄와 기타 법률위반을 말한다.¹⁾

좀더 세부적으로 보면 은행․비은행범죄란 은행․비은행분야의 임직원 또는 이들 은행․비은행이 주체가 되거나 공모 또는 가담하여 직무와 관련하여 범죄를 범하는 경우와 지위 또는 권한을 이용하거나 법령을 위반하여 자기 또는 제3자의 이익을 도모하는 범죄나 은행․비은행분야에 종사하지 않는 자가 금융시장질서를 교란하여 다수에게 피해를 주는 행위로서 관계법령에 의해 가벌성이 인정되는 것을 말한다.

2. 은행․비은행범죄 관련 법률

은행․비은행범죄와 관련된 처벌법규로서 형법, 상법, 은행법, 금융실명거래 및 비밀보장에 관한 법률, 한국은행법, 한국산업은행법, 한국수출입은행법, 중소기업은행법, 장기신용은행법, 단기금융업법, 종합금융회사에 관한 법률, 상호신용금고법, 상호저축은행법, 신탁업법, 금융감독기구의 설치 등에 관한 법, 신용협동조합법, 우체국예금보험에 관한 법, 농업협동조합법, 수산업협동조합법 등을 들 수 있다.

은행․비은행범죄와 관련되는 일반 형법상의 규정으로는 사기죄(형법 제347조), 컴퓨터 등 사용사기죄(형법 제347조의 2), 횡령죄(형법 제355조), 배임죄(형법 제355조), 공문서위조죄(형법 제225조), 사문서위조죄(형법 제231조) 등이 이에 해당된다. 은행․비은행범죄 사건 중에서 가장 많은 부분을 차지하는 범죄는 금융기관 종사자의 횡령사건이다.²⁾ 예금으로 위탁한 금전을 영득하는 경우와 가공입금처리, 가공정기 예금증서의 작성, 허위의 질권설정승낙서의 작성 등이 이에 해당된다. 위조통화에 의한 예금으로 고객이 통화를 위조까지 한 경우라면 통화위조죄, 위조통화행사죄가 성립된다. 또한 가명, 차명으로 계좌를 개설하거나 예금할 경우 구좌개설신청서를 타인명의로 작성하는 점에서 사문서위조죄 및 동행사죄(형법 제234조)가 성립된다.

은행․비은행범죄와 관련되는 일반 상법상의 규정은 다음과 같다. 상법 제622조 제1항(특별배임죄)은 회사의 발기인, 업무집행사원, 이사, 감사위원회 위원, 감사 또는 제386조 제2항, 제407조 제1항, 제415조 또는 제567조의 직무대행자, 지배인 기타 회사영업에 관한 어느 종류 또는 특정한 사항의 위임을 받은 사용인이 그 임무에 위배한 행위로서 재산상의 이익을 취득하거나 제3자로 하여금 이를 취득하게 하여 회사에 손해를 가한 때에는 10년 이하의 징역 또는 3천만원 이하의 벌금에 처한다.

또한 상법 제623조(특별배임죄)에서는 사채권자집회(社債權者集會)의 대표자 또는 그 결의를 집행하는 자가 그 임무에 위배한 행위로써 재산상의 이익을 취득하거나 제3자로 하여금 이를 취득하게 하여 사채권자에게 손해를 가한 때에는 7년 이하의 징역 또는 2천만원 이하의 벌금에 처한다. 상법상의 특별배임죄는 형법상의 배임죄와 비교하여 그 주체가 한정되어 있으며, 중한 형벌이 가능하다.

상법 제628조(납입가장죄 등) 제1항은 제622조 제1항(발기인, 이사 기타의 임원 등의 특별배임죄)에 게기한 자가 납입 또는 현물출자의 이행을 가장하는 행위를 한 때에는 5년 이하의 징역 또는 1천 500만원 이하의 벌금에 처하며, 이러한 행위에 응하거나 이를 중개한 자도 동일하게 처벌한다. 특히 납입가장죄와 관련해서 상법상 특별배임죄의 주체가 되는 자가 금융기관의 임직원과 공모할 경우 공범관계가 성립될 수 있다.

II. 은행․비은행 금융사고의 현황과 실태

1. 금융사고의 개념

금융사고란 금융기관에서 발생되는 여러 가지 위법행위를 말한다. 그 유형으로는 불법대출, 전산조작, 고객예금 담보 임의대출, 직원의 고객예금 횡령, 주식 임의매매, 보험료 횡령, 거래처 부당지원 등을 들 수 있다.

1997년에서 2000년 말까지 3년 동안 일어난 10억원 이상의 금융사고는 35건에 총 5,723억원에 달하여 한 달에 한 번꼴로 10억원 이상의 중대형 금융사고가 발생하였으며 금융권별로는 신용금고가 9건에 4,039억원으로 가장 많았고, 은행은 9건에 1,197억원 이었다. 그밖에 종금사는 2건에 191억원, 증권사는 7건에 139억원, 신협은 6건에 136억원, 보험사는 2건에 21억원이었다.

금융감독원에 따르면 1999년 이후 올 상반기(2002년)까지 발생한 금융사고는 총 1,055건, 사고금액은 8,311억원에 달하며 50% 이상이 은행권에서 발생한 것으로 나타났다.³⁾ 금융감독원이 1999년 부터 올해 상반기까지 발생한 금융사고를 분석한 결과 지난 2000년에 발생한 금융사고 건수와 금액은 각각 329건, 4,219억원으로 전년 대비 각각 48.2%, 235.6% 증가했다. 2001년에는 사고건수는 총 345건으로 전년대비 4.9% 늘어났으나 사고금액은 2,151억원으로 전년보다 49% 감소했다. 또 2002년 상반기에 발생한 사고건수와 금액은 각각 159건, 684억원으로 지난해 같은 기간보다 각각 4.8%, 45.1% 줄어들었다. 이처럼 사고금액이 지속적으로 감소한 것은 10억원 이상 거액 금융사고가 크게 감소한 데 따른 것이라고 금융감독원은 분석했다. 10억원 이상 거액 금융사고는 지난 1999년 851억원에서 지난 2000년에는 3,704억원으로 크게 늘어났으나 2001년에는 1,670억원으로 크게 감소했다. 올 상반기에는 지난해 상반기(928억원)보다 절반 이상 줄어든 399억원에 그쳤다.⁴⁾

금융사고 내용별로는 금융업관련 법규를 위반한 범죄사고가 902건(6,160억원)으로 전체 금융사고 건수 및 금액의 85.5%, 74.1%를 차지했다. 이중 특히 고객예금 등과 관련한 횡령 사건이 735건(5,333억원)으로 총 금융사고의 60% 이상에 달한다. 또한 부당 대출취급, 현금도난 및 피탈 등 업무소홀 등으로 인한 기타 사고도 153건(2,151억원)으로 총 금융사고 건수의 14.5%, 총 사고금액의 25.9%에 해당한다.⁵⁾

2. 금융사고의 변천

금융사고와 관련해서 그 동안 우리 나라에서 일어난 금융사고와 관련된 사건을 중심으로 살펴보면 1970년대에는 주로 암달러시장과 관련한 금융사고가 주류를 이루었다. 1975년 월남이 공산화된 이후 한국에서도 정세의 불안감이 퍼져 달러를 매수하려는 수요자들이 많았으며 당시 정부는 암달러 시세가 폭등하여 불안심리를 부추기자 대대적으로 암달러 상인들을 단속하였다. 이 밖에 1974년에 금록통상대표 박영복씨가 은행원을 매수해 문서를 위조하는 수법으로 총 71억원을 부정대출을 받는 사건이 터지기도 했다.

1980년대에는 이철희, 장영자 어음사기 사건으로 대표되는 시기다. 장씨는 자금난을 겪고 있는 회사들에 돈을 빌려 준 뒤 그 배에 해당하는 견질어음을 받아 이를 다시 은행에서 할인하는 방법으로 1,467억원을 사취했다. 1982년에는 조흥은행 명동지점 차장으로 근무하던 김상기씨가 사채업자들로부터 은행금리와는 별도로 월 2.5～3%의 뒷돈을 주기로 하고 돈을 끌어들인 위 예금주 몰래 돈을 찾아 쓰다가 자금난에 몰리자 자살하는 사건이 일어나기도 했다.

1990년대에 들어서는 금융기관의 직원들이 컴퓨터를 조작해 돈을 빼내 도망가는 사건이 빈번하게 일어나기 시작했다. 컴퓨터를 이용한 금융사고는 1980년대부터 생기기 시작했지만 1990년대엔 가짜 통장을 만드는데 컴퓨터가 이용되면서 금융사고의 일반적인 경향으로 대두되었다. 또한 1990년대에는 사채업계에 전문돈세탁업자라는 신종 업종이 등장해 제도권의 돈을 세탁하는 역할을 하며 금융사고를 일으키기도 했다. 1980년대 후반 부동산과 증권시장에서 큰돈을 벌었던 사채업자들은 지난 1999년에는 코스닥시장과 장외시장을 통해 떼돈을 벌기 시작했다. 그러나 코스닥시장 등이 침체되는 등 여러 가지 문제점들이 드러나자 정현준, 이경자사건, 이용호사건 등의 게이트사건들이 2000년대에 발생하게 되었으며 또 다른 한편에선 금융구조조정의 여파로 위상이 불안해진 금융인들이 주식투자로 잃은 자금을 만회하기 위하여 고객의 돈을 빼내 가는 금융사고가 하루가 멀다하고 발생되고 있는 실정이다.

