해킹 당한지 모르고 정상사이트 접속했다가 '낭패'
[뉴스핌=김선엽 기자] # A씨는 지난달 14일 오후 5시경 평소대로 검색창에 △△은행을 친 뒤 △△은행 사이트에 접속했다. 그러자 팝업창에 보안강화를 해야 한다고 해 보안카드와 공인인증서 비밀번호를 입력했다. 이후 '접속강화중'이란 팝업창과 함께 2시간 뒤 접속이 가능하다는 메시지가 나왔다.
다음 날 다시 △△은행에 접속하자 2시간 뒤 접속하라는 팝업창이 떴다. 그제서야 '아차' 싶었던 A씨는 △△은행에 전화를 하고 담당자의 안내에 따라 지급정지를 신청하고 경찰에 신고했다. 하지만 이미 돈은 빠져나간 상태였다. 잔고가 많지 않았으나 650만원 가량이 마이너스로 빠져나갔다. (파밍 사례)
# B씨는 지난 6월 23일 새벽 3시경 본인의 집에서 △△은행 홈페이지에 접속해 돈을 이체하는 과정에서 보안카드 번호 앞, 뒤 두 자리를 입력했다. 그러나 다음 단계로 진행이 되지 않아 인터넷뱅킹 화면을 종료했다. 24일 피해자의 계좌에서 430만원이 무단으로 이체됐다. (메모리해킹 사례)
인터넷뱅킹을 이용한 사기수법이 점점 고도화되고 있다. 과거에는 피해자의 실수를 이용한 보이스피싱 등이 유행했으나 요즘에는 파밍(pharming)에 더해 '메모리해킹' 수법까지 등장하고 있다.
파밍은 악성코드를 피해자 컴퓨터에 심어 사용자가 자신의 웹 브라우저에서 정확한 웹 페이지 주소를 입력해도 가짜 웹 페이지에 접속하게 만들어 개인정보를 훔치는 것이다.
파밍이 가짜 은행 서버를 만들어 고객의 접속을 유인하는 방법이라면 최근 등장한 메모리해킹은 고객이 진짜 은행서버에 접속하도록 내버려 두고 어떤 정보를 입력하는지 옆에서 들여다 보는 방식이다.
◆ 메모리해킹, 어떻게 이뤄지나
파밍이 '원래 집의 대문과 똑같게 가짜 대문을 만들어 놓고 그 쪽으로 유인해 현관 비밀번호를 입력하도록 유인하는 것'이라면 메모리해킹은 '남의 집 우편물을 뜯어서 내용을 확인하고 원래대로 다시 포장해 수신함에 넣어두는 방식'이다.
고객이 알아차리지 못하도록 기술적으로 구현하는 것이 쉽지 않지만, 해커 입장에서는 가짜 웹페이지를 만드는 수고를 할 필요가 없어 향후 피해가 늘어날 가능성이 있다.
게다가 피해자의 개인PC를 통해 계좌의 돈을 빼오는 것이기 때문에 인터넷뱅킹 전용PC를 미리 지정해도 속수무책으로 당한다.
금융감독원에 따르면 현재까지 발견된 메모리해킹 방법들은, 고객이 보안정보를 입력하면 오류메시지가 뜨면서 거래가 중단된다(실제론 인터넷이 끊기면서 해커가 비밀번호를 탈취한다). 따라서 인터넷 뱅킹 도중 보안카드 번호 입력 후, 거래가 더 이상 진행되지 않고 비정상적으로 종료되면 즉시 금융회사에 연락하라는 것이 금감원의 권고 사항이다.
하지만 해킹 기술이 발달하면 고객은 자신이 해킹당한 사실을 미쳐 깨닫지 못 할 수도 있다. 거래가 종료되지 않게 하면서도 악성코드를 통해 비밀번호를 빼 올 수 있다. 또한 백신프로그램으로 신규 악성코드를 잡아내는 것도 한계가 있다.
따라서 확인되지 않은 이메일이나 출처 불명의 파일은 열지 않는 것이 가장 바람직하다. 새로운 해킹기술이 어디까지 진화할지는 확언하기 어렵기 때문이다.
큐브피아 권석철 대표는 "해커가 악성코드를 심은 컴퓨터를 보고 있다가 사용자가 보안카드 번호를 입력하면 네트워크를 끊어 버리고 나중에 그 컴퓨터를 이용해 해커가 거래를 하기 때문에 인터넷뱅킹용 PC를 지정해도 소용이 없다"며 "방어를 할수록 해킹수법은 날로 고도화되고 지능화된다"고 말했다.
◆ 보상 가능성은…귀책정도에 따라 차이날 듯
그동안 인터넷뱅킹 사고가 발생할 경우 금융기관들은 피해자의 과실에 기인하다는 점을 강조해왔다. 은행의 서버가 직접 공격당한 경우와는 다르게 대부분의 인터넷뱅킹 사고들은 사용자의 PC가 악성코드에 감염된 것이 주된 원인이기 때문이다.
하지만 은행권의 책임을 묻는 목소리도 상당하다. 고객정보를 은행이 제대로 관리하지 못하면서 유출된 정보가 해킹사고의 발단이 될 수 있다는 지적이다.
또 다양한 스마트폰 등 다양한 인터넷뱅킹 수단이 등장함에 따라 이에 걸맞는 고객교육 강화가 필요한데 은행들이 마케팅에만 열을 올릴 뿐 적절한 보안안내를 하지 않았다는 것이다. 특히 메모리해킹의 경우, 해당은행 사이트에 접속한 상태에서 발생한 인터넷뱅킹 사고라는 점에서 은행의 관리 부실 문제가 부각될 여지가 있다.
오는 11월 시행을 앞둔 전자금융거래법 일부개정법률안은, 해킹에 대해 전자금융사업자가 이용자에게 손해를 배상하도록 하는 내용을 담고 있다. 하지만 실제 얼마의 범위까지 보상이 이뤄질지는 좀 더 지켜봐야 한다. 사용자와 은행자간 과실인정 여부가 관건이다.
금감원 관계자는 "개정 전자거래금융법에서 금융회사에 일차적인 책임을 지우고 있다"며 "다만, 소비자의 과실로 손실 부분은 상계된다"고 설명했다. 이어 "이에 각 금융회사들이 전자금융사고에 대해 보상하는 쪽으로 자체적인 보상규정을 만들고 있다"고 말했다.
[뉴스핌 Newspim] 김선엽 기자 (sunup@newspim.com)