공인인증서도 해킹에 뚫렸다… 스마트폰 앱카드 내려받아 결제

문자메시지에 악성코드를 심어 정보를 빼내는 ‘스미싱’ 수법으로 탈취한 타인의 공인인증서를 이용, 앱카드(애플리케이션형 모바일카드)를 내려받아 결제한 사건이 발생했다. 시중은행 공인인증서 7000여개도 해킹으로 유출돼 폐기되는 사태도 일어났다. 상대적으로 보안에 뛰어난 것으로 알려진 공인인증서조차 해킹에 무방비로 노출된 것이다.

12일 금융감독원 등에 따르면 최근 삼성카드는 앱카드를 부정 발급받아 6000만원을 결제한 사례를 FDS(카드부정사용방지시스템)를 통해 사전 적발했다. 이번 사고는 문자메시지를 받은 고객이 메시지에 있는 인터넷 주소를 클릭하면 악성코드가 설치돼 공인인증서 정보 등 금융 정보가 빠져나가는 스마트폰 스미싱에 의한 것으로 알려졌다. 이에 금감원은 삼성·KB국민·롯데·NH농협·신한·현대카드 등 앱카드를 이용하고 있는 6개 카드사 관계자들을 불러 앱카드 시스템을 긴급 점검했다. 6개 카드사는 앱카드를 공동 개발하고 감독기관의 승인을 얻어 지난해 9월부터 본격적으로 상용화했다.

한국인터넷진흥원(KISA)은 최근 악성코드로 수집된 공인인증서 유출 목록 6900여건을 발견하고 금융결제원 등 5개 인증기관에 통보해 이를 모두 없앴다고 밝혔다. KISA에 따르면 보안업체인 빛스캔은 4월 25일부터 5월 2일까지 6947건에 달하는 PC용 공인인증서 탈취 사건 발생을 확인하고 이를 KISA에 알렸다. 지난해 해킹으로 유출된 공인인증서는 7600여건으로 불과 1주일 만에 지난해 수준의 유출 피해가 일어난 셈이다. 공인인증서가 빠져나가면 인터넷뱅킹으로 예금을 찾아가는 범행에 속수무책이라는 점에서 어떤 금융 해킹보다 파장이 크다고 업계에서는 주장하고 있다.

한장희 기자 jhhan@kmib.co.kr