공인인증서 슬쩍할 때 비밀번호 같이 털린다

스미싱 통한 악성코드 해커 메일로 전달

[아시아경제 이현주 기자] 스미싱을 통해 스마트폰 공인인증서가 유출될 때 비밀번호까지 함께 빠져나가는 것으로 드러나 향후 파장이 예상된다. 금융당국이 삼성카드 앱카드 명의도용 사고를 계기로 사실상 공인인증서를 이용한 앱카드 설치를 금지했지만 향후 논란은 쉽게 가라앉지 않을 전망이다.

14일 금융권과 금융감독원에 따르면 삼성카드 앱카드 명의도용 피해는 해커들이 스미싱을 통해 악성코드를 깔고 스마트폰에 등록된 공인인증서는 물론 비밀번호까지 탈취한 뒤 이를 이용해 또 다른 스마트폰에 앱카드를 인증 받아 결제한 것으로 나타났다. 금감원 관계자는 "아직까지 범인이 잡히지 않아 정확한 사건경위는 밝혀지지 않았지만 공인인증서 파일과 비밀번호 등이 함께 유출됐기 때문으로 보고 있다"고 밝혔다.

정보기술(IT) 보안 전문가들은 이번에 사용된 스미싱 프로그램은 악성코드에 감염된 스마트폰이 공인인증서의 비밀번호를 해커 이메일로 전달하도록 설계된 것이라고 설명했다.

김인석 고려대학교 정보보호대학원 교수는 "스미싱을 통해 스마트폰에 악성코드가 깔리면 공인인증서를 입력할 때 남게 되는 비밀번호 핀 코드가 해커의 메일로 전달되는 방식으로 정보 탈취가 가능하다"고 말했다.

문제는 스마트폰에서 시중 은행의 모바일 뱅킹을 이용할 경우 공인인증서 하나로 개인 계좌 정보까지 들여다 볼 수 있다는 점이다. 대부분 은행의 스마트폰뱅킹 어플리케이션은 실행 후 공인인증서만 있으면 예금·신탁계좌를 조회해 볼 수 있다. 은행업계 관계자는 "공인인증서의 보안상 취약점이 있어 이체 업무 등을 진행할 때는 보안카드, 일회용비밀번호(OTP) 등을 통해 한 번 더 인증을 받게 하고 있다"고 말했다. 하지만 이중보안장치 중 첫 단추가 스미싱만으로 쉽게 풀리는 점에 대한 우려가 큰 상황이다.

공인인증서는 한 번 발급 받으면 비밀번호만 입력하면 되기 때문에 편리하다는 장점이 있지만 하나의 공인인증서로 추가적인 본인확인만 하면 여러 은행에서 사용할 수 있다는 점도 보안상 문제가 될 수 있다.

이에 따라 금융업계에서도 공인인증서가 스마트폰에 이용되기에는 보안상 부적합하다고 판단하고 대체할 수 있는 인증 수단을 꾸준히 연구하고 있다. 복제가 되지 않는 휴대폰 유심 카드, 모든 통신사의 다양한 기기에 사용가능한 금융보안 마이크로 SD, 바이오 인증 등이 대체 보안수단으로 거론되고 있지만 아직 뚜렷한 대책은 마련되지 못하고 있다.

성재모 금융보안연구원 정보보안본부 본부장은 "공인인증서의 경우 개인정보 인증시 편리함과 동시에 보안성이 취약하다는 양면성 때문에 업계에서는 2010년부터 불편하더라도 보안성이 높은 수단으로 대체하는 방법을 연구 중"이라고 말했다.

☞스미싱=문자메시지(SMS)와 피싱(Phishing)의 합성어. '돌잔치 초대장', '모바일 청첩장'과 같은 문자를 받고 인터넷 주소를 클릭하면 악성코드가 스마트폰에 설치. 이후 휴대전화 명의자도 모르는 사이에 소액결제가 되거나 저장된 주소록과 연락처 사진, 공인인증서와 같은 개인정보를 빼간다.

이현주 기자 ecolhj@asiae.co.kr