['보이스피싱'과의 전쟁]모바일 웹서비스 첫 국제인증서 적용 "금융 사기 꼼짝마"

국민은행 예방 전담반 가보니

▲개인 고객을 가장 많이 보유한 국민은행은 보이스피싱 피해 고객 심리까지 연구하며 예방책을 마련했다. 사진은 IT보안 관리부 직원들이 홈페이지 해킹방지 시스템을 점검하고 있는 모습.(사진=노진환 기자)

개인 고객을 가장 많이 보유한 국민은행이 보이스피싱과 한판 승부를 벌이고 있다. 그 첨병에는 e-뱅킹사업부, IT보안관부, 스마트 금융부가 있다. 이들 삼총사는 날로 첨단화, 지능화되는 보이스피싱과 피 말리는 전쟁을 펼치고 있다.

국민은행 최근 금융권 최초로 온라인 안전성을 검증하는 ‘국제 인증서(EV-SSL)’를 전체 인터넷 서비스와 스마트폰을 이용한 모바일웹 서비스에 적용했다. 윈도우 익스플로러 7.0 이상의 버전을 사용할 경우 홈페이지에 접속한 고객의 주소창은 녹색으로 표시되고 아이폰이나 안드로이드폰을 통해 접속할 경우 화면에 자물쇠 그림이 표시되는데 이런 아이디어가 바로 이들 부서에서 나왔다.

리스크 관리란 본래 100번 잘 했을때의 칭찬보다 한 번의 사고가 발생했을 때 쏟아지는 비난을더 많이 감수해야 하는 업무다.

스마트 기기 시대 흐름에 발맞춰 프로그램 개발도 소홀할 수 없는 상황에 ‘피싱 전담반’ 역할까지 하느라 정신없지만 금융소비자들의 피해를 최소화하기 위한 노력을 끊임없이 하고 있다.

스마트금융부에서는 피싱사이트와 구별될 수 있도록 진짜 은행 홈페이지 주소창을 녹색으로 표시하거나, 피싱방지 개인화이미지, 이용PC지정서비스, 일회용비밀번호(OTP), 전화승인서비스 등의 보안서비스를 시행하고 있다.

IT보안관리부에서는 국민은행 홈페이지 해킹 방지를 위해 시스템적인 부분을 점검하고, 준법지원부에서는 피싱피해로 인해 비정상적인 송금 거래 등이 발생하는 계좌를 상시 모니터링해 피해 예방에 주력하고 있다.

이동균 e-뱅킹사업부 차장은 “e-뱅킹사업부에서는 피싱사이트 홈페이지 발견 즉시 한국인터넷진흥원의 인터넷침해대응센터에 차단을 신청해 고객이 피싱사이트에 접속하지 않도록 미연에 방지하고 있다”고 설명했다.

특히 국민은행은 정보보호 예산을 금융권 최대 규모인 매년 300억원 이상 투자하고 있다. 금융권 최초로 IT전분야에 걸쳐 정보보호 ‘국제인증 ISO27001’을 획득한 데 이어 ‘IT서비스관리부문 ISO20000’과 ‘재해복구분야 BS25999’도 인증 받아 업계 최초로 IT국제인증 트리플 크라운(Triple Crown)을 달성한바 있다.

업계 최초로 고려대학교 정보보호대학원과 공동으로 산학연계 IT보안전문가 양성 프로그램을 가동하여 현재 자체 IT보안인력을 30명 보유하고 있어 금융권 최대수준을 유지하고 있다.

IT보안관리부는 보안기획팀, 침해대응팀, 보안운영팀으로 운영되고 있다. 무엇보다 침해대응팀에 사이버테러 등 각종 IT보안 사고에 대한 대응 및 복구 실시, 취약점분석 등 IT보안 평가활동을 실시하고 있다는 점이 눈에 띈다.

시스템적인 부분 뿐만 아니라 피해자들의 심리를 파악해 사고유발을 최소화 시키려는 연구도 하고 있다.

이해봉 팀장은 “피싱은 기술적인 문제가 아니고 사회공학적 문제이기 때문에 보안대책 또한 고객의 심리상태를 최대한 반영해야 한다”고 말했다. 그는 “피해고객과 상담한 결과 피해자가 전위여부를 확인하기 위해 전화를 끊고 싶어도 사기범이 교모하게 심리적으로 접근해 전화를 끊지 못하고 피해를 본 경우가 많았다“고 설명했다.

이어 그는 “피해자들의 심리를 고려해 고객이 사이트의 진위여부를 확인할 수 있도록 다양한 방법을 개발하고 피해고객이 사기범과의 전화를 끊고 사실여부를 확인 할 수 있는 시간적 여유 가질 수 있는 방안을 마련 중에 있다”고 전했다.

이 팀장은 최근 고객들의 심리를 이용한 금융사기 범죄수법이 다양해지고 고도화되고 있음을 지적하며 고객들이 보다 침착하게 판단을 해야 한다고 당부했다.

그는 “은행을 포함한 금융회사는 보안승급이 필요하다거나 또는 보안카드 전체번호 입력 요구, 금전이체 요구를 절대 하지 않는다”며 “만약 유사한 전화나 메시지, 메일 등을 받으면 100% 피싱사기라고 생각해야 한다”고 강조했다.