나도 모르는 사이 1억 대출이?…구멍난 '비대면 인증'

사진=게티이미지

최근 위조된 운전면허증으로 금융권에서 비대면실명인증을 뚫고 사기대출을 받은 사건이 벌어져 논란이 된 가운데 이번에는 유명 간편결제앱 토스의 부정결제 사건까지 터지면서 비대면 금융 거래의 보안허점에 대한 우려가 커지고 있다.

특히 전자서명법 개정으로 공인인증 제도가 폐지되면 각종 간편결제 중심의 신생 비대면 인증 서비스가 본격화될 전망이어서 이를 검토중인 공공·금융기관들의 고심이 깊어지고 있다. 앞으로 보안사고 발생시 수요기관의 책임이 커지기 때문이다. (머니투데이 8일 16시8분 '[단독]'위조신분증'에 뚫린 비대면금융…나도 모르게 1억 털렸다' 참조)

앞서 위조범은 공무원 A씨의 운전면허증을 위조해 알뜰폰을 개통한 뒤 영상통화를 거쳐 증권사와 인터넷은행에서 비대면으로 계좌를 개설했다. 위조범은 특히 A씨의 개인정보를 활용해 증권거래용 공인인증서를 발급받고 이를 범용으로 전환함으로써 광주은행과 한화생명으로부터 1억 1000만원의 대출까지 받아챙겼다.

공인인증서 발급, 변환 어떻게 커지는 의문

이와관련 보안전문가들은 위조범이 공인인증서와 비밀번호를 어떻게 확보했는지, 그리고 증권사용 공인인증서를 어떻게 범용공인인증서로 변환할 수 있었는지 그 과정에 의문을 표한다. 공인인증서는 대면 발급이 원칙이고 범용인증서로 바꾸는 경우에서 여러 단계의 확인절차를 필요로 해서다.

한국인터넷진흥원(KISA) 관계자는 "공인인증서를 발급받으려면 금융기관에서 대면확인이 필수적이고 재발급이나 범용인증서 전환시에도 여러 인증 단계를 거치는데 어떻게 대출사기가 가능했는 지는 수수께끼"라면서 "수사로 밝혀야할 부분이지만 애초 패스워드나 개인정보 해킹이 이뤄졌고 금융사가 비대면 방식으로 본인을 확인하고 공인인증서를 발급 처리하는 과정에서도 뭔가 헛점이 있었던 게 아닌가 싶다"고 말했다.

토스사건의 경우 간편결제의 취약점을 악용한 사례다. 토스 운영사인 비바리퍼블리카에 따르면 지난 3일 총 3곳의 온라인 가맹점을 통해 8명의 고객명의를 도용한 부정결제가 발생했다. 간편결제는 신용카드나 은행계좌 등 결제 정보를 미리 입력해두면 이후 비밀번호나 지문, 패턴인식으로 바로 결제하는 서비스이다. 사고는 전체 가맹점중 5%가 사용하는 웹결제에서 벌어졌다. 별도 지문이나 패턴인식이 필요한 앱방식과 달리 웹결제는 비밀번호와 간단한 사용자 정보만 있으면 누구나 결제가 가능하다는 점에서 토스 측이 보안취약점을 방치했다는 지적이 나온다.

사진=게이티이미지

비대면서비스 취약점 악용 각종 탈취사건 우려커져

일각에서는 공인인증 제도 폐지 이후 이처럼 간편한 인증 결제서비스가 대거 보급되면 취약점을 노린 각종 탈취사건들이 기승을 부릴 것이라는 우려가 나온다.


공인인증서의 경우 플러그인 설치를 요구하고 매년 갱신과 비밀번호 변경을 요구하는 불편한 인증기술이긴 하지만 보안성 자체만 놓고보면 타의 추종을 불허한다는 평가를 받는다. 21년간 공인인증서와 관련된 이렇다할 대규모 금융사고가 벌어지지 않은 것도 이때문이다. 공인인증서 자체가 사용자들의 보안의식을 높인 측면도 있다.

한 보안 전문가는 "대면 확인이 필수적인 공인인증서 조차 뚫릴 수 있다는 것은 그만큼 금융사기가 지능화되고 있다는 이야기"라면서 "앞으로 새로운 인증수단이 등장하면 당국이 이에대한 보안성을 면밀히 평가하는 게 새로운 인증기술 보급의 관건이될 것 같다"고 말했다.

새로운 보안인증 서비스가 보급되면 보안사고의 책임소재를 둘러싼 논란이 더욱 불거질 것이라는 시각도 있다. 현재 공인인증서 사용시 일정부분 보안사고에 대한 면책이 이뤄지지만 공인인증서가 폐지된 이후에는 새 기술을 도입한 사용자의 책임이 커질 수 있고 법적 문제들이 대두될 수 있다는 것이다.

한 보안업계 관계자는 "비대면 서비스가 확산되고 이를 지원하는 간편 인증방식이 늘어나면 보안사고 가능성도 그만큼 커져 책임논란이 불거질 수있다"면서 "사용자 입장에서는 단지 기술적 거래의 안전성 뿐 아니라 보안책임에 대한 인식도 바뀌게 될 것같다"고 말했다.