3. 금융사고의 원인과 현황

(1) 금융사고의 원인

고객예금의 횡령, 유용, 불법대출, 전산조작, 고객예금담보 임의대출 등과 같은 금융사고의 발생원인은 여러 가지 측면에서 검토해 볼 수 있다. 특히 많은 금융사고들이 2차 금융구조조정에서 자유롭지 않은 상대적으로 부실한 금융기관에서 많이 발생하였다는 점은 금융권 구조조정에 대한 불안감이 금융사고로 이어졌다고 할 수 있다. 감원과 명예퇴직 등으로 땅에 떨어진 은행원의 사기와 추락을 거듭하는 주식시장의 분위기도 남의 돈을 만지는 금융기관의 임직원들을 불법행위로 유혹하는 한 요인이 될 수 있다.

또 다른 원인으로는 외환위기 이후 여신위원회 여신감리팀 등 제도적 장치는 마련되었지만 이를 뒷받침할 시스템과 운용인력의 마인드는 훨씬 못 미치고 있다. 예를 들면 한빛은행 불법대출 사건은 권력 실세의 개입여부를 차치하고라도 국내 금융기관의 여신관리 허점을 적나라하게 드러냈다. 본부의 상시감시항목이던 내국신용장 취급업무가 지난해 11월부터 제외된 점을 악용하여 3억원 미만으로 대출금을 쪼개는 수법으로 이 은행 관악지점장은 본점의 감시를 피할 수 있었다. 또한 중앙종금의 경우 회사 핵심부문이 전산시스템직원의 조작으로 뚫려 1백억원에 가까운 고객 돈이 빠져나갔는데도 고객이 이의를 제기할 때까지 본점은 전혀 눈치채지 못했다. 또 평화은행은 한 지점에서 1999년 11월부터 2000년 8월 28일까지 무려 여섯 차례에 걸쳐 부정대출이 일어났는데도 본점은 이를 파악하지 못했다. 이 사건에서 불법담보대출이 일어난 고객이 우연히 대출상담을 해 오지 않았거나 박모 차장이 그 돈을 사용한 후 고객 통장에 채워 넣었더라면 이런 사건은 그냥 넘어갔을 것이라는 게 은행관계자의 지적이다.⁶⁾

또 하나의 원인은 상대적 박탈감과 불안감을 가진 금융기관의 임직원이 많다는 것이다. 특히 은행원의 사기가 땅에 떨어졌다. 외환위기 이후 3분의 1 가까이 인원감축이 이뤄진 은행권은 계속된 구조조정으로 그 신분에 불안한 상황이라 할 수 있다. 또한 1999년에서 2000년 동안 벤처열풍에 의해 은행원들이 상대적 박탈감에 찌들려 있었다. 특히 폭락을 거듭하는 주가가 주식에 손을 댄 많은 금융기관 직원들을 다급하게 만들었다. 2000년 평화은행 S지점 박씨의 경우 사고발생 후 평화은행 검사역들이 박씨의 거래계좌를 모두 뒤진 결과 증권계좌에서 12억원을 발견하여 회수하기도 했다. 이러한 은행원들의 지위불안 분위기가 금융사고의 직접적 원인이라 할 수 있다.

또한 금융회사들이 사고금액을 회수하기 어려운 금융범죄 사고만 형사고발하고 있는 점도 금융사고의 재발의 한 원인이 되고 있다고 판단되므로 사고내용을 기준으로 고발여부를 결정하는 기준도 마련해야 한다. 또한 사고금액에 대해서는 가족과 보증관계, 은닉재산 등을 추적, 철저히 회수하고 관리책임자에 대한 엄중문책과 함께 민사상 손해배상도 청구해야 할 것이며, 금융감독원은 사고가 잦은 금융회사에 대해서는 내부통제운용실태 점검을 강화하고 금융사고 예방을 위한 양해각서(MOU)를 체결하는 등 사후관리업무도 보완해야 된다.

(2) 은행권의 금융사고 현황

은행에서 발생된 사고건수는 표 1에서와 같이 1999년에 149건, 2000년에 206건, 2001년에는235건이 발생되어 매년 증가하는 추세이다. 그러나 2002년 상반기에는 81건의 사고건수가 기록되어 이런 추세라면 오랜만에 감초추세로 돌아설 것으로 예상된다. 사고건수에 비해 사고금액은 1999년에 437억원, 2000년에는 2,016억원으로 크게 증가하였는데 이는 IMF구제금융으로 인한 우리 나라 금융구조의 재편으로 많은 금융사고가 발생되었을 것으로 추론된다. 2001년에는 1,451억원이며, 상반기에는 379억원으로 감소될 것이 예상된다. 이는 은행의 구조조정과 은행개편으로 사고건수의 감소로 인한 것으로 전망된다. 손실예상금액은 1999년에 143억원이었으나 2000년에는 1,108억원으로 크게 증가하였다. 이는 은행의 구조조정과정에서 나타난 현상으로 볼 수 있으며, 2001년에는 609억원이며, 2002년 상반기에는 122억원으로 점점 감소하고 있다. 구체적으로 보면한빛은행은 2001년 8월을 기준으로 지난 2년 6개월간 모두 1,344억 9,800만원으로 가장 많은 금융사고를 냈으며, 서울은행이 283억 9,700만원, 농

z 표 1 금융사고현황

(단위 : 건, 억원)

구 분	1999년			2000년			2001년			2002년 상반기
	사고건수	사고금액	손실예상	사고건수	사고금액	손실예상	사고건수	사고금액	손실예상	사고건수	사고금액	손실예상
은 행	149	437	143	206	2,016	1.108	235	1,451	609	81	379	122
비은행	22	241	200	51	1,904	1,446	41	365	213	34	173	52
기 타*	1	10	0	8	20	15	11	100	69	2	0	-

※ 1. 자료：2002년도 국정감사자료.

2. 기타는 한국자산관리공사 등 관련회사임.

3. 사고금액 및 손실예상금액은 사고내용 조사과정 등에서 다소 변동될 수 있음.

협이 232억 8,600만원, 국민은행이 232억 5,400만원 등의 순이었다.⁷⁾ 그러나 사고액 대비 손실금액인 손실비율은 기업은행이 95.5%(165억 2,400만원 사고에 175억 8,800만원 손실)로 가장 높게 나타났고, 한빛은행은 47.5%의 손실비율을 보였다. 19개 은행만 볼 때 2001년에 158건에 2,736억 6,600만원 사고에, 손실금액 146억 5,900만원으로 38.2%의 손실비율을 보였으며, 특히 부산, 광주, 전북, 씨티, 강원은행은 사고건수와 금액도 작았고, 손실금액도 없는 것으로 보고되었다.⁸⁾

(3) 비은행권의 금융사고의 현황과 실태

비은행의 경우 표 1에서와 같이 사고건수는 1999년에 22건이었으나 2000년에는 51건으로 증가하였고, 2001년에는 41건으로 감소되었다. 그러나 2002년에는 상반기에 이미 34건으로 대폭 증가가 예상된다. 사고금액은 1999년에 241억원이었으나 2000년에는 1,904억원으로 대폭 증가하였다가 2001년에는 365억원으로 대폭 감소하였으며, 2002년 상반기에는 사고건수는 증가가 예상되지만 사고금액은 173억원으로 전년도와 비슷한 금액이다. 1999년 이후 올 상반기(2002년)까지 발생한 금융사고는 총 1,055건, 8,311억원에 달하며 이 중 비은행은 148건에 2,683억원의 사고액을 차지하였다. 유형별로는 총 금융사고 중 횡령사고가 735건에 5,333억원으로 69.7%(건수)와 64.2%(사고금액)를 각각 차지했다.

(4) 사이버(전자)금융사고의 현황

해킹 등의 침해에 대한 보안시스템을 완전히 갖추지 않고 사이버(전자)금융제도가 급속히 도입됨에 따라 새로운 형태의 금융사고 발생가능성이 있다. 금융감독원이 2002년 국정감사자료에서 제출한 표 2에서는 최근 3년간 은행권에서 발생된 사고건수가 1건이고 사고금액은 4천2백만원이며, 관련자는 1명으로 보고하였다.⁹⁾

z 표 2 최근 3년간 인터넷뱅킹 관련 금융사고 현황(2000년～2002년 8월 중)

(단위：건, 명, 백만원)

구 분	사고건수	사고금액	관련자	피해금액	비 고
은 행	1	42.7	1	-
증 권	2	27,790.9	2	75.2*
보 험	1	136.0	1	136.0
계	4	27,969.6	4	211.2

※ 자료：2002년도 국정감사 자료.

