<신종 해킹="" 피해자="">
-은행홈피서 보안번호 입력후‘먹통’
-몇 시간 후 3천여만 원 새어나가
-경찰도 당황, 은행도 상황파악 안돼
<김윤진 금융감독원="" 부국장="">
-보안카드 허점 이용한 새로운 수법
-보안백신 업데이트,OTP 이용해야
-해킹 의심땐 지급정지신청 후 신고김윤진>신종>■ 방송 : FM 98.1 (07:00~09:00)
■ 진행 : 김현정 앵커
■ 대담 : 피해자 한진 씨, 김윤진 금융감독원 IT감독국 부국장
요즘 인터넷뱅킹 많이들 하시죠? 그런데 정상적인 은행 홈페이지에 가서 공인인증서를 설치하고 은행에서 준 보안카드까지 제대로 입력을 했는데 갑자기 오류가 납니다. 그냥 컴퓨터가 오류 날 수도 있지 했는데, 수 천 만원이 알 수 없는 사람의 통장으로 빠져나갔습니다. 이게 어떻게 된 걸까요.
요즘 인터넷뱅킹의 신종사기수법이 기승을 부리면서 금융감독원에서는 소비자경보까지 발령을 했다는데요. 오늘 자세한 얘기 짚어보죠. 먼저 신종사기수법의 피해자, 한진 씨 연결이 되어 있습니다.
◇ 김현정> 상황을 좀 자세히 듣고 싶은데요. 언제, 어디서 일어난 일입니까?
◆ 한진> 2013년 8월 1일, 4시경에 제가 인터넷뱅킹을 시도 했는데요. 즐겨찾기한 신한은행 정상사이트로 들어갔어요. 그래서 비밀번호하고 이런 걸 정상적으로 입력 했어요.
◇ 김현정> 그때 정상적인 사이트에 들어가신 건 분명한가요?
◆ 한진> 그렇죠. 제가 일반사업자이기 때문에 매일 인터넷뱅킹을 많이 하거든요.
◇ 김현정> 평소에도 인터넷뱅킹을 많이 하세요?
◆ 한진> 네. 그렇기 때문에 사이트를 보면 딱 알아요. 그리고 화면 사이트에 보면 신한은행 동그랗게 표시가 되어 있어요. 그걸 바탕화면에 꺼내놓고 클릭을 하는 거죠.
◇ 김현정> 바탕화면에 아예 즐겨찾기로, 그러니까 바로가기를 해 놓고 클릭을 하셨군요?
◆ 한진> 네. 바로가기를 바탕화면에 해 놨다가 그걸 클릭해서 들어가는 거죠.
◇ 김현정> 거기에 들어가서 자동 이체할 금액을 입력 하고, 이체할 통장 계좌번호를 적어놓고. ‘보안카드 입력’하라는 메시지가 떴습니까?
◆ 한진> 네. 6자리 인증번호하고, 보안카드 앞뒤 숫자 두 자리를 입력하라고 해요. 그걸 입력했는데 오류가 뜨는 거예요.
◇ 김현정> 그 순간 에러가 났어요? 정확하게 화면에는 메시지가 뭐라고 떴습니까?
◆ 한진> 오류메시지가 안 뜨고, 아예 안 넘어가는 거예요.
◇ 김현정> 그냥 멈췄어요?
◆ 한진> 멈춰버린 거죠.
◇ 김현정> 흔히 말하는 컴퓨터가 다운된다고 하는 상태인가요?
◆ 한진> 네.
◇ 김현정> 가끔 그런 일이 발생하니까 그럴 수도 있죠.
◆ 한진> 네. 그래서 저도 ‘컴퓨터에 렉이 걸렸던가, 아니면 은행사이트에 전산상 에러가 떠서 그런가보다.’ 하고 그 창을 닫았어요. 끄고 나서 내가 또 잘못 입력한 게 있나 해서 다시 신한은행 정상사이트로 들어갔습니다. 다시 들어가서 순서대로 또 시작한 거죠. 그러고 나서 다시 보안카드 앞뒤 두 자리를 눌렀더니 또 화면이 멈추는 거예요.
