• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

인터넷뱅킹 피싱 피해, 더 이상 안돼! 2012.09.14

오는 25일부터 전자금융사기 예방서비스 시범 시행

공인인증서 재발급 및 전자자금 이체시 본인확인절차 강화


#사례 1. ‘개인정보유출로 보안승급필요’라는 문자메시지 발송에 의한 피싱 피해사례

2012년 5월 25일 사기범은 경기도 거주 김모씨에게 ‘개인정보유출로 보안승급필요’라는 문자메시지를 발송, 피싱사이트로 유도해 인터넷뱅킹과 공인인증서 재발급에 필요한 정보를 입력토록 한 후, 피해자 명의로 공인인증서를 재발급 받아 인터넷뱅킹을 통해 피해자 계좌에서 1,200만원을 사기범 계좌로 이체하여 편취함.


#사례 2. ‘위조사이트’를 이용한 피싱 피해사례

2012년 8월 14일 사기범은 정모씨(여)에게 사이버경찰청 수사관을 사칭하여 피해자의 통장을 다른 사람이 쓰고 있어 조사가 필요하다며, 위조된 사이버경찰청 사이트에 금융정보 일체를 입력토록 한 후 피해자 명의로 공인인증서를 재발급 받아, 인터넷뱅킹을 통해 피해자 계좌에서 15차례에 걸쳐 2,800만원을 이체해 편취함.


[보안뉴스 권 준] 허위 문자메시지나 피싱사이트를 통한 인터넷 뱅킹 피해가 줄어들지 않고 있다. ‘개인정보유출로 보안승급필요’라는 문자메시지를 발송해 허위 은행사이트로 유도한 후, 공인인증서를 재발급 받아 돈을 가로채는 범죄가 끊이지 않고 있는 것이다. 


이렇듯 인터넷뱅킹 사기가 최근 다시 극성을 부리자 금융위원회, 금융감독원, 경찰청 등의 관계기관으로 구성된 합동 T/F팀은 올해 1월부터 추진 중인 ‘보이스피싱 피해방지 종합대책’의 일환으로 오는 9월 25일부터 ‘전자금융사기 예방서비스’를 시범 시행할 방침이다.


‘전자금융사기 예방서비스’는 공인인증서 재발급 및 인터넷뱅킹을 통한 전자자금 이체시 본인 확인절차를 강화하는 것을 의미한다.  

현재는 공인인증서 재발급 및 자금이체 시 보안카드 또는 OTP만으로 본인확인절차를 수행하고 있으나, 앞으로는 지정된 단말기를 이용하거나 미지정 단말기에서는 휴대폰 SMS 인증, 2채널 인증 등의 추가확인 절차가 필요해진다.     


이는 올해 1월에서 5월까지 공인인증서 재발급을 통한 인터넷뱅킹 사기 피해규모가 약 1,310건, 금액으로는 210억원으로 추정된 데 따른 것이다.


이번 조치에 따라 강화된 본인확인 절차가 적용되는 경우는 공인인증서를 재발급 받거나 타행 발급 공인인증서를 등록하는 경우, 그리고 인터넷뱅킹을 통해 1일 누적기준으로 300만원이상 이체하는 경우에 해당된다.   


이러한 경우에 해당하는 개인 고객은 거래은행 인터넷 뱅킹 홈페이지를 통한 신청과정을 거쳐 미지정 단말기의 경우 기존 보안카드 또는 OTP(One Time Password)에 휴대폰 SMS 인증을 추가하거나 2채널 인증을 신청하거나 영업점을 방문해 1회용 비밀번호를 인증 받으면 된다. 이러한 방법과 함께 앞으로는 지정단말기를 이용한 경우에만 공인인증서 재발급 및 전자자금 이체가 가능해진다.


이번 전자금융사기 예방서비스는 국내은행의 경우 오는 9월 25일부터 시범 시행되고, 증권사·저축은행 등의 비은행권은 현재 시스템 구축이 완료는 내년 1사분기 중 시범 시행할 예정이다.


이를 바탕으로 공인인증서 재발급의 경우 내년 상반기 전면 시행을 목표로 추진 중인 것으로 알려졌는데, 공인인증서 재발급 강화 절차가 반영될 행정안전부의 ‘전자서명법’ 시행규칙 개정내용과 시행시기, 시범 서비스 진행상황 등에 따라 조금 유동적일 것으로 보인다.  


이번 서비스의 기대효과와 관련해 금융당국 관계자는 “사기범이 고객정보를 획득하더라도 인터넷뱅킹 접속에 필요한 공인인증서 재발급이 어려워지므로 피싱 피해를 예방할 수 있고, 300만원 이상 자금이체 시 추가확인 절차를 거치도록 함으로써 예금인출 피해를 사전에 예방할 수 있다”고 밝혔다.


덧붙여 그는 “이번 서비스 이용을 위해서는 금융회사에 신청절차 등 다소의 불편이 예상되나 본인의 금융자산을 스스로 보호한다는 차원에서 적극적으로 이용할 필요가 있다”며, “금융기관은 보안카드 번호 전체를 입력하도록 요구하지 않기 때문에 금융거래 중요정보 입력을 유도하는 피싱사이트에는 보안카드 번호나 금융거래정보 등을 함부로 입력하지 않도록 주의해야 한다”고 당부했다.


이에 앞서 금융당국은 지난 5월부터는 최초 카드론 300만원 이상 이용시 2시간 지연 입금제도를, 6월부터는 300만원 이상 이체자금의 10분간 지연인출제도를 시행하고 있다.

[권 준 기자(editor@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>