*：1건은 수사진행 중으로 피해금액 미확정으로 불포함.

또한 금융사이버거래 관련 분쟁현황(금융감독원 처리기준)에 의하면 은행, 증권, 보험, 비은행 전부를 포함한 현황은 1999년에 32건, 2000년에 103건, 2001년에 37건, 2002년 상반기(1월～6월)에 41건으로 보고되었다. 이 중 은행, 비은행관련 사건이 구체적으로 몇건이 있었는 지는 알 수 없으나 표 2와 표 3에 의하면 통계자료의 오류가 있는 듯이 보인다. 표 2의 경우 은행권에서 최근 3년간 인터넷뱅킹 관련 금융사고는 1건이며, 증권, 보험을 합친 총계가 4건으로 보고되었으나, 표 3에서는 동

z 표 3 금융사이버 관련 분쟁현황(금융감독원 처리기준)

1999년	2000년	2001년	2002년 1월 ～ 6월
32건	103건	37건	41건

※ 자료：2002년도 국정감사자료.

일 기간이라 하더라도 181건으로 보고되었다. 물론 금융사이버거래의 범위는 인터넷뱅킹의 범위보다 넓다고 볼 수 있으나 실제 통계자료에 포함되지 않은 사건들이 다수 있다고 생각된다.

(5) 유사금융기관의 금융사고의 현황과 법률관계

1 유사금융기관의 개념과 현황

일반적으로 금융기관이라 함은 불특정 다수의 사람들에게 확정된 이자를 지급해 주기로 약정하고 돈을 받고(수신, 예금), 또 불특정 다수의 많은 사람들에게 이자를 받기로 약정하고 돈을 빌려주는(여신, 대출) 업무를 할 수 있도록 감독당국으로부터 인․허가를 받거나 등록 또는 신고한 기관을 말한다.¹⁰⁾ 유사금융기관이란 금융기관처럼 돈을 빌려주거나(여신, 대출) 또는 변칙적으로 자금을 조달(수신, 예금)하는 등 금융업무와 유사한 형태의 영업을 영위하고 있지만, 정부로부터 금융업으로 인가를 받거나 등록 또는 신고되지 않은 상법상의 일반회사를 말한다.¹¹⁾

유사금융기관은 은행 등 제도권 금융기관처럼 감독당국의 관리․감독을 받고 있지 않다. 따라서 이들에게 맡긴 돈은 예금보호대상이 아니며, 빌린 돈과 관련하여 고금리나 불법 채권추심 같은 부당한 피해도 발생될 수 있다. 즉 금융감독원은 이들 업체에 대하여 조사․감독권한이 없으며 다만, 불법유사수신행위 혐의업체에 대한 정보를 수집하여 사법당국에 고발의 형식이 아닌 정보제공 수준으로 통보만 하고, 그 처리결과를 사법당국으로부터 재 통보 받는 체계는 아니므로 자세한 현황파악은 한계가 있으나 2000년 1월 1일부터 2002년 7월 30일까지의 통보현황은 표 4와 같다.¹²⁾

z 표 4 정보수집 및 사법당국앞 통보 현황(2000.1.1.～2002.7.30.)

(단위:업체수)

구 분	2000년	2001년	2002년(7.30까지)	계
사법당국 정보제공	47	135	71	253

※ 자료：2002년도 국정감사자료.

y 그림 1 유사수신행위의 변화

1999. 9		확정 고배당지급의 예금수신을 통해 자금모집(파이낸스)
2000. 4		벤처투자를 통한 고수익 미끼로 자금모집(엔젤, 벤처등)
2000.12		부동산투자를 통한 고수익 미끼로 자금모집(레저타운, 휴양지)
2001. 1		상품판매를 가장한 자금모집(인형자판기)
2001. 3		장외주식 투자를 통한 고수익을 미끼로 자금모집(에셋)
2001. 4		다단계방식의 영업을 통한 자금모집
2001. 7		인터넷을 통한 자금모집(영화펀드) 레저상품을 가장한 자금모집(여행사)
2001. 8		매일 이자를 지급하는 일수방식 자금모집(종류 다양)
2001. 10		물품판매 가장 ＋ 일부방식 자금모집(종류 다양)

※ 자료：유사금융 관련 피해 사례집, 2001.12, 금융감독원/비은행감독국.

사금융업자의 고리대금행위와 부당한 채권추심행위 등으로 인해 서민들의 피해가 계속 발생함에 따라, 서민 금융이용자 보호 종합대책 추진의 일환으로 2001년 4월 2일부터 금융감독원에 사금융피해신고센터를 설치하여 운영하고 있다.

유사 금융기관의 유사수신행위는 수신행위의 유형에 따라 다양하게 변신을 하고 있다. 대표적인 변화는 그림 1과 같다.¹³⁾

2 유사수신행위와 관련된 법률관계

유사수신행위에 관한 법률 제2조는 금융관련 법령에 의한 인,허가를 받거나 정부에 등록, 신고를 하지 않고 불특정 다수인으로부터 자금을 조달하는 것을 유사수신행위로 규정하여 이를 금지하고 있다. 그러나 이들 유사금융업체가 명맥을 유지하는 것은 일정기간 실제로 고수익 배당이 이루어지기 때문이며, 이들 유사금융업체들은 신규투자자를 유치하여 이전 투자자에게 약속했던 배당금을 지급하면서 부실화되고 결국 부도로 이어지게 되며, 횡령 등에 대한 금융감독이 전혀 되지 않으므로 금융비리가 상존하며 일정시점에서는 대형 금융사고로 이어질 수밖에 없는 현실이다.

III. 금융업무와 관련된 은행․비은행 범죄

1. 서 언

금융기관에는 예금업무와 대출업무을 중심으로 영업을 행하는 금융기관과 예금업무는 하지 않고 대출업무만을 행하는 금융기관이 있다. 전자는 일반은행, 신용금고, 조합 등을 들 수 있고, 후자는 장기신용은행, 한국수출입은행, 한국산업은행 등을 들 수 있다.

금융기관은 신용을 중시하는 업무를 하고 있다. 따라서 이러한 업무와 관련된 불건전금융거래, 금융사고, 위법․부당행위 등은 신용추락을 가져올 수 있다. 따라서 이들 금융기관에서는 신용추락을 막기 위해 비공개상태에서 사건을 은폐하려는 경향이 있으며, 정보와 통계의 공개를 꺼려 유사한 다른 범죄발생방지대책을 수립하는데 어려움이 있다.

본 장에서는 은행․비은행범죄를 불건전금융거래, 금지행위, 위법․부당행위로 분류해서 이와 관련된 은행․비은행 범죄의 내용과 배경, 종류, 피해의 특징, 사례 등을 분석하여 검토하기로 한다.

2. 불건전 금융거래와 관련된 은행․비은행 범죄

(1) 서 언

은행․비은행의 금융거래에서 불건전 금융거래는 다음을 들 수 있다. 먼저 여신취급과 관련한 구속예금(일명 꺽기)이 있다. 금융기관 이용자의 권익을 부당하게 침해하거나 건전한 금융거래질서를 문란케 할 우려가 있는 행위로 다음을 들 수 있다. 첫째 여신취급시 백지수표를 받거나 담보용 백지어음의 보충권 남용, 둘째 제3자 담보취득시 포괄근담보 요구, 셋째 제3자 담보취득시 포괄근보증 요구, 넷째 제3자 담보제공자에 대해 연대입보 요구, 다섯째 여신거래처 고용임원에 대해 연대보증요구, 여섯째 신용보증기금 등 공신력있는 금융기관의 지급보증서를 담보로 하는 여신에 대해 연대보증 요구, 일곱째 통상적 대출담보비율을 초과하여 담보와 계열회사의 채무보증을 이중으로 요구하거나 계열회사의 중복채무보증 요구, 여덟째 당해 금융기관에 예치되어 있는 예․적금, 금전신탁 등에 대해 예금증서 미교부 또는 보관 등의 방법으로 사실상 해약 또는 인출을 제한하는 등이다. 이들 행위가 범죄구성요건에 해당되는지 여부에 대해서 살펴보기로 한다.

(2) 불건전 금융거래 중 여신행위와 관련되는 은행․비은행범죄

금융기관의 여신계약 시 한도를 초과한 대출을 행하거나 심사가 필요한 여신에 심사를 행하지 않거나 또는 불충분한 심사를 하여 여신을 행하거나 무담보여신 또는 불충분한 담보여신 또는 감독규정 등에 규정된 절차를 준수하지 않고 여신을 행한 경우 형법상 배임죄가 성립될 수 있다.

사 례		정현준사건
	정현준씨가 대주주로 있던 동방상호신용금고에서 출자자 여신금지규정을 무시하고 자기 소유의 한국디지탈라인창투명의로 600여억원을 불법대출 받았으며, 또한 자신이 최대주주로 있던 대신금고에서도 개인명의로 9억원을 대출받았다.

