스미싱 통한 악성코드 해커 메일로 전달
14일 금융권과 금융감독원에 따르면 삼성카드 앱카드 명의도용 피해는 해커들이 스미싱을 통해 악성코드를 깔고 스마트폰에 등록된 공인인증서는 물론 비밀번호까지 탈취한 뒤 이를 이용해 또 다른 스마트폰에 앱카드를 인증 받아 결제한 것으로 나타났다. 금감원 관계자는 "아직까지 범인이 잡히지 않아 정확한 사건경위는 밝혀지지 않았지만 공인인증서 파일과 비밀번호 등이 함께 유출됐기 때문으로 보고 있다"고 밝혔다.
김인석 고려대학교 정보보호대학원 교수는 "스미싱을 통해 스마트폰에 악성코드가 깔리면 공인인증서를 입력할 때 남게 되는 비밀번호 핀 코드가 해커의 메일로 전달되는 방식으로 정보 탈취가 가능하다"고 말했다.
문제는 스마트폰에서 시중 은행의 모바일 뱅킹을 이용할 경우 공인인증서 하나로 개인 계좌 정보까지 들여다 볼 수 있다는 점이다. 대부분 은행의 스마트폰뱅킹 어플리케이션은 실행 후 공인인증서만 있으면 예금·신탁계좌를 조회해 볼 수 있다. 은행업계 관계자는 "공인인증서의 보안상 취약점이 있어 이체 업무 등을 진행할 때는 보안카드, 일회용비밀번호(OTP) 등을 통해 한 번 더 인증을 받게 하고 있다"고 말했다. 하지만 이중보안장치 중 첫 단추가 스미싱만으로 쉽게 풀리는 점에 대한 우려가 큰 상황이다.
이에 따라 금융업계에서도 공인인증서가 스마트폰에 이용되기에는 보안상 부적합하다고 판단하고 대체할 수 있는 인증 수단을 꾸준히 연구하고 있다. 복제가 되지 않는 휴대폰 유심 카드, 모든 통신사의 다양한 기기에 사용가능한 금융보안 마이크로 SD, 바이오 인증 등이 대체 보안수단으로 거론되고 있지만 아직 뚜렷한 대책은 마련되지 못하고 있다.
성재모 금융보안연구원 정보보안본부 본부장은 "공인인증서의 경우 개인정보 인증시 편리함과 동시에 보안성이 취약하다는 양면성 때문에 업계에서는 2010년부터 불편하더라도 보안성이 높은 수단으로 대체하는 방법을 연구 중"이라고 말했다.
☞스미싱=문자메시지(SMS)와 피싱(Phishing)의 합성어. '돌잔치 초대장', '모바일 청첩장'과 같은 문자를 받고 인터넷 주소를 클릭하면 악성코드가 스마트폰에 설치. 이후 휴대전화 명의자도 모르는 사이에 소액결제가 되거나 저장된 주소록과 연락처 사진, 공인인증서와 같은 개인정보를 빼간다.
이현주 기자 ecolhj@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>