충격적이고 기상천외한 방법으로 금융공격 발전

아파트 근처에서 IP도용해 피싱등 공격 시도

금융사고의 마지막 수비수는 자기 자신

금융감독원은 오는 9월 전자금융거래시 해킹 방지 대책을 마련하기 위해 금융보안연구회를 발족할 예정이다. 지금보다 좀더 획기적인 방안들이 나올 수 있을지 기대를 모으고 있다.

하지만 금융사고는 항상 예측불허의 방법으로 터진다. 그래서 금융권 보안담당자들은 정기적인 커뮤니티를 통해 은행권 전체에 일반적으로 도입됐거나 준비중인 보안 시스템 이외에 고도의 보안 공격들에 대한 정보공유에 사활을 걸고 있다.

대부분의 금융권 정보보호 담당자들은 현재 시스템만으로도 웬만한 해킹에는 끄떡없다고 말한다. 하지만 최고 하이레벨의 공격자들의 최첨단 공격에는 여전히 불안하다는 입장이다. 또한 한 은행이 뚫릴 경우 비슷한 보안체계를 갖고 있는 전체 은행이 모두 불안해 질 수 있다는 점이 불안감을 가중시키는 요인이다.

금융감독원 IT감독팀 김인석 팀장은 “범인들은 해킹으로 얻은 정보 즉 계좌, 이름, 비밀번호 등을 알아낸 다음 이것만으로는 돈을 인출할 수 없기 때문에 은행직원을 사칭해 당사자에게 전화를 걸어 보안카드 번호를 묻고 대부분 사람들이 속아서 알려주는 경우가 대부분”이라고 설명했다.

하나은행 관계자는 “지난해 9월 하나은행 사이트를 모방한 피싱사이트로 인해 피해가 발생할 뻔한 사건이 있었다. 범인들은 피싱으로 얻어낸 정보를 이용해 은행직원을 사칭 이용자 본인에게 전화를 걸어 1천만원을 입금하면 1억원 대출을 승인해주겠다는 식의 사기를 친 것이다. 고객들은 대부분 속아 넘어가 금융정보를 주고 돈도 입금한 경우가 있다”고 말했다.

이처럼 이용자들이 전혀 눈치 챌 수 없는 방법으로 공격자들은 교묘한 방법들을 사용하고 있다. 특히 최근 발신자표시를 수정할 수 있어 전화번호는 해당 은행 콜센터 전화번호를 찍어 놓고 전화를 하는 등 보다 완벽한 속임수를 쓰고 있다고 한다.

모 은행 금융보안 담당자는 “남의 돈을 빼내가려는 자들은 절대 유추가능한 방법으로 범행을 저지르지 않는다”고 말했다.

기상천외한 방법들을 몇가지 알아보자.

그리 사람 왕래가 많지 않은 곳에 현금인출기가 놓여 있다. 김씨는 현금을 인출하기 위해 자신의 카드를 넣고 비밀번호를 누른다. 하지만 기계에서는 ‘오늘은 서비스 불가’라는 메시지만을 보여준다.

김씨는 별다른 의심없이 현금이 떨어진 인출기로 생각하고 카드를 빼내 다른 인출기를 찾아 나선다. 하지만 그 인출기는 벌써 김씨의 계좌번호와 이름, 비밀번호 등을 모두 데이터에 저장하고 있었다.

그렇게 며칠만 세워두면 그 인출기에는 수백명의 개인 금융정보가 고스란히 들어있게 된다. 범인이 이렇게 빼낸 정보들을 이용해 은행담당자로 사칭해 전화후 보안카드 번호를 알아내고 돈을 인출해나가면 속수무책이 된다.

이 방법은 실제로 사이버테러대응센터에 검거된 금융사기범의 고백을 통해 알게 된 충격적인 사실이다. 그들은 다음 범행을 이런 식으로 구상을 하고 있었던 것이다.

또한 무선인터넷이 발달하면서 범죄자들은 자신의 IP노출을 피하기 위해 대단지 아파트 근처에서 노트북으로 그 아파트가 할당 받은 IP중 하나를 골라 그 IP로 해킹공격이나 피싱사이트를 개설해 금융정보를 빼내가기도 한다.

이쯤 되면 아무리 금융감독원에서 보안정책을 만들고 은행에서 이를 잘 수행한다 하더라도 막아내기 힘들 정도다. 보안정책은 항상 발빠른 공격자들의 뒤를 따라가기도 사실은 빠듯하다. 이러한 기상천외한 금융보안 공격들에 마지막 수비는 이용자 자신이라는 점도 잊지 말아야 한다. 은행이나 증권사에서 아무리 좋은 대책을 준비해도 이용자 본인의 보안의식이 투철하지 않다면 점점 발전해가는 금융 공격들을 막기는 역부족이 아닐까.

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>