또한 불량채권회수의 목적으로 부당하게 여신계약을 행하는 경우 자기 또는 제3자의 이익을 위한 목적이 인정되는가 여부에 따라 배임죄의 성부가 인정된다. 대출이 곤란한 자에게 정식의 대출절차를 밟지 않고 장부 등에도 기재하지 않고 금융기관의 임원에게 대출해 주는 행위는 배임죄, 업무상횡령죄가 성립될 수 있다. 어음보증을 할 권한이 없는 금융기관의 임직원이 어음보증을 행하는 행위 또한 배임죄가 성립될 수 있다.

3. 금지행위와 승인 및 확인과 관련된 은행․비은행 범죄

(1) 서 언

금융사고란 크게 각종 금융거래와 법률과 규정에서의 금지행위와 감사통할책임자 확인 및 영업점장의 승인이 필요한 행위를 위반한 행위를 말한다. 금지행위의 유형으로는 첫째 비정상적인 예금유치 과당경쟁, 둘째 사고발생소지가 있는 타점권 교환결제전 지급, 셋째 자기앞수표 및 양도성예금증서 등의 선발행과 무자원입금거래 및 위조행위, 넷째 고객과의 사적거래 등 비정상적인 거래행위, 다섯째 변칙적 비정상적 업무처리 등을 통하여 자금세탁에 직․간접으로 관여하는 행위를 말한다.

감사통할책임자 확인 및 영업점장 승인이 필요한 행위를 위반한 유형으로는 첫째 통장 또는 인감없이 예금을 지급하는 등 예금편의취급, 둘째 거래처의 인감, 통장 등의 보관, 셋째 창구를 거치지 않은 예금의 입출금 등이다.

(2) 금지행위와 은행내부결제와 관련된 은행․비은행 범죄

1 납입가장죄

주식회사의 설립시에 주식인수인은 설립중의 회사에 주금을 납입한다. 신주 발행 때에도 주식인수인은 기존회사에 주금을 납입하고 이 주금납입이 가장되면 회사자본이 충실하지 못하게 되고 회사채권자 등의 거래안전을 해할 위험이 발생한다. 금융기관의 임직원이 대외적으로 신용을 보증하기 위하여 예금액을 실제보다 많이 보이게 하는 행위로서 이를 직접 규제하는 법률은 없으나 상법상 납입가장죄에 해당될 수 있다. 회사의 발기인, 업무집행사원, 이사, 감사위원회 위원, 감사 또는 상법 제386조 제2항, 제407조 제1항, 제415조 또는 제567조의 직무대행자, 지배인 기타 회사영업에 관한 어느 종류 또는 특정한 사항의 위임을 받은 사용인이 납입 또는 현물출자의 이행을 가장하는 행위를 한 때나 이러한 행위에 응하거나 이를 중개한 자는 5년 이하의 징역 또는 1천 500만원 이하의 벌금에 처한다. 이러한 납입가장행위에는 납입은행과 결탁하여 하는 통모납입가장과 납입은행과의 결탁없이 일시 타인으로부터 차용하여 납입하고 회사설립 후 즉시 인출하여 변제하는 위장납입과 이들의 절충형태가 있다.

첫째, 통모납입가장이란 발기인이 납입을 맡을 은행으로부터 금전을 차입하여 주식의 납입에 충당하고 이것을 설립 중의 회사의 예금으로 이체하지만 그 차입금을 변제할 때까지는 그 예금을 인출하지 않을 것을 약정하는 것이다.¹⁴⁾

둘째, 위장납입이란 가장 많이 발생하는 납입가장의 형태로서 발기인이 납입금의 보관은행 등과 통모함이 없이 그 이외의 제3자로부터 금전을 차입하여 납입하고 회사성립 후(설립등기를 마친 후) 납입은행으로부터 즉시 인출하여 차입금을 변제하는 것이다. 이에 대해 우리 나라의 판례는 이는 실제 금원의 이동에 따른 현실의 납입이 있는 것이고 발기인 등의 주관적인 의도는 주금납입의 효력을 좌우할 수 없으므로 이는 유효하다라고 한다.¹⁵⁾ 즉 상법상 납입가장죄는 주식회사의 자본충실을 기하려는데 그 목적을 두고 있으므로 설립등기된 다음날 납입주금 전액을 인출하였다 하더라도 회사를 위해 그 돈을 썼다면 납입가장죄가 성립하지 아니한다.¹⁶⁾ 실질적 납입과 관련해서는 무효설(다수설)¹⁷⁾과 유효설(소수설)¹⁸⁾이 대립되어 있다.

위장납입이 무효가 된다면 위장납입의 결과 발행된 신주도 무효가 되므로 발행주식총수의 변동을 이유로 하는 변경등기의 신청과 등기가 공정증서원본 부실기재죄(형법 제228조)에 해당되게 되나, 만약 위장납입을 유효하다고 본다면 공정증서원본 부실기재죄에는 해당되지 않으며 이 경우 이사들이 유효하게 회사에 납입한 주금을 사용하여 차입선에 상환하는 행위는 횡령죄 또는 배임죄가 성립될 가능성이 있으며, 위장납입의 유효․무효와 관계없이 발행된 신주를 담보로 돈을 빌리는 경우에는 사기죄의 성립가능성이 있다.¹⁹⁾

통모납입가장 또는 위장납입의 결과 발행되었던 주권을 담보로 대출을 받은 경우 회사의 자본충실도와 관련된 기망행위가 인정되어 채권자들에게 가치를 오해시켜 재산적 손실을 입게 할 가능성이 있으므로 사기죄가 성립된다고 생각한다.

셋째, 양자의 절충형태란 발기인대표가 개인자격으로 납입을 맡을 은행으로부터 납입금에 해당하는 금액을 대출받아 주금납입을 하고, 회사성립 후 회사가 그 은행으로부터 납입금을 반환받아 발기인대표이었던 자에게 빌려주어 그가 은행차입금을 변제하게 하는 것이다. 이는 실질적으로 통모납입가장행위의 변형으로 통모납입가장행위를 방지하기 위한 상법의 규정을 탈법하는 행위이므로 납입으로서의 효력을 부정하고,²⁰⁾ 형사책임 즉 상법상 범죄와 사기죄 성립이 인정된다.

2 예금유치관련범죄

금융기관의 임직원이 특정고객에 대해서 예금을 하면 어떤 회사가 융자를 받게 되어 그 회사가 그 고객에게 사례를 할 것이라고 권유를 하는 경우가 있다. 외형적으로 고객의 예금은 그 대출받은 회사와는 아무 관계가 없으며 고객의 입장에서는 예금한 금액과 약간의 사례를 받으므로 이익이 된다. 문제는 이 경우 은행내규에 규정되어 있는 충분한 담보나 신용을 확보할 경우에는 문제가 없으나 신용불량회사나 한도초과된 회사에 대출한 경우에는 금융기관이 신용리스크를 안게될 가능성이 있다. 따라서 이러한 예금유치행위를 한 금융기관의 종사자에 대해서는 형법상 배임죄의 죄책가능성이 인정된다. 또한 융자받은 회사와 금융기관 종사자가 대출받은 금액을 함께 영득하기로 공모한 경우에는 대출받은 회사도 함께 사기죄의 공동정범으로 죄책을 지게 된다.²¹⁾

3 당좌대월한도 초과액 지급과 관련된 범죄

금융기관의 임직원이 당좌예금의 잔고나 당좌 대월계약의 한도를 초과한 금액을 수표소지인에게 지급하여 회사에 손해를 끼친 경우 이를 알고 있으면서 그러한 행위를 한 경우에는 배임죄가 성립된다.

4 자금세탁과 관련되는 범죄

자금세탁이란 범죄로부터 유래하는 재산가치를 합법적인 자금으로 전환하는 과정을 의미한다. 즉, 불법한 행위로 취득한 수익을 적법한 것으로 보이게 할 목적으로 그러한 수익의 존재, 불법적인 출처, 위법한 사용목적을 은닉하거나 위장하는 행위를 의미한다.²²⁾ 자금세탁과 관련해서는 본 논문의 범위에서는 제외하기로 한다.

(3) 확인과 승인이 필요한 행위와 관련된 은행․비은행범죄

1 통장 또는 인감 없이 또는 인감위조로 인한 예금지급

금융기관에서 예금편의를 위해서 통장 또는 인감 없이 예금을 지급하여 금융기관에 손해를 입히는 사례가 있다. 이 경우 담당업무를 취급한 행위자에 대해서는 배임죄의 성립가능성이 있다.

사 례		통장 또는 인감 없이 또는 인감위조로 인한 예금지급
	울산종합금융 서울지점의 직원이 법인명의로 H증권에 예치했던 머니마켓편드(MMF)자금 100억원을 법인인감을 사용해 인출한 뒤 도주한 사건이 발생하였다.

2 창구를 거치지 않은 예금의 입출금 및 수표위조행위

창구를 거치지 않은 예금의 입출금으로 인하여 이자소득세를 징수하지 않거나 이를 금융기관의 부담으로 하는 경우가 있다. 배임죄, 업무상 횡령죄 또는 소득세법위반의 성립이 문제된다.

