피싱 입증시 금융사, 배상책임은 없을 듯

고객위해 피싱에 대한 적극적인 대처 필요

보안에서 ‘피싱’은 논리적 취약점과 사회공학적 취약점을 이용한 공격방법 중 하나로 참 해결하기 어려운 공격방법 중 하나에 속한다. 특히 피싱은 금융거래 정보를 빼내 실제로 돈을 인출해가려는 정확한 목적이 있기 때문에 피해가 발생하면 심각한 사회문제를 야기시킬 수 있다.

지난달 국민은행과 농협 고객 4,000여명의 정보가 대량으로 유출된 사건도 복합적인 해킹공격과 피싱사이트를 이용해 고객의 정보를 빼낸 최근 사례다.

금융보안연구원 해킹대응팀 성재모 팀장은 “포털과 같이 대량의 이용자가 사용하는 사이트에 악의적 해커가 이용자들이 자신도 모르게 트로이목마를 다운 받도록 하는 해킹 프로그램을 숨겨놓고 그 사이트를 방문하는 이용자들 PC에 트로이목마가 깔리도록 설정한다. 이 트로이목마는 감염 PC를 사용하는 이용자가 금융기관으로 가려고 클릭하면 피싱사이트로 넘어가도록 조작하는 역할을 하게 된다”고 밝혔다.

그런데 문제는 일반인들이 이 사이트가 피싱사이트인지 실제 국민은행이나 농협사이트인지 구분하기가 힘들다는 점이다. 전자금융법은 향후 보안사고가 발생해도 그 사고에 대해 은행이 정확한 사건 이유와 원인을 밝혀내면 손해배상을 하지 않아도 된다고 밝히고 있다.

그렇게 보면, 이번 국민은행과 농협 고객정보 유출건으로 인해 피해가 발생하면 고스란히 고객이 피해를 보게 되는 것이다. 물론 금감원이나 금융결제원의 신속한 조치로 인해 이번 사건으로 인한 피해는 없을 것으로 보인다.

금보연 성재모 팀장은 “피싱 피해와 관련해서는 해외에서도 은행이 피해자들에게 보상은 하지 않는 것으로 알고 있다. 하지만 은행입장에서는 이미지에 큰 손상을 입을 수 있기 때문에 피싱이라고 해서 손을 놓고 있을 수 없다”며 “모 은행에서는 피싱을 방지하기 위해 자신이 처음 해당 은행 사이트에 접속해 가입을 하게 되면 자신만의 아바타를 지정하고 해당 사이트를 접속할 때 이를 확인하면 피싱 피해를 막을 수 있기 때문에 이를 적극 도입하는 은행도 있다. 이처럼 피싱이나 파밍과 같은 공격에도 은행권에서 적극적인 대처가 필요한 상황이고 금융보안연구원에서도 대응법을 연구중에 있다”고 말했다.

피싱이라는 것이 입증되면, 금융권에 실질적인 배상 책임이 돌아가지는 않는다고 전문가들은 말하고 있다. 하지만 자사 고객들의 피해를 팔짱을 끼고 구경만 할 수는 없는 입장이다. 이를 위해 아바타 시스템을 도입하든, 개개인만 알 수 있는 표식 시스템을 취하든 피싱 문제만큼은 금융권 사이트에서 해결해야 할 또 하나의 큰 과제라고 할 수 있다.     

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>