www.hani.co.kr

기사섹션 : 사회 등록 2005.06.03(금) 19:09

인터넷뱅킹 뚫렸다


‘4중 보호막’이 모두 무용지물
은행 보안프로그램 3곳중 2곳 구멍
인증서 재발급 통보 없어 제도 허점
은행 “과실없어”피해자는 소송검토

전문 해커도 아닌 평범한 게이머 수준의 이아무개(20)씨가 ‘철벽’으로 여겨졌던 인터넷 뱅킹 장벽을 쉽게 뚫었다. 그것도 누구나 이용할 수 있는 쉬운 방식을 사용했다. 아이디와 비밀번호, 공인인증서 확인, 보안카드 번호로 쳐진 장벽도 속수무책이었다. 특히 경찰이 3개 시중은행의 보안프로그램을 작동한 채 실시한 시연에서 두 곳이 뚫려 충격을 줬다. 개인의 부주의가 아닌 보안 시스템 자체에 문제점이 있음을 보여주는 것이다.

게이머에 뚫린 ‘3중 보호막’=이씨는 지난달 초 인터넷 포털의 한 카페에 ‘재테크’라는 제목으로 글을 올리고, 이 글의 제목을 클릭하는 순간 당사자의 컴퓨터에 해킹 프로그램이 설치되도록 했다. 이씨가 설치한 해킹 프로그램은 컴퓨터 사용자의 키보드 입력 내용과 화면을 실시간으로 해커에게 중계하는 ‘키 스트로크’ 기능이 달렸다. 평소 인터넷 뱅킹을 자주 사용하던 피해자 김아무개씨의 아이디와 비밀번호, 보안카드 번호 등이 이씨의 컴퓨터로 그대로 전송됐다.

이씨는 두번째 보안망인 김씨의 공인인증서도 기발한 방식으로 넘었다. 김씨의 인증서를 폐쇄하고 자신이 인증서를 재발급받았다. 피해자의 컴퓨터에 발급된 인증서를 삭제하고, 해킹을 통해 알아낸 김씨의 주민등록번호와 계좌번호, 계좌 비밀번호를 이용해 자신의 컴퓨터로 재발급받은 것이다.

마지막 관문인 보안카드 번호는 계속적인 반복작업으로 해결했다. 인터넷 뱅킹을 할 때는 보안카드에 기재된 30여개의 보안번호 가운데 한 개를 무작위로 추출해 그중 한개를 입력해야 한다. 경찰 관계자는 “잘못된 보안카드 번호를 3번 입력하면 거래가 정지되지만 김씨는 번호를 입력하지 않은 채 로그인과 로그아웃을 반복하며 자신이 입수한 보안번호가 뜨기를 기다렸다”고 밝혔다.

문제점과 필요한 대책=인터넷 뱅킹 사용자가 전 국민의 절반 가량에 이르는데도 평범한 해커에 의해 해킹이 이뤄졌다는 사실은 은행 쪽의 보안 관리가 매우 허술하다는 것을 보여준다. 해당 은행에서는 “보안 프로그램을 사용하지 않은 사용자의 잘못”이라는 견해를 밝혔다. 그러나 피의자 이씨는 경찰 시연에서 해당 은행말고도 다른 은행 사이트에서도 보안 프로그램이 작동하고 있는 가운데 해킹이 가능함을 보여줬다. 이 프로그램이 수년 전부터 해커들 사이에서는 기본으로 통하는 것이었음을 감안하면 앞으로 모방 범죄가 가능하다는 얘기다.

공인인증서 관리와 보안카드 번호 입력 방식 등 제도적인 문제점도 있다. 금융거래 과정에서 주민등록번호와 같은 구실을 하며 금융결제원이 발행하는 공인인증서가 폐기되고 재발급되는 과정에서 본인 통보 과정 등은 전혀 없다. 또 본인이 직접 카드를 가지고 있어야만 이체를 할 수 있도록 하기 위해 도입한 보안카드 번호도 아무런 구실을 못했다. 단 한 개의 번호만 알아도 계속적인 로그인과 로그아웃을 통해 돌파할 수 있기 때문이다.

이번 사고의 책임을 둘러싼 공방도 예상된다. 피해액 5천만원 가운데 경찰이 회수한 금액은 1100만원에 불과하다. 은행 쪽은 ‘정확한 비밀번호를 입력하고 지시대로 처리하면 은행의 과실이 아닌 위조 등 사고이므로 은행은 책임지지 않는다’는 ‘전자금융거래 기본약관’ 23조를 들어 배상할 수 없다는 견해를 보이고 있다. 반면 피해자 김씨는 “앉아서 손해볼 수는 없지 않겠냐”며 소송을 검토하겠다고 말했다.

재경부 관계자는 “이용자의 중과실이 아닐 경우 인터넷 뱅킹 과정에 생긴 사고의 책임을 은행 쪽에 지우는 전자금융거래법안이 1월 제출돼 있다”며 “이달 임시국회에서 상임위원회 심사를 기다리고 있는 중이지만 은행이 금융피해 보상 부분에 대해 아직 반발하고 있어 통과할 수 있을지는 지켜봐야 한다”고 말했다.

서울경찰청 사이버범죄수사대 관계자는 “인터넷 뱅킹 해킹을 막기 위해서는 우선 인터넷 포털 등에서 무분별하게 프로그램을 내려받아서는 안 되며, 가급적 보안이 취약한 피시방 등에서 인터넷 뱅킹을 이용하지 않는 게 바람직하다”고 말했다. 한 보안업계 관계자는 “해커가 새롭고 고도로 발달된 해킹 도구를 이용하면 사용자들이 이를 막을 수 있는 길이란 거의 없다”며 “금융기관에서 제공한 방화벽 프로그램 등 모든 관련 프로그램을 작동시키고, 컴퓨터의 보안 설정 수준을 높이고, 윈도의 보안 업데이트를 철저히 하는 것은 기본”이라고 말했다.

이순혁 안선희 서수민 기자 hyuk@hani.co.kr

http://www.hani.co.kr/section-005000000/2005/06/005000000200506031909279.html



The Hankyoreh Plus copyright(c) webmaster@news.hani.co.kr