사 례		창구를 거치지 않은 예금의 입출금 및 수표위조행위
	모은행 대리급 은행원이 100억원 짜리 가짜 자기앞수표(공자기앞수표)를 만들어 외부로 유출한 뒤 제3자를 통해 사채시장에서 할인을 받는 과정에서 범행이 발견되어 검찰에 구속되었다.

3 사이버금융거래와 관련된 행위

전자금융거래제도의 실시로 인하여 인터넷뱅킹과 사이버거래가 급증하고 있다. 그러나 해킹 등에 대한 방지대책으로 보안시스템의 개발과 전자인증제도를 답변확정하고 있다. 그러나 금융기관 내부직원이 고객의 금융정보를 이용하여 예금 등을 횡령하는 사고가 잇따라 발생하고 있다.

4. 위법․부당행위와 관련된 은행․비은행범죄

(1) 서 언

위법․부당행위와 관련된 은행․비은행 범죄란 금융기관 또는 그 임직원을 대상으로 하는 제재행위와 검사원의 검사업무와 관련된 금지행위를 들 수 있다. 전자의 행위로는 첫째 금융관련법규의 위반 및 그 이행의 태만, 둘째 횡령, 배임, 절도, 업무와 관련된 금품수수 행위, 셋째 건전경영, 영업을 저해하여 경영악화를 초래하거나 당해 금융기관 또는 금융거래자의 이익을 해하는 행위, 넷째 금융사고 등으로 금융기관의 공신력을 훼손하거나 사회적으로 물의를 일으키는 행위, 다섯째 고의 또는 과실로 업무상 장애 또는 분쟁을 야기하는 행위, 여섯째 감독소홀, 일곱째 기타 신용질서 문란행위, 부당․불건전 영업 또는 업무처리를 들 수 있다.

검사원의 검사업무와 관련된 금지행위로는 첫째 임직원에게 부당대출을 강요하거나 금품, 기타 이익을 제공받는 행위, 둘째 직무상 알게된 정보를 누설하거나 직무상 목적 외에 사용하는 행위, 셋째 기관 또는 그 임직원의 위법․부당행위를 고의적으로 은폐하는 행위를 말한다.

(2) 금융기관 또는 금융기관 종사자와 관련되는 범죄

1 금융기관의 종사자에 의한 개인적 범죄

금융기관의 종사자들이 지위, 권한을 악용해서 행한 개인적 색체가 강한 범죄에 대하여 살펴보기로 한다. 금융기관의 종사자들이 행하는 범죄의 수법은 기존 금융거래방법을 남용하는 것이 대부분을 차지하고 있다. 최근 일본에서 발생된 사례를 보면 기업을 위해서 가공의 예금증서를 발행하여 주면 거래기업체는 그것을 담보로 제시하여 비은행권으로부터 대규모의 자금을 대출받는 수법과 가공의 전표를 발행해서 양도성예금증서를 구입하는 가공의 매매계약을 체결하여 거액의 자금을 인출하는 수법과 손해보험계약과 계약자 대출제도를 악용하여 거액의 자금을 대출하는 수법이 있다.²³⁾

금융기관 종사자의 개인적 범죄사건의 특징으로는 첫째 범행주체가 일반 직원뿐만 아니라 과장, 부장, 지점장까지 다양하다. 그들은 자신들이 가진 지위와 권한을 충분히 이용하였다. 둘째 부정대출한 기업체들은 정상적인 규정에 따르면 자금대출이 불가능한 상황이라 할 수 있다. 셋째 거래방법을 교묘하게 악용하기 때문에 거액의 손실이 드러날 때까지 사건이 발각되지 않는다. 넷째 사문서를 위조하는 수법이 특징이다. 다섯째 금융범죄 특유의 부정대출관련 범죄와 은행법위반 등의 죄를 제외하고는 사기, 배임, 횡령, 문서위조죄 등 전통적인 실질범의 형태로 나타난다.

사 례		금융기관의 종사자에 의한 개인적 범죄
	‧은행에서 출납업무를 담당하던 은행원이 예금해약청구서를 위조하는 수법으로 2000년 1월부터 9월까지 Y건설사의 예금 8억6천만원을 횡령하는 등 고객예금 11억여원을 빼내 경마 등에 유용하여 횡령 및 사기죄로 구속되었다. ‧은행원이 만기가 수개월 남은 고객의 도장을 만든 후 허위예금 해지계약서를 작성하여 고객돈 7천만원을 빼내는 수법으로 고객8명의 예금 3억6천여만원을 횡력하고, 고객이 낸 면허세와 취득세 등 2억6백여만원을 행정관청에 송금하지 않고 출금신청서를 허위로 작성하여 착복하여 외국으로 도피하였다.

2 금융기관업무와 관련된 범죄

금융기관의 대외업무를 담당하는 자가 예금으로서 수금한 것을 예금수납의 내부절차를 거치지 않고 소비한 경우, 예금체결권한을 가지고 있는 경우에는 수금시점에서 예금계약이 성립되어 금융기관에 대한 업무상횡령죄가 성립되며, 수령권한은 있지만 예금체결 권한은 없는 경우 예컨대 시장상인들로부터 받은 그 날의 예금들을 은행으로 돌아가서 절차를 밟은 다음 다음날 그 전날의 예금관계에 대한 증서와 통장을 준다고 보관증을 발행해 준 경우 아직 예금계약은 성립하지 않았다고 보는 견해도 있다.²⁴⁾ 이 견해에 의할 경우 대외업무담당자에 대해서는 고객에 대한 사기죄 또는 단순횡령죄가 성립되지만 담당자가 비록 예금체결권한이 없다고 하더라도 예금체결권한의 유무는 금융기관의 내부권한에 따른 절차이며 고객과 금융기관 사이에는 수금을 함으로써 이미 예금계약이 성립되었다고 보는 것이 타당하므로 금융기관에 대한 업무상횡령죄로 보는 것이 타당하다고 생각된다.

사 례		금융기관업무와 관련된 범죄
	모은행 지점에 근무하는 은행원은 외국A사가 국내B사로부터의 수입대금으로 은행에 송금한 76만8천달러(약9억8천만원)를 B사 계좌에 입금하지 않고 중간에 가로채 다음날 홍콩으로 도피했다.

3 가공입금처리와 관련된 범죄

금융기관 종사자가 자기가 영득․소비할 목적으로 제3자 또는 가공인 명의의 구좌에 입금처리 한 경우와 제3자의 부탁을 받고 대출금의 변제가 없었음에도 불구하고 변제가 있었다는 취지의 가공입금기장을 하거나 저당권 등의 담보를 해제한 경우와 제3자의 부탁을 받고 가공의 수출관련 환어음을 매입하여 제3자의 구좌에 할인금의 입금기장을 한 경우는 컴퓨터 등 정보처리장치에 허위의 정보 또는 부정한 명령을 입력, 권한 없이 정보를 입력하거나 그밖에 권한 없는 변경을 가하여 정보처리를 하게 함으로써 재산상의 이익을 취득하게 하거나 제3자로 하여금 취득하게 한 행위로서 컴퓨터 등 사용사기죄(형법 제347조의 2)에 해당된다.

제3자의 부탁을 받고 입금이 없음에도 불구하고 고객에게 정기예금증서를 작성하여 교부하거나 이 증서를 담보로 대출을 해주거나 질권설정승낙서를 작성하여 고객이 제3자에게 담보로 제공한 경우에는 허위의 정보를 입력하여 재산상의 이익을 얻은 행위 또는 얻게 한 행위로서 컴퓨터 등 사용사기죄가 성립된다.

그러나 정기예금증서를 작성하여 교부함에 불과한 경우에는 금융기관 종사자에게 예금계약체결권한과 정기예금증서와 질권설정 승낙서의 작성권한이 있는 없는 경우에는 사문서위조, 동행사죄와 사기죄가 성립되며, 이러한 권한이 있는 경우에는 배임죄가 성립된다.²⁵⁾

IV. 은행․비은행 범죄에 대한 대응방안

1. 법적․제도적 대응방안

(1) 서 언

금융사고 방지를 위한 제도적 보완장치로 생각할 수 있는 것으로는 첫째 자율통제시스템의 강화를 들 수 있으며, 둘째 감독기관의 사전, 사후관리감독을 대폭 강화하는 방안이 있으며, 셋째 금융기관의 상태에 대한 확인절차를 공개적이고 쉽게 마련함으로써 일반국민들이 우량금융기관과 불량금융기관을 적절하게 구별할 수 있도록 해야 한다. 동일한 취지로 금융사고방지를 위한 다양한 법률안에 대하여 면밀히 검토하여 적절한 입법대책과 제도적 대응방안을 마련하여 이에 대비해야 한다.

