금융사 개인정보 유출 충격이 여전한 가운데 최근 보안 사고가 끊임없다. 시중은행 공인인증서 유출에 모바일 앱카드 변조 사건도 발생했다. 정부와 금융사가 초기에 발견해 폐기하거나 차단해 소비자 피해가 크지 않았지만 곱씹어볼 게 많은 사건이다.
금융결제원은 인터넷에서 악성코드로 수집한 공인인증서 유출 목록을 찾아내 일괄 폐기했다. 우리은행은 유출 고객 인터넷뱅킹을 중단시켜 피해를 막았다. 다른 것보다 안전하다고 여겨진 공인인증서다. 그래도 유출된다. 지난해에도 한국인터넷진흥원이 이를 발견해 금융결제원이 폐기했다. 사기꾼들은 개인 고객을 유인사이트로 끌어들여 정보를 빼냈다. 개인 잘못도 있겠지만 워낙 수법이 교묘해 누구나 당할 수 있다. 더욱 안전한 장치를 은행과 당국이 강구해야 한다.
모바일 앱카드 명의 도용은 새 유형의 범죄다. 실제로 피해도 있었다. 삼성카드 고객 53명이 6000만원의 금전적 피해를 봤다. 피해 고객은 문자메시지로 온 인터넷 주소를 눌렀더니 악성코드가 심어졌다. 사기꾼들은 이를 통해 확보한 정보로 모바일 앱카드를 만들어 썼다.
모바일 앱카드는 앱 형태로 된 모바일카드다. 하지만 유심이나 금융마이크로SD로 발급한 일반 모바일카드와 달리 등록 정보로 보안 절차를 밟는다. 사기꾼들은 유심 칩에서 기기번호(전화번호)를 불러오지 않아 전화번호를 변조할 수 있는 아이폰을 쓴 사용자를 노렸다. 금융감독원은 어제 6개 카드사 전문가들과 긴급 대책 회의를 갖고 이러한 기술적 취약점을 보완하기로 했다.
그나마 초기에 문제를 발견해 다행이다. 정보유출 대란 학습효과가 생긴 모양이다. 하지만 금융결제 사고는 애초 발생하면 안 된다. 발생할지라도 그 즉시 대처할 정도로 사전에 그 취약성을 인지하고 대책까지 세워놓아야 한다. 사후에 모여 원인 분석을 하는 것을 보니 이런 대비가 전혀 없었다는 얘기와 다를 바 없다. 고객 확보와 서비스 출시에 열중한 나머지 보안 취약성을 소홀히 점검한 것은 아닌지 금융사와 당국 모두 반성해야 한다. ‘돌다리도 두드려 보고 건넌다’는 속담은 금융 보안의 철칙이다.
