(취재)지속되는 금융해킹 보안 허점 드러나

조선족 국내 은행 계좌 83번 침입.. .시중은행 조금만 신경썼다라면

국내 시중은행 계좌 보안의 헛점이 또 다시 노출된 것으로 나타났다.

11일 금융권에 따르면 국민은행, 우리은행등에 거래되고 있는 230여 개의 국내 계좌가 중국 연변 출신 해커 두명에게 뚤려 약 4억5천만원의 피해를 입었다.

중국 지린성 출신 퍄오모씨와 진 모씨등 조선족해커 두명은 지난해 1월부터 4월까지 4개월간 이들 국민은행등 시중은행에 83번이나 침입해 86멍의 계좌에서 돈을 빼내 한국인과 중국현지인을 통해 자금 세탁까지 했다.

이번 해킹의 피해액은 4억5천만원으로 비교적 적은 금액에 불과 하지만 외국인 계좌 해킹 사례로 봤을때 가장 큰 금액이다. 무엇보다도 동종 피해를 국내 은행들이 수차례 겪었음에도 근절되지 않고 있어 이에 대한 적절한 방치책이 시급하다.

우선 동종사건의 책임을 고객의 관리 소흘로만 돌리는 은행들의 자세는 피해 해결에 아무런 도움이 되지 않는다.

국민은행 관계자는 "지난해 포털등에 고객정보가 유출된 사건이 있었는데 이들이 포털에서 정보를 빼가 은행 사이트에 무작위로 접속해 해킹을 해왔다"면서 "이는 은행의 전상망 미비는 결코아니다"고 말했다.

지난 3월에도 하나은행 계좌의 인터넷 뱅킹을 이용해 예금 2100만원이 인출된 사건이 있었다. 중국 IP로 접속해 5분간 700만원씩 3차례에 거쳐 해킹된 바 있다.

이런 해킹의 공통 유형은 불특정 다수에게 입력정보와 화면정보가 담긴 악성코드를 뿌려 놓고 감염된 PC를 대상으로 지정된 서버에 금융정보를 빼내는 방식으로 이뤄진다.

이럴 경우 V3, 알약과 같은 백신은 대부분 거르지 못하는게 현실이다. 매일 업데이트를 하는 등 일반 컴퓨터 이용자가 할 수있는 모든 조치를 취한다 해도 속수무책으로 당할 수 밖에 없다. 은행이 주장하는 고객의 관리 소흘로 생기는 일만은 아니라는 말이다.

은행들이 사용하는 보안카드와 OTP에도 문제가 있다. 보안카드는 1부터 25까지 4자리 번호로 구성돼 있으며 이체 시 두개의 번호 해당 앞, 뒷자리를 입력해 인증받게 하는 구조다.

물론 이런 보안카드의 숫자조합은 은행별로 패턴이 다르고 까다롭게 설정돼 있지만 로그파일을 약간만 변형시키면 일률적으로 출력이 가능하다. 조합패턴이 틀리게 나온다 해도 지속적 관찰로 정보획득을 할 수 있다.

OTP도 해킹 프로그램에 감염돼 있으면 무용지물이다. 공인인증서 암호 , 계좌비밀번호, 전자금융비밀번호 등이 노출된 상태에서 OTP의 입력값도 결국 해킹서벌 들어오게 된다.

그러나 보안카드나 OTP체계도 문제가 없다는 입장이다. 우리은행관계자는 "지금까지 해커들이 금융전산망을 타고 들어온 사례는 한차례도 없었다"며 "이런 사건의 경우 대부분이 고객들의 개인정보관리 부실이 원인이었다"고 말했다.