(2) 제도적 대응방안

1 서 언

금융감독원은 금융기관의 금융사고방지와 건전 경영을 제고시키기 위하여 은행의 경영실태평가제도를 증권․보험과 마찬가지로 비은행권으로도 확대 시행하여 왔으며 신자산분류제도(FLC), 채권시가평가제, 준법감시인 및 감사위원회 등 국제적 적합성을 갖춘 새로운 제도를 도입․시행함으로써 금융기관의 체질을 강화하고 경영의 투명성을 높이도록 하고 있다. 또한 부실에 책임있는 금융기관 임직원에 대해 엄정한 제재조치를 취하고 금융기관에 대한 상시감시강화, 경영지도 위주의 검사운영 등으로 금융기관의 건전 경영을 높이도록 하고 있다.

2 내부통제시스템의 강화

최근 횡령, 주가조작 등 금융사고가 내부통제시스템의 소홀에 따른 것이어서 내부통제시스템의 강화가 요청된다. 각 금융회사들의 자체 내부통제시스템에 대한 점검 및 보완작업을 하도록 하여 금융감독원에서 이를 점검하여 내부통제시스템이 미흡한 금융사에 대해서는 관련 임직원을 엄중하게 문책하는 것이 효과적이다. 특히 거액의 금융사고가 경영진의 내부통제시스템 이행의 소홀로 밝혀진 경우 관련 임직원에 대해서 엄중하게 경고 등 상응한 책임을 묻고 금융사고를 낸 사람과 관련자에 대해서는 반드시 형사고발하도록 하여야 한다. 지금까지는 사고책임이 대부분 사고발생자나 감독자에게만 지워졌고 내부무마를 통해 사고금액이 회수되면 형사처벌을 받지 않는 경우가 적지 않았다. 또한 사이버트레이딩 인터넷뱅킹 등 사이버거래와 관련 해킹 방지대책 등 보안안전대책을 마련해야 한다.

이러한 자율통제시스템으로 인하여 주식투자실패나 과다한 부채를 지닌 금융기관 종사자와 관련된 정보를 무기명으로 신고하게 하며, 현금취급 종사자가 신용카드결제액이 과도한 경우 중점관리대상으로 해야 하며, 대출심사와 지급업무를 각각 다른 결제라인으로 이루어지도록 하여 부당대출의 여지를 없애는 것도 방안이 될 것이며, 사고예방차원에서 내부인사가 아닌 외부인사를 중심으로 준법감시인을 각 금융기관에서 두는 것이 타당하다. 또한 직원 채용시 사고관련 징계사실 여부에 대한 확인서를 받아 채용관련 내규내용을 준수하도록 하여, 사고경력자가 금융사고 사실을 은폐하고 타 금융기관에 부당하게 재취업하는 사례가 없도록 하여야 한다.

최근 씨티은행, ABN암로, 도이치방크, HSBC 등 세계 유수의 은행들이 2000년부터 공동운영하고 있는 부정자금 차단시스템(anti-money launder- ing guideline)은 금융사고 예방을 위한 대표적인 시스템이라 할 수 있다. 이는 돈세탁 방지목적인 것 같지만 실제로는 내부직원에 의한 금융사고를 예방하는 기능도 함께 가지고 있다. 이 시스템의 특징은 모든 입출금 거래를 정밀모니터해서 의심스러운 금융거래(혐의 거래)를 미리 적발하여 사고로 이어지는 것을 방지하는 것이다. 특히 금융회사 직원의 지연, 학연, 혈연관계를 미리 파악하여 전산망에 입력해 둠으로써 금융회사 직원과 외부 사람과의 비정상적 거래를 포착할 수 있는 기능을 갖추고 있다. 이 시스템에 의해 비정상 거래로 포착되면 해당직원에 대한 모니터링 강화와 거래 중지, 사법당국고발 등의 조치를 단계별로 취하면 된다.²⁶⁾

3 내부고발제의 도입방안

전 금융기관에 내부고발제를 도입하여 제보자에 대해서는 포상금을 주는 방안을 강화해야 한다. 최근 금융감독원의 사고예방대책에 따르면 금융감독원은 금융회사와 금감원에 금융사고 제보접수센터를 운영하고 제보자에 대해서는 비밀보호 및 필요시 포상제도를 도입하는 방안을 각 금융회사에 시달하였다.

(3) 법적 대응방안

금융사고를 낸 금융회사에 대한 제재를 보다 강화하는 법안을 만들어 금융기관 자체의 금융사고 방지에 노력하도록 해야 한다. 예를 들면 불법대출이 3회 정도 적발되면 곧 바로 영업정지 되도록 법개정 작업이 되어야 한다.

2. 행정적 대응방안

(1) 감독기관의 사전․사후 관리감독 강화

먼저 금융기관 자체 감사부서를 통하여 모든 영업점에 대한 무기한 불시점검을 실시하는 한편 금융감독원도 금융기관 자체 점검실태 및 내부통제시스템 운영실태를 점검하고 금융기관의 내부통제시스템의 보완을 지시하는 등 사전․사후 관리감독을 강화해야 한다. 또한 사고가 빈발하는 금융회사는 금감원과 양해각서(MOU)를 체결해 경영활동을 강제하는 방안도 검토중인데 이를 도입해야 할 것이다.

또한 민원처리과정에서의 비리를 막기 위해 별도 창구를 만들어 금감원 임직원과 민원인과의 직접 접촉을 최소화하고, 전자금융거래 안전대책 기준을 마련해서 고객정보의 불법유출을 막아야 한다. 2001년에 처음 도입한 파견감독관제도가 그 동안 금융사고 예방에 많은 성과를 거두었다고 평가되었다. 그러나 인력 등의 부족으로 파견감독관의 파견기간의 축소와 인원의 감축으로 그 실효성이 약화되어 가므로 파견감독관제를 더욱 강화하는 방안을 세워야 할 것이다.

거액금융사고가 많은 금고의 경우 출자자 불법대출이 자기자본의 100%가 넘으면 영업정지 조치처분을 내리던 것을 액수에 관계없이 불법대출이 3회 적발되면 곧바로 영업정지 되도록 법이 개정되어야 할 것이다.

(2) 비은행금융권과 금융기관의 유착방지

최근 발생하고 있는 비은행권의 금융사고를 미연에 방지하기 위해서는 비은행 금융기관과 감독기관의 유착방지가 이루어 져야 할 것이며, 비은행금융기관에 대한 사후적 금융기관의 실효성이 제고되어야 할 것이고, 원화영업과 외화영업의 유기적 연계 등이 이루어 져야 한다.

3. 기타 대응방안

(1) 금융기관 종사자에 대한 교육강화

금융사고의 약 70%정도가 고객예금의 횡령, 유용이므로 이는 금융기관 종사자의 도덕적 해이가 심각하다는 것을 보여준 것이다. 특히 IMF환란 이후 금융기관의 구조조정으로 인한 금융기관 종사자들의 심리적 불안감해소를 위한 예방대책을 세워야 한다. 이를 위해 조속한 구조조정의 완료와 종사자들 상호간의 갈등과 불신을 해소하기 위해 노력해야 한다. 특히 은행간 합병으로 인한 시스템 혼란으로 인한 사고대책을 철저히 세워야 한다. 이를 위해서 금융기관 종사자에 대한 업무교육 뿐만 아니라 도덕적․법적교육을 강화하여야 할 것이다.

금융기관 종사자를 채용할 때 사고관련 징계사실 여부에 대한 확인서와 금융감독원에 금융사고경력조회를 의무화하는 방안을 마련하여 금융사고를 범하고 타 금융기관에 부당하게 재취업하는 사례를 방지해야 한다.

(2) 금융사고 대비를 위한 보험가입권유

금융사고액 대비 손실금액인 손실비율은 2000년에는 기업은행이 95.5% (165억 2천4백만원 사고에 157억8천800만원 손실)로 가장 높게 나타났고, 한빛은행은 47.5%의 손실비율을 보였다. 19개 은행만 볼 때 2000년에는 158건에 2천736억6천600만원 사고에 손실금액은 1천46억5천900만원으로 38.2%의 손실비율을 보였다. 이러한 금융사고는 여러 가지 원인이 있지만 외환위기 이후 금융권 내부의 감시시스템이 작동하지 않는 탓도 있었으나 금융기관 종사자들의 불안감과 한탕주의의 결과와 무관하지는 않다.

금융사고는 금융기관 자체의 부실을 초래하므로 이를 막기 위해 국가가 공적자금을 투입하여 대외신용도나 국민들의 예금 등을 보호하기도 한다. 그러나 공적자금의 투입은 결국 국민부담이 되는 결과가 된다. 이러한 국민부담을 경감하기 위하여 사고를 낸 임직원이 손실을 보전하도록 금융기관으로 하여금 종합보험과 임직원 배상책임보험을 의무화하도록 하는 것이 필요하다.

(3) 보안활동 강화

금융기관에 대한 내부통제시스템의 보완과 함께 외부 보안시스템의 강화도 또한 강조된다. 특히 금융전산시스템의 보안, 업무제휴, 아웃소싱에 따른 금융사고 대비책마련, 폐쇄회로(CCTV) 및 현금수송장비의 작동실태와 사고개연성이 높은 직무에 대한 내부 및 보안활동이 강조된다.

