금융기관으로 위장해 개인정보를 빼내는 온라인 사기수법, 이른바 피싱(Phishing) 범죄가 악성코드와 해킹수범이 결합되는 등 점차 지능화되고 있다. 이 경우, 계좌번호, 비밀번호는 물론 온라인 금융거래 이용자들의 마지막 안전장치라 할 수 있는 '공인인증서'마저 쉽게 복제해갈 수 있어, 이에 대한 대책 마련이 시급하다는 지적이 제기됐다.
금융감독위원회, 금융감독원, 금융보안연구원이 주최하고 본지가 후원하는 '제1차 금융정보보호 기술세미나'가 5일 금융감독원 대강당에서 200여명의 보안담당자들이 참석한 가운데 개최됐다.
이날 세미나에서 금융보안연구원 성재모 팀장은 "올해 전자금융거래법 시행에 따라 인터넷뱅킹 등 모든 전자금융거래시 공인인증서를 사용하도록 의무화했지만, 이용자들의 공인인증서 보관, 관리체계에 심각한 허점이 있다"며 이같이 지적했다.
그의 설명에 따르면, 현재의 방식대로 이용자가 자신의 PC안에 공인인증서를 저장할 경우, 위치가 노출되는데, 이용자의 PC가 악성코드 등으로 인해 해킹을 당했을 때 해커가 이용자 모르게 공인인증서를 손쉽게 복제해갈 수 있다는 것. 복제해간 공인인증서는 언제든 재사용이 가능해 이로인한 금융피해가 발생할 가능성이 적지않다는 것.
금융보안연구원이 지난달 조사한 자료에 따르면, 현재 공인인증서만으로 금융기관 홈페이지에 로그인할 수 있는 곳은 은행 14곳과 상호저축은행 18개사 등 총 41개사나 된다.
이 경우, 해커가 복제된 공인인증서를 사용해 피해자의 금융기관 사이트에 접속해 금융자산 정보를 손쉽게 빼갈 수 있는데다, 자칫 금전전 피해로까지 이어질 수 있다는 지적이다.
실제 지난 2월 포털 계정정보를 해킹한 뒤 이메일에 저장된 은행 공인인증서를 복제하고 이메일 소유자의 은행계좌에서 현금을 이체하는 방식으로 사이버 머니를 구입하는 범죄가 발생하기도 했다.
성 팀장은 "해외 피싱 범죄의 경우, 가짜 금융사이트로 유인해 금융정보를 입력하도록 하는 전통적인 방식이 아직까지 많은 반면, 국내의 경우, 최근 악성코드나 해킹을 결합하거나 우회적으로 포털사이트의 메일함에서 공인인증서 등을 빼갈 정도로 지능화되고 있다"며 이용자들의 철저한 주의를 당부했다.
특히, 국내의 경우, 해킹기술이 본격적으로 피싱에 악용되는 등 복합적인 공격기술이 사용되면서 즉각적인 대응기술 확보가 점차 어려워지고 있다는 게 그의 설명이다.
이같은 온라인 금융범죄를 예방하기 위해선 무엇보다 이용자들 스스로 비밀번호를 철저히 관리하고 공인인정서를 PC나 메일함에 저장하는 대신 USB를 비롯한 이동식 저장장치에 보관하는 등 각별한 주의가 필요하다. 특히 하드웨어 암호화 키관리장치(HSM) 표준화 등 공인인증서 유출방지를 위한 제도적 차원의 대책도 시급하다는 지적이다.
이와 관련, 금융보안연구원은 피싱수법이 점차 해킹, 피싱 등 복합적인 공격기술로 진화하는 반면, 보안패치가 제대로 적용되지 않은 PC가 많아 악성코드 감염 위험에 노출돼 있다고 보고 이용자 PC의 최신보안 패치를 위해 금융보안 패치시스템을 구축하기로 했다.
또 금융권 피싱 사이트와 의심 사이트에 대한 접속 차단을 위해 금융피싱차단리스트(PBL)을 구축, 운영하고, 피싱에 악용될 수 있는 유사 도메인의 지속적인 감시를 위한 도메인 등록정보 모니터링 서비스도 개발, 운영한다는 계획이다.
<저작권자 © ‘돈이 보이는 리얼타임 뉴스’ 머니투데이. 무단전재 및 재배포, AI학습 이용 금지>