게임아이템 실시간 계좌이체 가능한 허점 노려 1억여 원 빼내

[보안뉴스 오병민] 공인인증서를 해킹해 은행계좌에서 게임아이템 구매 후 되파는 방법으로 억대 금액을 빼낸 공격자들이 경찰에 잡혔다.

이들 피의자들은 공인인증서만으로 금융거래는 불가능하지만 실시간 계좌이체 서비스 등 일부 결제서비스는 공인인증서만으로 거래가 가능하다는 것을 악용한 것으로 알려져 사용자들의 공인인증서 관리에 주의가 요구되고 있다.

 

인천지방경찰청은 최근 골프장 광고 메일을 발송해 악성 프로그램을 설치하고 이를 이용해 아이템거래를 통한 은행계좌 거래로 1억 7천만원 상당의 금액을 빼낸 일당을 붙잡았다고 23일 밝혔다. 경찰은 이들 중 2명은 정통망법 위반으로 구속영장을 신청하고 3명은 불구속 입건했다.

이들 피의자들은 보안카드와 OTP 등  없이 공인인증서만으로는 계좌이체 등의 인터넷뱅킹 거래가 어렵다는 것을 파악하고 공인인증서만으로도 결제가 가능한 서비스를 노렸다.

아이템거래 사이트를 비롯해 국내 일부 전자상거래 사이트에서는 공인인증서만 있으면 마일리지 충전이 가능한 실시간 계좌이체 서비스를 제공하고 있기 때문. 물론 이런 사이트들은 개인의 계좌에 한해서만 거래가 가능하도록 했지만 공격자가 키로깅과 원격접속이 가능한 프로그램을 이용하는 이상 이런 정보를 얻는 것은 어려운 일이 아니었다. 결국 이들은 아이템거래 마일리지를 충전해 아이템을 사서 되파는 형태로 돈을 빼냈다.

한 보안전문가는 피의자들이 이용한 해킹프로그램은 간단한 인터넷 검색으로도 충분히 찾을 수 있는 흔한 프로그램이라고 설명했다. 전문 해커가 아니라도 금전을 목적으로 하는 사이버 범죄를 저지를 수 있다는 얘기다.

결국 이번 사건을 계기로 공인인증서에 의존한 전자금융거래의 허점에 대한 대대적인 검증이 필요하다는 의견이 제기되고 있다. 해킹 프로그램을 어렵지 않게 구할 수 있는 상황에서 공인인증서만으로 거래가 가능한 서비스는 악성 공격자들에게 악용될 우려가 있기 때문이다.  

더불어 사용자들의 보안의식도 더욱 높아져야 할 것이라고 전문가들은 입을 모은다. 철저한 공인인증서 관리를 비롯해 주기적인 보안 업데이트와 백신검사 등 스스로 자신의 정보를 지키려는 노력이 있어야 피해가 줄일 수 있다는 것.

보안업계의 한 전문가는 “특정파일을 빼내거나 키보드 입력정보를 수집하는 프로그램은 인터넷 카페 등에서 어렵지 않게 구할 수 있기 때문에 이런 환경에서 사용자들은 서비스 제공자들의 보안 서비스에만 의존할 것이 아니라 스스로 자신의 정보를 지키려는 노력이 필요하다”고 강조했다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>