헛도는 전자금융사기 대책… 은행 인증문자도 뚫려

개인금융정보를 알아내 계좌에서 몰래 돈을 빼가는 불법자금이체 피해를 막기 위해 ‘전자금융사기 예방서비스’가 전면 시행된 지 두 달이 지났다. 금융당국은 시행 한 달 만에 피해 건수가 절반으로 감소했다고 발표했지만 허점을 파고든 금융사기는 여전히 발생하고 있다.

9월 26일부터 전자금융사기 예방서비스가 시행되면서 고객이 공인인증서를 발급 또는 재발급 받거나 인터넷으로 하루 300만원 이상 이체할 경우 전화나 휴대전화 문자메시지(SMS)를 통해 본인 인증 후 거래하도록 보안이 강화됐다.

금융위원회는 지난 6일 서비스 전면 시행 전후 1개월을 비교한 결과 서비스 적용을 받는 300만원 이상의 금융사기는 51.5%나 줄었고 300만원 미만의 경우 25% 줄었다고 발표했다.

하지만 본인인증 수단인 SMS 탈취로 인한 금융사기는 서비스 시행 이후 한 달간 148건이나 발생했다. 사기범들은 클릭하는 순간 악성앱이 깔리는 인터넷 주소가 포함된 문자를 유포하고 미리 빼낸 개인정보를 이용해 자금이체를 신청한 뒤 은행이 고객에게 SMS 인증번호를 보내면 이를 가로채는 수법을 이용했다. 피해자들은 예방서비스에 가입해 안심하고 있다 자신도 모르는 사이 사기를 당했다.

이러한 피해는 제도 시행 전에 이미 예견됐다. 금융위 관계자는 “예방서비스 시범시행에서 전면시행까지 1년이 걸려 해커들도 그 사이 준비할 시간이 있었다”며 “스미싱(문자메시지의 인터넷주소를 클릭하면 악성코드가 설치돼 금융피해를 입히는 수법)이 SMS 탈취와 비슷한 수법이라 사고가 날 게 일부 예상됐다”고 말했다. 이 관계자는 “전반적인 인터넷뱅킹 인증체계 개선을 위해 검토하고 있다”며 “이용자들도 일회용 비밀번호 생성기(OTP) 사용 등 정부가 발표한 유의사항과 함께 각 은행들이 마련한 보안책을 활용하면 전자금융사기를 예방할 수 있을 것”이라고 당부했다.

전자금융거래법은 금융사고 발생시 이용자의 고의나 중대 과실이 없으면 금융사가 손해배상 책임을 지게 하고 있어 은행들은 금융사기를 막기 위해 다양한 보안장치를 마련해두고 있다.

NH농협은행은 ‘나만의 은행주소 서비스’를 제공하고 있다. 고객이 각자의 인터넷뱅킹 주소를 만들어 정상적인 홈페이지 주소로 접속해도 가짜 사이트로 유도해 개인정보 등을 몰래 빼가는 ‘파밍’ 시도를 원천봉쇄한다. 국민은행은 확장유효성검사(EV SSL) 인증서를 활용, 진짜 은행 홈페이지일 경우 주소창이 녹색으로 바뀌어 이용자들이 가짜 사이트와 구별할 수 있게 했다. 우리은행과 신한은행은 ‘그래픽 인증 서비스’를 통해 이미지화된 아이콘을 비밀번호로 사용함으로써 고객이 피싱사이트 여부를 확인하고 키보드 해킹에도 대응할 수 있도록 돕는다.

하나금융경영연구소 노진호 연구위원은 “현재 전자금융사기는 높은 기술수준에 의한 것보다는 기초적 보안의식 부족 등으로 발생하는 경우가 다수”라며 “금융권의 IT보안 강화 외에 금융교육을 통한 이용자의 책임의식 강화가 필요하다”고 말했다.

박은애 기자 limitless@kmib.co.kr