시중은행들은 자체 전산 보안을 강화하고 소비자들이 인터넷뱅킹 범죄에 노출되지 않도록 주의사항을 홍보하는 데 주력하고 있다.
◇ 이메일 보관 인증서 해킹 = 11일 은행업계에 따르면 국민은행은 최근 일부 포털사이트의 이메일 계정이 해킹돼 보관 중이던 공인인증서가 유출.도용되는 사례가 발생했다며 소비자들의 주의를 당부했다. 이는 최근 대구지역에서 발생한 이메일 계정 해킹 사건과 연관이 있다.
범인은 유명 포털사이트의 이메일 계정을 해킹해 보관 중이던 공인인증서를 복사했다.
마침 공인인증서의 비밀번호가 이메일 비밀번호와 같아 범인은 해당 인증서를 이용해 2천만원 어치를 불법으로 결제했다.
국민은행은 이에 따라 이메일 계정 등 정보 유출이 쉬운 곳에 공인인증서를 보관하는 것은 매우 위험하다며 USB 저장장치 등 본인이 직접 관리할 수 있는 매체에 보관할 것을 당부했다.
또 공인인증서의 비밀번호를 이메일 계정의 비밀번호 등 다른 비밀번호와 똑같이 설정하는 것도 위험하다며 이 경우 해당 은행 홈페이지에서 공인인증서를 폐기하고 재발급받는 것이 좋다고 조언했다.
◇ 날로 교묘해지는 수법 = 최근에는 '피싱'에서 한 단계 더 발전한 '파밍' 수법이 등장해 은행들이 잔뜩 긴장하고 있다.
피싱(Phishing)이란 개인 정보(Private data)와 낚시(Fishing)의 합성어로 유명회사를 사칭하는 이메일을 발송하거나 인터넷 광고, 대출 정보 게시 등을 통해 위장된 사이트로 접속을 유인해 계좌번호, 주민등록번호, 인증서 비밀번호, 보안카드 비밀번호 등 금융 정보를 입력하도록 유도하는 사기수법이다.
요즘에는 피싱이 파밍(Pharming)이라는 신종 수법으로 교묘해지고 있다.
이메일을 통해 가짜 웹사이트로 유도하는 피싱과 달리 파밍은 사용자 컴퓨터에 트로이목마 프로그램을 심어 은행의 공식 인터넷뱅킹 주소를 아예 바꿔버린다.
일례로 국민은행의 인터넷뱅킹을 실행하기 위해 'www.kbstar.com'이라는 공식 웹사이트 주소를 쳤는데 컴퓨터는 국민은행 공식 사이트가 아닌 해커가 만든 위장 사이트로 이동한다.
이는 이전에 해당 컴퓨터를 해킹해 인터넷주소 연결 정보를 바꿔버렸기 때문에 나타나는 현상이다.
은행업계 관계자는 "피싱이든 파밍이든 개인의 신상 정보를 획득하는 것이 목적이기 때문에 평소 인터넷뱅킹 때 묻지 않는 다양한 정보를 한꺼번에 입력하는 화면이 나오게 된다"며 "시중은행의 인터넷뱅킹 사이트는 이 같은 정보를 결코 한꺼번에 묻지 않는다"고 말했다.
은행들은 의심이 갈 경우 정보 입력을 즉시 멈추고 경찰청 사이버 테러대응센터(☎02-3939-112)나 한국정보보호진흥원(☎02-118 또는 02-1336, phishing@certcc.or.kr), 피싱신고 접수 사이트(www.krcert.or.kr) 등에 신고할 것을 당부했다.
◇ 소액 결제도 해킹 우범지대 = 공인인증서 없이 소액 결제가 가능한 전자지불시스템 역시 최근 들어 해커들에게 공격받는 횟수가 부쩍 늘어나고 있다.
최근에는 전자지불시스템에서 해킹된 정보를 이용해 한국씨티은행 고객의 신용카드가 5천만원 어치 무단 결제되는 사건까지 발생했다.
범인들이 전자지불시스템을 공격해 씨티은행 고객의 카드 정보와 비밀번호 등을 알아낸 후 인터넷 상에서 사이버 머니를 충전하는 방식으로 신용카드를 도용한 것으로 알려졌다.
범인들은 은행보다 보안이 취약한 전자지불시스템 회사의 30만원 미만 결제를 표적으로 삼았다.
30만원 미만의 거래에서는 공인인증서 없이 카드번호와 ID, 비밀번호 등 간단한 정보만 입력하면 된다는 점을 악용했다.
여기에는 다른 은행들과 달리 전자지불 때 신용카드 뒷면의 위변조 방지번호(CVC코드)를 입력하지 않아도 되는 씨티은행의 보안상 취약점도 이용했다.
◇ 금융사 직원 사칭 사기 빈발 = 은행.카드사 등 금융사, 검찰청.경찰 등 수사기관, 국세청.국민건강보험공단 직원 등을 사칭해 개인정보를 요구하거나 자동화기기를 통해 계좌 이체를 요구하는 사례도 많다.
이들은 신용카드 대금이 연체돼 빨리 대금 결제를 하지 않으면 피해가 발생한다며 성명, 주민등록번호, 계좌번호 등 고객 정보를 요구하거나 과다 납부한 세금 중 일부를 환급한다며 인근 자동화기기로 유인해 계좌 이체를 하게 한다.
또 금융기관 명의로 대출 광고 이메일을 발송해 실제 사이트와 비슷한 사이트로 유도한 후 개인 신상 정보나 금융 정보를 빼내기도 한다.
