은행공인인증서 수백개 또 유출

은행공인인증서 수백개 또 유출…관계기관 '책임떠넘기기'

 

| 기사입력 2013-05-02 15:19 | 최종수정 2013-05-02 15:45

금융, 방송사 등에 대규모 해킹 공격이 있었던 지난 3월 20일 오후 한국인터넷진흥원 직원들이 대응책을 마련하기 위해 바쁘게 움직이고 있다./조선일보 아카이브

파밍 수법으로 최소 7개 은행 공인인증서 약 300개 유출‥일괄 폐기

금융당국·결제원 “우리 소관 아니다” 책임 떠넘기기 급급

금융위, 공인인증서 체계 개편 추진…연구용역 발주

은행 고객들이 인터넷뱅킹 등을 이용하기 위해 발급받은 공인인증서 수백개가 또다시 파밍(pharming) 수법으로 해커(hacker)들에게 유출된 것으로 드러나 일괄 폐기됐다. 올 1월 기준 2898만 건이 발급된 공인인증서는 은행의 인터넷뱅킹, 인터넷 쇼핑몰의 전자결제, 관공서의 본인 확인용으로 광범위하게 쓰이고 있지만 유출 사고가 잇따라 발생하고 있어 대책 마련이 시급한 것으로 나타났다. 금융당국과 금융결제원은 몇 개 은행의 인증서가 유출됐는지 정확한 현황조차 파악하지 못하고 있어 추가 피해도 우려된다.

2일 금융당국과 은행권에 따르면 한국인터넷진흥원은 최근 은행 고객 PC에서 유출된 공인인증서 파일이 대량으로 모여 있는 해외(미국) 서버를 발견해 금융결제원 등 공인인증기관에 통보했고 금융결제원은 해당 공인인증서 약 300개를 강제로 폐기했다. 금융결제원은 금융 공동망을 구축해 각종 결제업무를 처리하는 곳으로 한국전자인증, 코스콤과 함께 공인인증 서비스를 제공하는 공인인증기관이다. 금융결제원은 지난 2월에도 전문 해커들이 신한·국민·우리·하나·농협은행 등 주요 시중은행이 발급한 공인인증서 약 700개를 빼간 것을 적발해 이 중 461개를 폐기한 바 있다.

금융위원회 관계자는 “해커들이 파밍 수법으로 개인 PC에서 공인인증서 수백개를 빼낸 것으로 파악돼 금융결제원이 일괄 폐기했다”며 “인증서 유출로 인한 피해는 아직 없는 것으로 보고 있다”고 말했다.

 

금융결제원이 폐기한 공인인증서는 국민·우리·신한·중소기업은행(024110)·농협·하나·외환은행 등 7개 은행 고객의 인증서였다. 금융결제원은 인증서를 일괄 폐기하면서 재발급 제한 조치를 해 인증서가 유출된 고객들은 신분증을 지참하고 은행 지점을 방문해 인증서를 재발급받는 불편을 겪어야 했다.

금융당국과 금융결제원은 7개 은행 외에 다른 은행의 인증서도 유출됐는지 파악조차 못하고 책임을 떠넘기기 급급한 모습이다. 송현 금감원 IT국장은 “공인인증서가 유출될 때마다 보고받지 않고 인증서 폐기는 발급기관(금융결제원)이 관리하면서 금융사에 통보하기 때문에(몇 건이 폐기됐는지 모른다)”라며 “공인인증서 관리는 금감원 소관은 아니다”고 말했다.

전요섭 금융위 전자금융과장은 “금융결제원이 관련 업무를 맡아서 하기 때문에 몇 건이 폐기됐는지 등은 공개하기 어렵다”고 말했다. 오병일 금융결제원 전자인증부 인증업무팀장은 “아직 몇 곳에서 유출됐는지 현황 파악이 안 됐고 인증서 유출로 인한 피해가 발생했는지도 모른다”며 “한국인터넷진흥원이 (인증서 관련 업무를)총괄하기 때문에 우리는 잘 모른다”고 말했다.

은행들은 인증서가 유출된 고객에 발생한 피해는 없었던 것으로 보고 있다. 국민은행 관계자는 “인증서를 이용해 돈을 빼내려면 계좌 비밀번호나 보안카드 번호도 있어야 하기 때문에 인증서가 유출됐다고 바로 금융사고로 연결되는 것은 아니다”고 말했다.

금융위는 인증서 유출로 인한 피해를 줄이기 위해 2채널 인증을 강화할 계획이다. 2채널 인증이란 인터넷뱅킹을 할 때 공인인증서 외에 휴대전화 등으로 본인 인증을 한 번 더 받는 것이다. 또 공인인증서 외에 다른 방식의 인증체계를 도입하기 위한 방안도 추진한다. 전요섭 과장은 “해킹으로 인증서가 유출돼도 고객은 알기 어렵기 때문에 2채널 인증방식을 도입하려고 한다”며 “이와 함께 지금 널리 쓰이는 공인인증서 체계를 바꿀 필요가 있는지 전문가 의견을 들어보기 위해 연구용역을 진행할 계획”이라고 말했다.

전문가들은 파밍으로 인한 피해를 막기 위해서는 출처가 불분명한 파일이나 이메일은 다운로드를 받지 말고 보안카드 일련번호와 코드번호 전체를 입력하도록 요구하는 경우 절대로 응해서는 안 된다고 조언했다.

☞파밍이란

파밍은 금융회사 고객 컴퓨터를 악성코드에 감염시켜 고객이 금융회사의 정상 홈페이지로 접속해도 피싱 사이트(phishing site·금융거래정보를 빼내기 위해 은행 등의 홈페이지를 본떠서 만든 가짜 홈페이지)로 유도해 금융거래 정보 등을 편취하는 것을 말한다. 금융위에 따르면 파밍으로 인한 피해 건수는 지난해 11월부터 올 2월까지 323건, 피해금액은 20억6000만원으로 집계됐다.