[뻥뚫린 공인인증서]13년째 보안기술 제자리 공인인증서 '범죄 무방비'

[이데일리 김동욱 기자] 취업준비생인 김민섭(29·남)씨의 악몽은 두달 전으로 거슬러 올라간다. 인터넷 구직사이트를 통해 재택근무 아르바이트를 한 게 화근이었다. 알바를 시작한 지 3주가 됐을 때 고용주는 월급을 주겠다며 김씨에게 통장사본과 신분증 앞뒷면을 복사해 보내달라고 요구했다. 김씨는 이때만 해도 고용주가 자신의 개인정보를 바탕으로 본인 명의의 공인인증서를 재발급받아 인터넷뱅킹으로 돈을 빼가는 것은 물론 대부업체에서 대출까지 받아 달아날 거라곤 생각도 하지 못했다.

고용주는 김씨의 통장사본을 받은 바로 다음날 발신번호를 시중은행 대표번호로 조작해 김씨에게 전화를 걸었다. 일반 입출금식 통장을 금리가 높은 CMA 통장으로 바꿔주겠다고 말한 그는 본인확인을 위해 통장 비밀번호와 보안카드 번호를 불러달라고 요구했다. 바로 그 날 김씨 통장에서 1000만원이 빠져나갔다. 1000만원 중 800만원은 고용주가 대부업체에서 받은 대출금이었다. 인터넷을 통한 대출신청은 공인인증서로만 본인확인 절차를 거친다는 점을 악용한 것이다.

금융사기 수법은 나날이 진화하고 있지만 인터넷뱅킹 때 ‘인감’ 역할을 하는 공인인증서는 13년째 자체 기술개발이 이뤄지지 않으면서 금융사기에 무방비 노출되고 있다는 지적이 나온다. 김씨의 사례처럼 개인정보가 드러났다고 해도 공인인증서 재발급만 이뤄지지 않았다면 김씨 계좌로 돈을 이체되는 걸 막을 수 있다. 그러나 현재 시스템상으론 개인 금융정보만 알면 얼마든지 상대방 명의의 공인인증서를 재발급받을 수 있다 보니 금융사기 조직은 진화된 수법으로 금융정보를 빼낸 뒤 공인인증서를 재발급받아 돈을 빼간다. 금융사기를 막기 위한 당국의 조치에도 금융사기가 줄지 않는 이유다.

현재 시중은행의 인터넷뱅킹에선 이름 등 개인정보를 입력하는 1차 인증을 거친 뒤 ARS 또는 SMS(문자메시지) 인증과 보안카드 번호만 입력하면 공인인증서를 재발급받을 수 있다.

해킹 등 사이버 공격에도 취약하다. 한국개발연구원(KDI)이 분석한 자료에 따르면 지난해 1월부터 9월까지 악성코드, 스미싱으로 사용자의 컴퓨터와 스마트폰에서 공인인증서가 유출된 건수는 1만9388건에 이른다. 공인인증서 유출은 2012년 8건, 2013년 8710건 등 매년 급증하는 추세다. 현재 공인인증서는 하드디스크나 USB 등 특정 폴더에 저장하는 방식이어서 공인인증서가 저장된 컴퓨터나 스마트폰에 악성코드가 심어져 있으면 쉽게 유출된다. 금융사로선 공인인증서가 당사자를 확인하는 강력한 인증수단이지만 금융소비자 입장에선 이를 해킹당했거나 분실했을 땐 이에 따른 책임을 고스란히 떠안아야 하는 셈이다.

송영관 KDI연구위원은 “은행에 2002년 도입된 공인인증서는 그동안 자체 기술개발이 거의 없었다”며 “보안에 상당히 취약한데도 금융당국은 물론 은행들도 별다른 조치를 취하지 않았다”고 지적했다.

▶ 관련기사 ◀
☞ [뻥뚫린 공인인증서]대안은…해킹·재발급 불가능한 보안토큰 의무화해야
☞ [뻥뚫린 공인인증서]"나도 모르게 인증서 재발급돼 1000만원 털렸다"
☞ [뻥뚫린 공인인증서]13년째 보안기술 제자리 공인인증서 '범죄 무방비'