◇ 김현정> 똑같은 자리에서 또 멈췄군요?
◆ 한진> 네. ‘이게 왜 그러지? 이상하다.’ 싶었는데, 그 상황에서 거래처 손님이 와서 일을 보다 보니까 시간이 늦었어요. ‘아, 내일 해야겠다.’ 생각하고 잊어버린 거죠.
◇ 김현정> 혹시 그때 보안카드에 적혀 있는 숫자를 다 입력하라거나 그런 메시지가 뜬 것도 아니고요?
◆ 한진> 그런 건 절대 없었습니다.
◇ 김현정> 정상적인 것과 똑같이, 그러니까 보안카드 (두 자리를) 입력하는 것까지 간 거예요?
◆ 한진> 네. 맞습니다.
◇ 김현정> 그런데 사건은 그날 새벽에 벌어졌다고요?
◆ 한진> 정확한 시간은 1시 43분이에요.
◇ 김현정> 아예 시간까지 기억을 하고 계시네요?
◆ 한진> 네. 너무 충격이 크니까 다 기억하죠. 한 번에 9번이 띵띵띵띵 소리가 났어요.
◇ 김현정> 휴대전화에서 알림메시지인가요?
◆ 한진> 네. 그런데 제가 뒤척이면서 ‘아, 누가 문자를 이렇게 심하게 보냈나.’ 귀찮더라고요. 새벽에 잠결이니까 못 일어났어요. 그러다가 2시 반경에 제가 화장실을 가면서 메시지 확인을 해 봤더니 모르는 계좌 9군데로 299만원이 쫙 다 빠져나간 거예요.
◇ 김현정> 그러니까 한 차례당 299만원씩, 그렇게 9번?
◆ 한진> 네.
◇ 김현정> 어디에서 누가 인출해 갔다고 찍히지 않습니까?
◆ 한진> 그러니까 ○○○ 이라는 사람이 우리은행으로 찍혔고, 우체국으로도 찍혔고요. △△△, 그리고 ◇◇◇ 이름으로 해서 우리은행에 또 찍혔고요.
◇ 김현정> 그러니까 9명 이름이 다 달라요?
◆ 한진> 같은 이름도 2개 있고요.
◇ 김현정> 한진 씨가 그쪽으로 입금한 걸로 돼 있는 거죠?
◆ 한진> 네.
◇ 김현정> 9군데, 전혀 모르는 사람한테 보낸 걸로 이름이 주르륵 떴다는 말씀인데요. 그런데 왜 299만원이었을까요?
◆ 한진> 그래서 다음 날 경찰조사를 했어요. 조사를 했더니 ‘300만원 이상이면 인출이 바로 안 된다.’고 해요.
◇ 김현정> 300만원 이상을 인출 하고 나면 그다음에는 시간이 걸리거든요.
◆ 한진> 네. 시간이 걸리기 때문에 걔네들이 바로 인출을 못 하니까. 10분 정도 된다고 하더라고요. 지급정지를 방지하기 위해서 299만원씩 빠져나갔을 거라고 하더라고요.
◇ 김현정> 그럼 총 얼마가 나간 겁니까?
◆ 한진> 2,691만원이요.
◇ 김현정> 경찰에 신고하셨어요?
◆ 한진> 신고하고 조사까지 다 했죠.
◇ 김현정> 지금 경찰에서는 어떻게 파악을 하고 있습니까, 이 상황을?
◆ 한진> 처음에는 ‘파밍’ 이라고 무조건 우기더라고요.
◇ 김현정> 파밍, 그러니까 가짜 유사사이트에 잘못 들어간 거 아니냐?
◆ 한진> 네. 그래서 ‘아니다. 정상적인 사이트에 들어갔다. 유출을 한 것도 아니고, 내 주민번호 누른 것도 아니고, 보안카드 어디다 공유한 것도 아니다.’ 했더니 ‘그래요? 이런 경우는 처음.’ 이라고 하시면서. 거기 있는 사람들도 제가 이 사건에 대해서 이야기를 했더니 ‘저도 조심해야 되겠네요. 나도 OTP카드로 바꿔야 되겠네.’ 이러면서 당황스러워하더라고요.
