[파밍수법] 홈뱅킹 공인인증서 461개 유출… 해킹에 충격

은행 공인인증서마저 뚫렸다… 해킹에 충격
조선비즈 | 전재호 기자 | 입력 2013.02.11 15:17 | 수정 2013.02.11 15:19

 

은행 공인인증서 461개 유출…금융사기, 파밍으로 진화
이달 초 최소 8개 은행, 461개 공인인증서 유출
고객 PC에 악성코드 심고 정보 빼내는 수법 많아
"의심스러운 메일의 첨부파일은 다운로드 받지 말아야"

 

금융 관련 개인정보를 빼내 금전적 손해를 입히는 수법이 보이스피싱(voice phishing·전화로 개인정보를 빼내는 방법)에서 파밍(pharming)으로 빠르게 바뀌고 있다. 파밍이란 금융회사 고객 컴퓨터를 악성코드에 감염시켜 고객이 금융회사의 정상 홈페이지로 접속해도 피싱사이트로 유도해 금융거래 정보 등을 빼내는 수법이다.

 

이달 초 최소 8개 은행에서 최소 461개의 공인인증서가 유출된 것도 금융회사 고객 컴퓨터가 악성코드에 감염되면서 발생한 것으로 금융위원회는 파악했다. 전문가들은 파밍으로 인한 피해를 막기 위해서는 고객 스스로 컴퓨터에 백신을 설치하는 등 보안에 신경을 쓰는 게 가장 중요하다고 강조했다.

 

◇ 최소 8개 은행, 461개 공인인증서 유출

11일 업계에 따르면 금융결제원은 이달 초 최소 8개 은행의 고객 공인인증서 461개가 홍콩에 있는 서버로 유출된 것을 파악하고 즉각 폐기했다. 이달 초 폐기된 공인인증서는 국민·신한·우리·하나·외환·씨티·농협·스탠다드차타드(SC) 등 주요 은행의 고객이 발급받은 것으로 금융결제원이 실시간으로 피싱 사이트를 점검하다가 적발했다. 각 은행은 공인인증서가 유출된 고객에 개인정보 유출 사실을 통보하고 공인인증서를 재발급 받으라고 요청했다.

 

금융위는 이번에 적발된 것 외에 다른 공인인증기관에서 발급한 인증서도 유출된 것으로 파악하고 정보를 수집 중이다. 현재 공인인증서는 금융결제원·코스콤·한국무역정보통신·한국정보인증·한국전자인증 등 5곳의 공인인증기관에서만 발급한다. 금융위 관계자는 "해커가 고객의 컴퓨터에 악성코드를 심고 홍콩에 있는 서버로 고객 인증서를 유출한 것으로 파악된다"며 "은행뿐 아니라 증권사 등 다른 금융회사 고객의 인증서도 유출됐을 가능성이 있어 자료를 수집하고 있다"고 말했다.

 

◇ 지난해 피싱사이트 차단 6944건…전년비 4배 급증

개인 금융정보를 빼내기 위해 은행 등 금융회사 홈페이지를 모방해 교묘하게 만들어진 피싱 사이트는 2011년부터 급격하게 늘었다. 한국인터넷진흥원에 따르면 2005년부터 2010년까지 차단한 피싱 사이트 건수는 22건에 불과했지만 2011년엔 1849건으로 크게 늘었고 2012년엔 6944건으로 전년보다 4배 가까이 증가했다. 반면 보이스피싱 피해 건수는 2011년 8244건에서 지난해 5709건으로 약 30% 감소했다.

 

최근엔 피싱 사이트로 유인하는 파밍으로 인한 피해가 늘고 있다. 금융위 관계자는 "일반적으로 불법 성인사이트나 불법 다운로드 사이트 등에서 자료를 내려받을 때 악성코드를 함께 다운로드 받으면 컴퓨터가 켜져 있는 동안 악성코드가 활동하면서 인증서 등 중요 정보를 외부로 유출하는 경우가 많다"며 "이번에 몇몇 은행 고객에게 발생한 인증서 유출 사건도 이와 유사한 경우로 보고 있다"고 말했다. 금융위에 따르면 파밍으로 인한 피해는 지난해 11월과 12월에 약 146건, 9억6000만원에 달했다.

 

금융위는 이번 인증서 유출 사건이 공인인증 시스템의 문제는 아니라고 말했다. 금융위 관계자는 "인증서가 유출된 고객은 대부분 컴퓨터에 백신 프로그램이 아예 없거나 백신이 구식인 경우가 많다"며 "인증서 유출 사건은 시스템의 문제보다는 고객의 컴퓨터가 감염돼 문제를 일으키는 경우가 많다"고 말했다.

 

◇ 고객 스스로 보안 강화하는 게 최선

금융위는 이번 인증서 유출로 인한 피해는 없을 것으로 내다봤다. 그러나 앞으로 이와 비슷한 사례가 계속 생길 수 있기 때문에 고객 스스로 컴퓨터의 보안을 강화해야 한다고 지적했다. 금융위 관계자는 "현재까지 파악한 바로는 유출된 인증서로 인한 피해사례는 보고되지 않았다"며 "유출된 인증서는 금융결제원 등이 먼저 폐기하고 해당 고객이 재발급 받도록 유도했기 때문에 이번 유출로 인한 피해가 발생할 가능성은 적다고 본다"고 말했다.

 

그러나 해커 집단이 앞으로도 파밍으로 고객 정보를 빼내려는 시도를 계속할 것이기 때문에 고객 스스로 보안을 강화해야 한다고 강조했다. 금융감독원 관계자는 "출처가 불분명한 파일이나 이메일은 다운로드를 받지 말고 보안카드 일련번호와 보안카드 코드번호 전체를 입력하도록 요구하는 경우 절대로 응해서는 안 된다"고 말했다.

 

일각에서는 공인인증서의 복사나 유출이 불가능하도록 IC칩에 보관하는 방안을 확대해야 한다는 주장도 나온다. 한국은행의 한 관계자는 "한국은행은 IC칩에 공인인증서를 넣어서 안전하게 거래할 수 있도록 표준상품까지 만들었는데 은행권이 적극적으로 쓰지 않고 있다"고 말했다. 지금은 고객 컴퓨터나 USB 등 이동식 저장장치에 공인인증서를 보관하기 때문에 복사나 유출이 가능하다. 공인인증서를 IC칩에 보관하면 인터넷 뱅킹 등으로 공인인증서를 쓸 때마다 IC칩을 컴퓨터로 연결해야 한다.

 

금융위 관계자는 "공인인증서를 IC칩에 보관하는 것은 유출 사고를 막을 대안 중 하나가 될 수 있다"며 "지금도 은행에 신청하면 공인인증서를 IC칩에 보관해 쓸 수 있는데 만원 안팎의 비용이 발생하기 때문에 소비자들이 선호하지 않는 측면이 있다"고 말했다.

 

☞ 파밍(pharming)이란?
금융회사 고객 컴퓨터를 악성코드에 감염시켜 고객이 금융회사의 정상 홈페이지로 접속해도 피싱사이트로 유도해 금융거래 정보 등을 편취하는 것을 말한다. [chosun.com]