중국 해커 전자금융 허점 `텔레뱅킹` 노린다

글자 작게 글자 크게 인쇄하기

#IT업계에 종사하는 직장인 조모 씨는 지난해 11월 29일 일본 출장 중 신칸센을 타고 이동하다 S은행에서 황당한 전화를 받았다. 13차례에 걸쳐 현금 4169만원이 다른 금융기관 계좌로 무단 이체됐다는 청천벽력 같은 소식이었다. 7년 동안 한 번도 이용하지 않은 텔레뱅킹을 통해 대포통장으로 대규모 자금이 이체된 것이다.

자료:한국은행
<자료:한국은행>

최근 1억2000만원의 텔레뱅킹 사고가 발생한 농협 외에도 S은행 등 다른 시중은행서도 텔레뱅킹 허점을 노린 대규모 자금이체 사고가 발생한 것으로 드러났다. 공인인증서 없이 거래되는 텔레뱅킹이 전자금융 보안 허점으로 부상했다.

25일 업계는 파밍 악성코드를 대규모로 유포해 금융정보를 수집한 공격자들이 이체가 복잡한 인터넷뱅킹 대신 텔레뱅킹 허점을 파고들었다고 분석했다.

빛스캔(대표 문일준)은 실제로 공인인증서 등 금융정보를 수집한 공격자 서버를 분석한 결과 ‘텔레뱅킹 시도’라는 문구를 확인했다. 공인인증서 탈취가 늘어나고 이에 대한 대응조치가 빨라지자 남은 금융정보로 텔레뱅킹을 시도한 정황이다. 인터넷이나 모바일 뱅킹보다 먼저 시작된 텔레뱅킹은 지금은 사용률이 낮다.

2007년 마련된 전자금융감독규정에 따르면 개인고객 텔레뱅킹은 1회 5000만원, 하루 2억5000만원 안에서 은행이 자율적으로 한도를 정하고 있다. 대부분 은행은 규정에서 정한 최고 금액을 한도로 설정했다. 금융권은 지난 3월 급증하는 전자금융 사고 피해를 예방하려고 이체 한도를 보안등급에 따라 낮췄지만 사고는 끊이지 않았다.

공격자는 인터넷이나 모바일 뱅킹보다 보안에 대한 관심이 낮은 텔레뱅킹으로 눈을 돌렸다. 대부분 피해자는 인터넷이나 모바일 뱅킹이 활성화된 후 텔레뱅킹을 쓰지 않다가 전자금융 사기 피해에 노출됐다. 텔레뱅킹 서비스 가입을 해지하지 않은 탓이다. 은행 간 인수합병으로 피 인수된 은행서 가입했던 텔레뱅킹 서비스 계약이 그대로 이어진다는 사실도 간과했다. 은행은 수년 간 텔레뱅킹을 사용하지 않았는데도 아무런 의심 없이 계좌를 이체해줬다.

김인순기자 insoon@etnews.com