◇ 김현정> 그분들도 처음 보는 거라니까 그럴 수도 있겠네요. 참 답답한 노릇입니다. 2,691만원, 이거 어떻게 버신 돈이세요?
◆ 한진> (한숨) 진짜 피땀 흘려서 번 돈이죠. 그리고 말일에 결제를 해 줘야 되는데, 지금 결제를 못 해주니까 공장에서 물건도 중지된 상태고요.
◇ 김현정> 보상받을 수 있는 길은 없다고 합니까?
◆ 한진> 전혀 없습니다.
◇ 김현정> 그냥 개인의 실수, 이러면 끝입니까?
◆ 한진> 무조건 경찰조사가 나와야만 해결이 된다.
◇ 김현정> 그러니까 정상적인 은행 사이트에 들어가서 정상적으로 시키는 대로 했는데, 이런 일이 발생한 거면 고객의 실수라고 보기 어려운데요?
◆ 한진> 근데 은행 측에서는 ‘자기네도 모르는 상황’이기 때문에, 오히려 저한테 물어보더라고요. ‘어떤 식으로 진행이 되며 어떻게 되냐고.’
◇ 김현정> 아무쪼록 신속하게 범인이 잡혀야 할텐데요. 오늘 어려운 상황에서 인터뷰 고맙습니다.
인터넷뱅킹 신종 사기수법에 당한 피해자, 한진 씨를 먼저 만나봤습니다. 어떻게 이런 일이 가능한 걸까요. ‘소비자경보’를 내린 곳이죠. 금융감독원 IT감독국의 김윤진 부국장, 연결을 해 보겠습니다.
(자료사진)
◇ 김현정> 가짜사이트에 들어간 것도 아니고요. 정상적인 은행사이트로 들어갔는데 갑자기 이런 문제가 생기다니, 이게 무슨 일인가요?
◆ 김윤진> 이게 종전에는 소비자를 피싱이나 파밍사이트로 유도해서 35개의 보안카드 비밀번호 전체를 입력하도록 했었는데요. 최근에는 피싱이나 파밍사이트에 대한 소비자들의 인식이 높아져서 이러한 방식으로는 보안카드 번호를 빼내갈 수 없게 되자, ‘소비자의 PC를 악성코드에 감염시킨 후에 정상적인 인터넷뱅킹 진행과정에서 보안카드번호 앞 두 자리와 뒤의 두 자리를 탈취’하는 방식으로 사용하고 있습니다.
◇ 김현정> 아무리 악성코드를 심어놨다고 해도 보안카드 전체를 입력한 게 아니라 보안카드의 1번의 앞의 두 자리, 11번의 뒤 두 자리, 이렇게만 입력을 했다는 건데. 어떻게 돈을 빼가죠?
◆ 김윤진> 우리가 통상 인터넷뱅킹을 할 때 이체금액, 이체계좌번호, 계좌비밀번호를 입력하고 보안카드 번호 2개를 입력하지 않습니까? 악성코드가 이때 보안카드번호 2개를 탈취하고, 고객PC에 장애를 일으켜서 인터넷거래를 중단시키거나 비정상적으로 종료하게 만듭니다.
◇ 김현정> 그러니까 보안카드 2개를 들여다본 후에 컴퓨터를 다운시켜버려요?
◆ 김윤진> 그렇습니다. 그런 다음에 해커는 이미 확보한 소비자의 공인인증서, 계좌비밀번호 등과 함께 지금 탈취한 보안카드번호를 이용해서 피해자 계좌에서 돈을 빼가게 되는 것이죠.
◇ 김현정> 그런데 범인이 다시 그 은행에 접속을 하더라도 다른 보안카드번호를 요구하잖아요. 이번에는 5번의 앞 두 자리, 그리고 20번의 뒤 두 자리 넣어라, 이런 식 아니에요?
◆ 김윤진> 이거는 아마 자금이체 도중에 오류 등으로 거래가 중단된 후 거래를 다시 시도하게 되면, 이전에 요구했던 동일한 보안카드번호를 요구하도록 하는 제도적인 점을 악용한 방식이라고 할 수 있습니다.
