인터넷뱅킹 해킹 "혹시 내 정보도?'

이용자 금융정보 관리 '비상'...은행 보안프로그램 신뢰는 '금물'

최근 하나은행을 비롯해 중국發(IP) 해킹으로 추정되는 인터넷뱅킹 부정 계좌이체사고 피해 사례들이 속속 드러나면서 인터넷 뱅킹 이용자들이 크게 불안해하고 있다.

특히 최근 일련의 사태와 같이 범죄자들이 대부분 중국발 IP로 뱅킹시스템에 접속했다는 점과 최종 이용자 신원확인수단인 '보안카드'마저 무력화시키고 있다는 점에서 치밀한 조직범죄가 시작된 것 아니냐는 진단도 조심스럽게 내놓고 있다.

당분간 인터넷뱅킹 이용자들이 보다 철저한 주의를 기울여야하는 이유다.

◇인터넷뱅킹 보안 믿을 수 있나

현재 수사가 진행중이긴 하지만, 정황상 최근 일련의 계좌이체 사고는 시중은행 인터넷뱅킹 서버를 노리긴 보단 이용자 금융정보를 해킹한 뒤 이를 통한 부정 계좌이체 가능성에 무게가 실리고 있다.

인터넷뱅킹 프로그램을 통해 누군가의 계좌로 돈을 이체하기 위해선 계좌번호, 계좌비밀번호, 공인인증서, 인증서비밀번호, 보안카드 등 총 5개의 정보를 알아야한다.

여기에 더해 시중은행들은 거래과정에서 입력되는 고객정보 유출방지를 위해 인터넷뱅킹 프로그램 실행시 자동 실행되는 키보드 보안프로그램과 백신 프로그램 등을 우회해야한다.


하지만 현재로선 1차 보호막인 이용자 보안프로그램들이 결코 안전하지 못하다는 게 전문가들의 설명이다. 한 보안전문가는 "쉬운 방법은 아니지만, 키보드 보안제품을 우회해 계좌번호, 계좌비밀번호, 공인인증서, 인증서비밀번호 등의 정보를 빼내는 것은 얼마든지 가능하다"고 지적했다.

만약 이용자들이 공인인증서, 인증서 비밀번호 등의 정보들을 그대로 PC 하드디스크나 포털 웹메일 등에 저장해 놓은 경우라면 더욱 쉬워진다. 악성코드를 통해서 외부에서 해커가 얼마든지 가로챌 수 있기 때문이다.

그러나 그럼에도 불구하고 인터넷뱅킹 해킹이 현실적으로 어려운 것은 이용자들이 오프라인으로 소지하는 '보안카드' 때문이다.

보안카드는 인터넷뱅킹 보안의 마지막 보루다. 실제 시중은행들이 사용하는 보안카드 번호를 알아내기 위해서는 대략 1100여가지의 경우의 수를 파악해야만 한다. 이 또한 몇차례 대입값이 틀렸을 경우, 재발급 받아야 한다는 점에서 임의적으로 숫자를 대입해보기도 사실상 불가능하다.

설령, PC 내부에 악성코드를 숨겨놓았다하더라도 하루에도 수십여번의 인터넷뱅킹 거래를 하는 이용자가 아니라면 번호를 쉽게 알아내긴 쉽지 않다는 것이 금융권 보안담당자들의 설명이다.

하지만 이용자들이 스스로의 편의를 위해 PC나 웹메일 등에 아예 보안카드 번호를 통째로 올린 경우라면 상황이 다르다.

실제 몇해 전에도 자신의 웹메일에 공인인증서와 보안카드 번호조합을 올려놓았다가 금융 피해를 당한 사례가 발생한 바 있다. 자신의 PC가 악성코드에 감염돼 있을 경우, 포털 웹메일 접속에 필요한 로그인 정보 등을 쉽게 유출될 수 있다.

물론 시중은행들의 인터넷뱅킹시스템 또한 100% 안전하지 않다. 고도의 해킹을 통해 시중은행의 보안카드 번호 인증시스템을 우회했을 가능성도 없진 않다.

또한 아직까지 발견되지 않은 인터넷뱅킹 프로그램의 '취약점'을 이용했을 수도 있다는 것이 전문가들의 조심스런 견해다.

특히 최근 일련의 사고들이 시중은행들이 인터넷뱅킹 과정에 자동실행되는 키보드보안과 백신 프로그램들을 우회했다는 점에서 책임에서 자유로울 수 없다.

현재 일련의 사고들에 대한 경찰조사가 마무리될 때까지는 어떠한 가능성도 배제할 수 없다는 얘기다.

◇인터넷뱅킹 보안프로그램 '신뢰'는 금물

인터넷뱅킹 해킹사고를 미연에 방지하기 위해선 무조건 금융기관의 보안시스템 안전성을 믿지말고 이용자들 스스로 세심한 주의가 필요하다.

우선 계좌번호, 계좌비밀번호, 공인인증서, 인증서비밀번호, 보안카드 번호 등을 인터넷은 물론 자신의 PC에도 올리지 않는 것이 좋다. 특히 공인인증서의 경우, PC에 저장돼 있다면 쉽게 복제될 수 있기 때문에 USB메모리 등 별도의 외장저장장치에 저장해야한다.

무엇보다 중요한 것이 '보안카드' 번호 관리다. 번호들을 통째로 웹메일이나 블로그 등 인터넷이나 자신의 PC에 올리는 것은 절대 금물이다.

특히, 악성코드가 숨겨져 상시적으로 정보유출을 시도하고 있는만큼, 인터넷뱅킹 프로그램을 사용하지 않을 때도 최신 백신엔진 등 보안 프로그램을 이용해 수시로 체크해야한다.

무엇보다 인터넷뱅킹 이용자들을 직접 노리는 조직적인 사이버 범죄가 빈번해지면서 정부차원에서 보다 면밀한 제도적 개선책이 제시돼야한다고 보안 전문가들은 입을 모으고 있다.

최근 일련의 사고사례처럼 중국발 IP나 의심스런 IP로 접속해 인터넷뱅킹을 시도할 경우, 계좌이체 전 해당 이용자에게 '거래사실' 여부를 확인하는 절차가 고객보호를 위해 마련돼야 한다는 지적이다.

또한 사이버 금융범죄에 악용되는 대포통장이나 휴면계좌에 대한 근본적인 해결책도 조속히 마련돼야 한다는 지적이다.

업계의 한 보안 전문가는 "인터넷뱅킹 거래 자체가 비대면 상황이다보니 사고가 발생하고나면 책임소재를 가리기조차 힘들다"며 "무엇보다 이용자들 자신의 금융정보가 외부로 유출되지 않도록 철저한 주의가 필요하며, 공인인증서 복제나 대포통장 등에 대한 근본적인 개선책이 필요하다"고 지적했다.