V. 결 론

은행․비은행범죄는 금융범죄라는 넓은 범위 중에서 은행․비은행과 관련된 범죄를 말한다. 즉 금융부정과 관련된 범죄 및 은행․비은행의 임직원에 의한 직무와 관련된 범죄로 정의할 수 있다. 여기서 금융부정이란 예금 또는 자금획득의 방식이 은행법 등의 금융관계법령에 위반되는 것과 대부와 관련된 대부업의 등록 및 금융이용자보호에 관한 법률위반죄와 자금대출과 관련된 형법상의 범죄와 기타 법률위반을 말한다.

은행․비은행 범죄의 유형별 고찰을 위해서 여러 가지 방법론이 있을 수 있으나 불건전 금융거래와 관련된 은행․비은행범죄, 금융사고와 관련된 은행․비은행범죄, 위법부당행위와 관련된 은행․비은행범죄로 크게 나누어 살펴 보았다.

은행․비은행범죄와 관련된 처벌법규로서 일반법으로서 형법과 상법을 들 수 있으며, 기타 은행법, 금융실명거래 및 비밀보장에관한 법률, 한국은행법 등을 들 수 있다.

금융기관에 대한 감독제도 중 은행과 비은행 감독은 검사업무가 그 중심이 된다. 검사업무는 검사계획수립, 검사사전준비, 검사실시, 검가결과보고, 검사사후관리 순으로 진행되며, 검사운영방식으로는 종합검사와 부문검사로 나누어 실시하며, 검사실시방법으로는 현장검사와 서면검사가 있다.

금융사고 방지를 위한 제도적 보완장치로 생각할 수 있는 것으로는 첫째 자율통제시스템의 강화를 들 수 있으며, 둘째 감독기관의 사전, 사후관리감독을 대폭 강화하는 방안이 있으며, 셋째 금융기관의 상태에 대한 확인절차를 공개적이고 쉽게 마련함으로써 일반국민들이 우량금융기관과 불량금융기관을 적절하게 구별할 수 있도록 해야 한다.

금융사고의 약 70%정도가 고객예금의 횡령, 유용이므로 이는 금융기관 종사자의 도덕적 해이가 심각하다는 것을 보여준 것이다. 특히 IMF환란 이후 금융기관의 구조조정으로 인한 금융기관 종사자들의 심리적 불안감해소를 위한 예방대책을 세워야 한다. 이를 위해 조속한 구조조정의 완료와 종사자들 상호간의 갈등과 불신을 해소하기 위해 노력해야 한다. 특히 은행간 합병으로 인한 시스템 혼란으로 인한 사고대책을 철저히 세워야 한다. 이를 위해서 금융기관 종사자에 대한 업무교육 뿐만 아니라 도덕적․법적 교육을 강화하여야 할 것이다.

출처!!http://cafe.naver.com/gaury.cafe?iframe_url=/ArticleRead.nhn%3Farticleid=8253

+ 1.

[해킹 기법과 대응] ① 서비스 거부 공격

생활의 모든 부분에서 인터넷을 이용하고 있으며, 모든 것이 빠른 속도로 변해 가고 있다. 이런 점을 이용하여 인터넷을 통한 공격도 다양해져서 사용자들이 곤란에 빠지기도 한다. 그런데 이 기법이 나날이 고도로 지능화 되고, 순식간에 전 세계로 퍼질 수 있으므로, 각 기업 보안담당자들은 이런 현상에 대해 정확히 대비할 수 있는 지식을 갖추는데 좀 더 많은 노력을 기울여야 할 필요가 있다.

앞으로 약 6회에 걸쳐, 가장 일반적이며 이슈가 되고 있는 해킹 기법과 대응방법에 대해 알아보도록 하자.

1. 서비스 거부 공격(Denial of Service Attack)

차를 몰아본 경험이 없는 사람이라 하여도, 출퇴근길 뿐만 아니라 시도 때도 없이 막히는 서울의 교통체증은 누구나 다 아는 이야기이다. 이러한 체증의 원인 중에 하나가 병목현상이란 단어로 설명될 수 있는데, 이 현상은 쉴새 없이 수많은 정보들을 전세계로 이어 주고 있는 인터넷이란 교통구간에서도 동일하게 적용되고 있다.

최근 1.25 대란 사태에도 인터넷의 주소지 역할을 하는 DNS(Domain Name Server)가 처리할 수 있는 용량을 크게 넘는 요청이 쇄도하여 서비스가 중지됨으로써 하루동안 인터넷을 사용하지 못하는 대형사고가 발생하였던 경험을 가지고 있다. 다행이 업무시간을 피해 주말에 일어난 사고라 개개인들이 직접 피부로 느끼지는 못하였지만 일부 중요 서비스의 중단만으로도 사회 곳곳에서 많은 불편을 겪어야만 했다.

서비스 거부 공격이라 함은, 시스템의 정상적인 서비스를 방해할 목적으로 대량의 데이터를 보내 대상 네트워크나 시스템의 성능을 급격히 저하시켜 대상 시스템에서 제공하는 서비스들을 사용하지 못하게 하는 공격으로 해킹 수법중의 가장 일반적인 방법이다.

인터넷 사용자가 많지 않았던 초기의 서비스 거부 공격은 단일 시스템이나 서비스를 목표로 하는 공격자에 대한 피해자의 1:1 유형이 주류를 이루고 있었다. 그러나 최근에는 분산 서비스 거부공격이란 이름으로 N개의 불특정 시스템이 단일 네트워크를 대상으로 공격을 시도하는 N:1 유형이 주류를 이루고 있다.

이러한 공격은 사전에 공격을 받아 감염된 불특정 다수의 시스템으로부터 동시에 공격이 시도됨으로써 그 피해는 단일 시스템 뿐만 아니라 전체 네트워크까지 마비시킬 수 있는 파괴력을 가지고 있다. N:1 유형의 공격방법은 수작업으로는 많은 시간이 소요되기 때문에 주로 웜(Worm)

과 같은 자동화된 공격도구가 사용되는 경우가 많다. 따라서 공격도구의 특성을 제대로 파악하면 이에 대한 대응방법도 마련될 수 있기 때문에 이러한 연구활동도 전세계적으로 활발하게 진행되고 있다.

기술적인 대응방법뿐만 아니라 가장 중요한 것은 사전에 증후 발견이다. 이러한 공격은 대규모 네트워크를 이용하기 때문에 비정상적인 네트워크 흐름을 유발하여 초기에 이상징후를 탐지한다면 이에 대한 빠른 대응이 가능하게 된다.

[해킹 기법과 대응] ② 버퍼 오버플로우(Buffer overflow)

보안에 관심 있는 사람이라면 버퍼 오버플로우란 용어가 낯설지 않을 것이며, 그 중 적극적인 관리자라면 인터넷에 널려있는 다양한 버퍼 오버플로우 exploit(공격코드)을 다운로드 받아서 테스트도 해 봤을 것이다. 그 결과는 어떠했나? Exploit 코드가 지시하는 컴파일 옵션과 대상 서버가 적절했다면 손쉽게 root 권한을 획득했을 것이다. 물론 공격에 성공했다고 버퍼 오버플로우에 대해서 모든 것을 안다고 자신 있게 말할 수 있는 사람은 그리 많지 않을 것이다.

본 문서에서 버퍼 오버플로우의 A~Z까지를 설명할 필요는 없을 것이며(이미 뛰어난 문서들이 발표되어 있기 때문에) 버퍼 오버플로우의 개념 이해를 목적으로 설명하겠다.

버퍼 오버플로우란?

말 그대로 버퍼를 넘치게(overflow) 하는 것을 의미하며, 풀어서 설명하면 메모리에 할당된 버퍼의 양을 초과하는 데이터를 입력하여 프로그램의 복귀 주소(return address)를 조작, 궁극적으로 해커가 원하는 코드를 실행하는 것이다. 여기에서 버퍼(buffer)란 프로그램 처리 과정에 필요한 데이터가 일시적으로 저장되는 공간으로 메모리의 스택(stack) 영역과 힙(heap) 영역이 여기에 속하며, 버퍼 오버플로우가 이 두 가지 영역 중 어떤 것을 이용하느냐에 따라서 두 가지로 분류할 수 있다. 본 문서에서는 그 개념이 잘 알려져 있고 스택 기반의 버퍼 오버플로우에 초점을 맞춰서 설명하겠다. 이처럼 버퍼 오버플로우의 개념을 이해하기 위해서는 프로그래밍에 대한 기초 지식이 필요하며 이로 인하여 고급 해킹 기법으로 분류되고 있다.

버퍼 오버플로우의 역사

버퍼 오버플로우는 해킹 기법이 아닌 단순한 프로그램상의 문제로 처음 소개되었는데 1973년경 C언어의 데이터 무결성 문제로 그 개념이 처음 알려졌다.
이후 1988년 모리스웜(Morris Worm)이 fingerd 버퍼 오버플로우를 이용했다는 것이 알려지면서 이 문제의 심각성이 인식되기 시작했으며, 1997년에는 온라인 보안잡지로 유명한 Phrack(7권 49호)에 Aleph One이 Smashing The Stack For Fun And Profit란 문서를 게재하면서 보다 널리 알려지게 됐다. 이 문서는 다양한 버퍼 오버플로우 공격을 유행시키는 계기가 됐으며 현재까지 해커 지망생들의 필독 문서로 자리잡아 오고 있다. 이후 버퍼 오버플로우는 SANS(www.sans.org)

에서 매년 발표하는 TOP20 공격기법 가운데 상당수를 차지하면서 해커들의 꾸준한 사랑을 받아오고 있다.