◇ 김현정> 예를 들어서 제가 이체를 하다가 보안카드 2번의 앞 두 자리, 그리고 13번의 뒤 두 자리 번호를 입력하다가 컴퓨터가 꺼졌어요. 다시 은행에 들어가서 실행을 하면, 또다시 2번과 13번의 번호를 똑같이 요구한다고요?
◆ 김윤진> 네. 과거에 해커가 여러 번 시도해가지고 어떤 특정한 사람의 보안카드번호 35개 전체를 조합할 수 있는 거를 방지하기 위해서, 반복해서 시도하는 걸 방지하기 위해서 동일한 보안카드번호를 요구했던 것이죠.
◇ 김현정> 그러면 내 컴퓨터가 악성코드에 감염이 돼서 범인이 내 컴퓨터를 들여다보고 있는지 없는지는 모르잖아요. 우리가 할 수 있는 게 있습니까?
◆ 김윤진> 일단 악성코드에 감염됐는지 여부는 개인이 알 수는 없지만 금융회사에서 배포하는 백신프로그램을 최신 것으로 업데이트한다면 충분히.. 물론 치료 초기에는 피해를 입을 수 있지만 장기적으로는 치료를 할 수 있게 됩니다.
◇ 김현정> 일단 금융기관에서 배포하는 백신을 바로바로 업데이트해서 깔아라, 이게 첫 번째 대처법이고요. 또 있습니까?
◆ 김윤진> 그 다음에는 일단 OTP라고, 1회용 비밀번호가 있는데요. 이게 아마 보안카드보다는 좀 더 안전할 것으로 생각이 됩니다. 그래서 ‘OTP를 보안매체’로 사용하는 것이 좋을 것 같고요.
◇ 김현정> 1회용 비밀번호죠. 이거는 은행에 가서 다시 신청해야 되죠? ‘저는 보안카드 말고 OTP 주세요.’ 이렇게?
◆ 김윤진> 네. 그렇게 하면 됩니다. OTP는 3000원에서 1만원 정도의 비용이 소요되는 게 보안카드하고는 다른 점이고요.
◇ 김현정> 그래서 많이들 안 쓰시거든요. 일단 이렇게 된 이상은 그걸로 교체하는 게 좋겠다는 말씀.
◆ 김윤진> 그 다음에 최근에는 거래은행에서 ‘전자금융사기 예방서비스’를 아마 시행하고 있을 것입니다. 전자금융사기 예방서비스라는 것은 자금이체시에 SMS 문자인증 등으로 본인확인절차를 한 번 더 하게 되는 제도인데요. 그걸 가입해서 이용을 하시면 조금 더 안전하게 인터넷뱅킹을 하실 수 있게 될 것 같습니다.
◇ 김현정> 그런데 그렇게 미리 예방하는 것을 못 했다. 못 하고 있다가 정상거래 중에 보안카드까지 넣었는데 컴퓨터가 멈추는, 그러니까 앞의 피해자와 같은 상황을 당했다 하면 어떻게 하는 게 좋습니까?
◆ 김윤진> 일단은 즉시 거래은행에 지급정지신청을 해야 되고요.
◇ 김현정> 바로 내 거래를 정지해 달라고 신청하라.
◆ 김윤진> 네. 지급정지신청을 하고, 경찰청 112로 신고를 하시면 되고요. 금융감독원에도 국번 없이 1332로 신고하시면 되겠습니다.
◇ 김현정> 이런 피해사례가 지금까지 몇 건이나 접수됐습니까?
◆ 김윤진> 저희 금융소비자보호처의 지난번 통계로는 한 19건 정도 민원이 접수 됐고요. 경찰청 발표에 의하면 지난 6월부터 7월까지, 두 달간 약 88건에 5억 5,000만원 정도 피해가 있는 것으로 집계가 되고 있습니다.
◇ 김현정> 지금 청취자 문자도 들어오는데요. ‘컴퓨터가 중지됐을 때 그 다음에 똑같은 보안카드번호를 요구하는 것, 이 시스템도 바꿔야 되지 않겠느냐. 큰 허점이다.’ 지적을 하시거든요?