은행 공인인증서 또 7000건 털렸다

우리은행 등 시중은행 공인인증서가 악성코드를 통해 대량으로 유출됐다. 은행권을 포함해 전체 공인인증서 유출건은 7000건에 육박했다.
12일 금융권과 한국인터넷진흥원(KISA)에 따르면 지난달 25일부터 5월 2일까지 6947건에 달하는 PC용 공인인증서 탈취 사건이 발생한 것을 이달 초 보안업체인 빛스캔이 발견해 KISA에 신고했다. 이에 따라 KISA는 공인인증서를 유출하는 악성코드 유포지를 차단했고 공인인증서 발급기관은 가입자에게 유출 사실을 알리고 인증서를 폐기했다.
폐기된 공인인증서 중에는 우리은행 신한은행 농협은행 국민은행 등 시중은행에서 발급된 것이 4200여개에 달하는 것으로 알려졌다. 이 밖에도 증권거래 고객이 자주 사용하는 코스콤 공인인증서도 수백 건 포함됐다.
공인인증서 유출 사건은 최근 빈번히 발생하고 있다. 지난해 2월과 5월에 각각 461개, 212개 공인인증서가 유출된 것이 드러나 금융결제원이 인증서를 폐기했다. 지난해에만 유출된 공인인증서는 총 7633건이었다.

공인인증서가 탈취된 상태에서 해커가 개인정보와 보안카드 번호 등을 빼내게 되면 해커는 인터넷 뱅킹을 통해 피해자 계좌에서 돈을 빼낼 수 있다.
공인인증서를 통한 금융사기 사건이 자주 발생하면서 공인인증서를 대체할 수단이 나와야 한다는 목소리가 높다. 국회 정무위는 지난달 30일 전자금융거래 시 공인인증서 사용 의무화를 폐지하는 '전자금융거래법' 개정안을 통과시켰다. 이달 말부터 인터넷 쇼핑몰에서도 공인인증서 없이 카드 결제가 가능해진다.
■ 스마트폰 앱카드도 보안 취약…금감원 "본인 인증 강화" 주문
금융감독원은 삼성카드를 포함한 6개 카드사를 대상으로 스마트폰에 '애플리케이션(이하 앱) 카드'를 설치하는 데 필요한 본인 인증 절차를 강화할 것을 지도했다. 최근 삼성카드에서 공인인증서를 스미싱 방식으로 해킹해 앱 카드를 도용한 사건이 발생한 데 따른 조치다.
이에 따라 카드사들은 앱 카드를 등록할 때 공인인증서 외에도 ARS(자동응답시스템) 확인, 카드 CVC값 입력 같은 본인 인증 절차를 추가하기로 했다. 정인화 금감원 IT감독실장은 12일 "앱 카드를 도용해 부정 결제 피해가 발생한 것은 이번이 처음"이라며 "출처가 불분명한 문자메시지에 적힌 인터넷 주소를 클릭하면 안 된다"고 당부했다.
금감원은 이날 삼성ㆍ신한ㆍ현대ㆍ롯데ㆍKBㆍ농협 등 앱 카드를 운영 중인 6개 카드사 IT 실무 담당자를 소집해 앱 카드 등록 시스템을 전면 재점검할 것을 지도했다.
이번 사건에서 해커들은 아이폰이 유심칩에서 휴대폰 번호를 자동 불러오는 기능이 없다는 점을 악용한 것으로 조사됐다. 앱 카드를 휴대폰에 등록할 때 문자서비스(SMS)를 통해 본인 인증을 해야 하는데, 해커들은 본인 휴대폰 번호를 입력해 인증번호를 가로챘다. 이 같은 방식으로 해커들은 앱 카드 53장을 무단 설치했고 350여 차례에 걸쳐 6000만원어치를 부정 결제했다.
신한ㆍKB카드가 삼성카드와 같은 방식으로 앱카드를 운영해온 것으로 조사됐다.
[이덕주 기자 / 배미정 기자]
[ⓒ 매일경제 & mk.co.kr, 무단전재 및 재배포 금지]