버퍼 오버플로우는 어떻게 이루어지는가?

버퍼 오버플로우의 정확한 동작원리를 이해하기 위해서는 프로그램에 의해 데이터가 어떻게 저장되는가를 우선 이해해야 한다. 하나의 프로그램은 수많은 서브 루틴들로 구성되는데 이런 서브 루틴이 프로그램에 의해 호출될 때, 함수 변수와 서브 루틴의 복귀 주소(return address) 포인터를 스택(stack)이라는 논리적 데이터 구조에 저장하게 된다. 스택은 실행중인 프로그램이 필요로 하는 정보를 저장하는 메모리 영역이다. 서브 루틴이 종료될 때 운영체제는 그것을 호출한 프로그램에 제어권을 반환해야 하기 때문에, 복귀 포인터를 통해서 프로그램이 서브 루틴의 실행을 마치고 나서 되돌아갈 주소를 가리키게 된다.

버퍼는 할당된 메모리 공간의 높은 주소에서 낮은 주소로 채워지며, 스택 영역에 마지막으로 들어가 데이터가 제일 먼저 빠져 나오는 LIFO(Last in, First out) 특정을 가지고 있다. 이런 LIFO 특성에 의해 가장 먼저 들어가 것(복귀 포인터)이 스택에서 가장 나중에 제거된다는 것을 기억해야 한다. 서브 루틴이 실행을 마치면 가장 나중에 행해지는 것은 복귀 포인터를 스택에서 제거하여 서브 루틴을 호출한 함수로 반환하는 것인데, 만약 이 포인터가 사용되지 않는다면 서브 루틴이 실행을 마쳤을 때 프로그램은 더 이상 어디로 진행해야 할지를 알 수 없을 것이다.

포인터(pointer)는 메모리의 위치를 저장하는 변수이다. 프로그램 실행을 위한 목적으로 다른 코드로 이동할 때 어디에서 떠났는지를 기억하기 위해 포인터를 사용해야 하며, 만약 포인터를 사용하지 않는다면 서브 루틴의 실행이 끝나고 어디로 돌아와야 할지를 알 수 없을 것이다.

이제 스택을 조작하게 되면 어떤 일이 일어나는지를 살펴 보겠다. 프로그램이 변수의 할당된 공간에 저장될 데이터의 크기를 검사하지 않고 크기에 제한을 두지 않는다면, 변수 공간은 넘치게 될 것이다. 즉, 버퍼에 오버플로우가 발생하면 저장된 데이터는 인접한 변수 영역도 침범할 것이며 결국에는 포인터 영역까지 침범하게 될 것이다. 해커는 이러한 데이터의 길이와 내용을 적절히 조정함으로써 버퍼 오버플로우를 일으키고 운영체제의 스택을 붕괴시켜 특정 코드가 실행되도록 한다. 해커가 보낸 데이터는 대개의 경우 특정 시스템에서 실행될 수 있는 기계어 코드와 복귀 포인터에 저장될 새로운 주소로 구성되어 있으며, 복귀 포인터에 저장될 새로운 주소는 다시 메모리의 스택 영역을 가리켜서 프로그램이 서브 루틴에서 반환될 때 해커가 작성한 명령어를 실행하게 되는 것이다.

이때 고려해야 할 것은 공격 대상이 되는 프로그램이 무엇이든 간에 해커가 공격 코드는 프로그램이 실행되고 있는 권한으로 실행될 것이라는 점이다. 따라서 해커는 공격을 성공시켰을 경우에 시스템에 대한 최상위 권한을 얻기 위해, root 또는 administrator 권한으로 실행 중인 프로그램을 공격 대상으로 삼을 것이다.

이론상으로는 매우 직관적인 것 같지만 실제로 이 공격을 실행하는 것은 간단한 작업이 아니다. 하지만 이런 과정이 어떻게 이뤄지는지 제대로 이해하지 못 하는 스크립트 키디(script kiddie)

도 쉽게 공개된 공격 코드를 이용하여 버퍼 오버플로우 공격을 시도할 수 있으니 보안 관리자들에게 보다 많은 업무를 주는 상황이라고 할 수 있다.

버퍼 오버플로우 취약성이 많은 이유는?

많은 프로그램이 취약성을 갖는 중요한 이유는 오류 검사를 제대로 수행하지 않기 때문이다. 오류 검사를 수행하지 않는 큰 이유 중의 하나는 개발자가 근거 없는 특수한 가정을 하기 때문이며, 정상적인 환경에서 변수에 할당된 메모리의 크기가 충분하다고 과신하는 것도 문제가 된다. 취약한 프로그램일지라도 사용자들이 올바르게 사용하여 발표된 지 수 년이 지나도 아무런 문제 없이 동작해온 경우도 있다. 그러던 중 누군가가 갑자기 만일 프로그램에 원래와 다른 종류의 정보를 넣으면 어떤 일이 생길까?, 프로그램에 기대되는 크기보다 더 많은 데이터를 넣으면 어떤 일이 일어날까?하는 식의 궁금증을 갖게 되었고 오류 검사를 수행하지 않는 프로그램들은 그런 궁금증의 실험대상이 되어 해킹의 목표가 되고 있다.

이 글을 마무리하며

버퍼 오버플로우 공격은 취약한 프로그램을 대상으로 공격자가 원하는 코드를 실행시킬 수 있다는 측면에서 매우 위험하며, 그 결과로 얻는 피해 범위는 시스템을 중지시키는 것에서부터 관리자 권한을 얻는 것까지 다양하다.
보안 관리자는 버퍼 오버플로우가 어떻게 동작하는지 이해하고, 평상시에 벤더에서 제공하는 소프트웨어 관련 패치 적용, 최소 권한으로의 프로그램 실행, 불필요한 서비스 제거, 침입차단시스템을 통한 유해 트래픽 차단을 통해 공격 피해 가능성을 최소화해야 한다.
오늘 아무런 문제가 없었다 하더라고 내일 역시 안전할 것이라는 맹신을 버려야 한다. 지금 이 시간에도 지구 저편에서는 열심히 공격코드를 테스트하는 누군가가 있을 테니까….

이를 위하여 기본적인 보안솔루션을 구축하는 것은 물론, 적절한 관리와 운영이 병행해야 할 것이다. 또는 전세계적인 망을 가지고 있는 침해 사고 대응팀, 혹은 보안서비스 전문업체와 긴밀한 관계를 유지하여 기업보안 대책을 지속적으로 업데이트 시켜 주는 것이 무엇 보다 중요하다 하겠다.

[해킹기법과 대응] ③ 웹 애플리케이션 해킹 (Web Application Hacking) 1

최근까지 주류를 이루던 해킹은 운영체제나 프로토콜 설계상의 버그, 또는 개발자들의 본래 의도와는 다르게 보안상 심각한 결과가 초래될 있는 취약성들을 이용한 기법들이 대부분이었다. 전문 해커들에 의해 익스플로잇(해킹 코드)이 발표될 때 까지는 해킹 지식이 적은 사람(Script Kiddy)들에 의해 무분별하게 악용될 가능성은 적었지만 일단 발표가 되고 나면 쉽게 악용되어 취약한 시스템을 운영하는 기업이나 기관에 많은 악영향을 미쳐왔다. 그러나 이러한 취약성들은 패치를 적용하고 구성 설정을 변경하거나 외부로부터의 접근을 적절히 통제할 수 있는 보안 솔루션(라우터, 방화벽 등)

에 의해 비교적 쉽게 해결이 가능했다.

최근 해킹의 화두는 웹 애플리케이션의 취약성을 이용하는 것이다. 그러한 이유를 위에서 언급된 내용을 토대로 말하자면 요즘 대부분의 기업이나 기관들은 시스템의 패치나 구성설정 변경을 제대로 하고 있지 못하더라도 접근 통제 솔루션을 하나 이상은 갖추고 있어서 외부로부터 유입되는 부적절한 접근으로부터 내부의 시스템을 보호할 수 있는 장치를 마련하고 있다. 그러나 이러한 솔루션이 갖추어져 있더라도 필수 불가결하게 서비스해야 하는 것이 바로 웹 서비스이다. 접근 통제 솔루션은 웹 서비스로 접근하는 패킷을 통제하지 않고 내부로 유입시키기 때문에 만약 통과되는 패킷에 악의적으로 패킷을 조작해서 보낸다면 정상 패킷으로 간주하여 적절한 통제를 하지 못하게 된다.

전 쓸데없이 붙여서 하는 사람들은 왜 그런짓을 하는지 모르겟네요..

 

전 짧고 굵게 쓰겟어여

 

자바 재설치하세요.