보이스피싱·스미싱·파밍에 공인인증서·보안카드 노출
신입금계좌 지정 확대되면 피해액 50만~100만 원에 그쳐
[일요서울 | 김나영 기자] 이제는 다소 익숙해진 보이스피싱·스미싱·파밍 등 금융사기가 금융권 최상의 보안방식인 일회용비밀번호(OTP) 생성에도 손길을 뻗쳤다. 그것도 파밍의 경우 금융당국과 관련된 공공기관을 사칭하며 이용자의 인터넷뱅킹을 마비시키는 대담함까지 보였다. 이에 보안과 관련된 금융소비자들의 불안이 급증하면서 관련 조치가 줄을 잇는 모습이다.
일회용비밀번호(One Time Password) 생성기는 인터넷뱅킹 등 전자금융거래 시 비밀번호를 1분마다 새로 생성해 사용자의 안전을 추구하는 보안매체다. 현존하는 최고등급의 보안매체라는 장점 뒤에는 발급 시 소요되는 비용, 휴대에 따르는 불편함, 배터리 소진에 의한 재발급 리스크 등 단점도 존재한다.
그러나 최근 잇따른 개인정보 유출과 공인인증서 탈취, 보안카드 노출 등 전자금융사기가 급격히 증가하면서 OTP에 대한 관심도 증가하고 있다. 보다 안전한 거래에 대한 갈망이 다른 단점을 상쇄하고도 남을 만큼 범사회적인 금융사고 경고등이 켜진 셈이다.
이체한도 일괄 하향에 OTP 1천만명 시대
금융보안연구원에 따르면 OTP를 사용하는 금융소비자는 지난 5월 기준 1000만 명을 넘어섰다. 금보원은 OTP 이용자가 매년 100만 명 이상 꾸준히 증가하고 있으며 전자금융사기 예방서비스 시행과 개인정보 유출 사고 이후 OTP 발급량이 급증했다는 분석을 내놨다.
또한 금융감독원에 따르면 OTP를 통한 금융거래 건수는 지난 3월 기준 1억6480만건으로 지난해 말 1억620만건보다 2.9% 증가했다. 그럼에도 전체 인터넷뱅킹 사용자 대비 OTP 이용자를 계산하면 그 비중은 아직 10분의 1 수준으로 높지 않다.
이에 금융사들은 OTP 발급 확대에 심혈을 기울이고 있다. 일정 기간 OTP 발급비용을 무료로 내걸고 이용자들을 늘리는 것에서 나아가 비이용고객은 아예 이체한도를 제한하는 식이다. 실제로 시중은행들은 OTP 비이용고객의 보안등급을 일괄적으로 한 단계 떨어뜨리고 이체한도를 낮췄다.
예를 들어 KB국민은행은 OTP 비이용고객의 1회 및 1일 이체한도를 일괄 1000만 원으로 하향했다. 기존의 1회 이체한도는 1000만~5000만 원, 1일 5000만~2억5000만 원이었다. 대부분의 이용자가 OTP가 아닌 보안카드를 사용하는 것을 감안하면 이는 상당한 제한이 아닐 수 없다.
하지만 이 같은 노력에도 불구하고 OTP마저 금융사기 망에 걸려들면서 경계심이 그 어느 때보다도 높아지고 있다. OTP 이용자의 PC에 몰래 악성코드를 심은 후 계좌비밀번호와 OTP 생성번호 등을 탈취하는 금융사기가 발생한 것이다.
미지정계좌 송금 시 자동 중단하도록 바꿔
현재 금융사기 수법은 고전으로 분류되는 전화사기인 보이스피싱에서 가짜사이트를 통한 정보 유출을 유도하는 파밍에 이르기까지 범위가 넓어진 상태다.
먼저 보이스피싱(Voice phishing)은 전화사기로 음성(voice)과 개인정보(private data), 낚시(fishing)를 합성한 신조어다. 예전에는 사고나 납치 등을 가장해 피해자가 직접 돈을 송금하도록 했으나 근래에는 검·경찰 등을 사칭하며 금융정보를 빼돌리는 것이 특징이다.
또 스미싱(Smishing)은 문자사기로 문자메시지(SMS)와 피싱(phishing)을 합성한 것이다. 발신자가 불분명하지만 사용자의 관심을 확 끄는 모바일 청첩장, 등기번호, 할인쿠폰 등으로 클릭을 유도한다.
이에 반해 파밍(Pharming)은 피싱보다 한 단계 진화한 형태로 사용자 PC를 악성코드로 감염시킨 후 가짜사이트로 유도해 금융정보를 탈취한다. 이를 막는 보안패치가 강화되자 아예 PC 메모리에 저장된 데이터를 조작하는 메모리 해킹(memory hacking)까지 등장했을 정도다.
저마다 수법을 달리 하는 이러한 금융사기들은 한층 증가세를 보이며 금융소비자들을 위협하고 있다. 피싱으로 통칭되는 사기는 해마다 5000명이 넘는 이용자에게 피해를 입혔다. 금융당국에 따르면 2006년부터 지난해까지 발생한 보이스피싱 건수는 총 4만4816건이며 피해액은 4758억 원에 달한다.
더불어 OTP를 노린 금융사기 수법은 보이스피싱과 파밍 모두에서 발견됐다. 게다가 파밍의 경우 금융당국과 공공기관을 사칭한 팝업창을 띄워 정보를 미입력하면 인터넷뱅킹을 중단시키는 수법으로까지 발전했다.
금융사들은 이용자들의 금융사기 사례가 OTP까지 확대된 것을 우려하며 저마다 보안강화에 나섰다. 국민은행의 경우 지난 15일부터 OTP 이용고객이 인터넷뱅킹 상으로 개인 전화번호를 변경할 경우 ARS 인증절차를 추가로 도입했다.
더 나아가 신한·하나은행 등은 이달 말부터 신입금계좌지정 서비스를 실시한다. 사용자의 지정계좌가 아닌 곳으로 자금이체 시 1일 최대 100만 원 미만의 소액이체만 허용하는 제도다. 앞서 우리은행은 지난해 말부터 원터치안심이체 서비스를 통해 미지정계좌 송금 시 1일 최대 50만 원 미만이 아니면 이체가 자동 중단되도록 하기도 했다.
이러한 서비스가 시행되면 각종 피싱으로 계좌비밀번호 등 금융정보가 유출되더라도 미리 지정한 계좌 이외에는 송금이 전혀 이뤄지지 않는다. 미지정계좌 이체한도 옵션도 1일 최대 50만~100만 원에 불과하기 때문에 기존 수천만 원대의 큰 피해도 막을 수 있다.
한편 금융당국에서는 기존 OTP를 권유했던 정책방향을 바꾸지는 않되 OTP 이용자들에게 주의를 환기시키겠다는 방침을 내세웠다. 특히 이용자들 스스로가 PC에 악성코드 등이 깔리지 않도록 주의하고 어떤 상황에서도 OTP 생성번호 등을 노출하지 않는 것이 중요하다는 당부를 곁들였다.
금융당국 관계자는 “OTP 이용자가 지속적으로 증가하는 만큼 비슷한 피해사례가 확산될 가능성이 있다”면서 “OTP 발급을 독려하고 있는 금융사들과 OTP 이용자들에게 해당 사례를 널리 알리고 반복된 피해가 발생하지 않도록 막을 것”이라고 말했다.
nykim@ilyoseoul.co.kr
김나영 기자 nykim@ilyoseoul.co.kr
