보안카드번호등 3중 관문 뚫려
수정 2005-06-04 10:28
입력 2005-06-04 00:00
●자판 입력글자 실시간으로 훔쳐 봐
이씨는 한 인터넷 카페에 글을 올리고 이 글을 마우스로 클릭하면 자동으로 그 사람의 컴퓨터에 ‘넷 데블’이 깔리도록 했다. 여기에 김모(42)씨가 걸려들었고 이후 김씨가 입력한 인터넷뱅킹 아이디, 패스워드, 공인인증서 비밀번호, 보안카드번호 등이 송두리째 이씨의 컴퓨터로 전송됐다.
●보안카드 번호 수십번 입력 끝에 맞춰
경찰은 이번에 보안카드 번호 입력의 허점이 그대로 드러났다고 지적했다. 본인을 확인하기 위한 마지막 단계로 이용자는 보안카드에 있는 30개의 비밀번호들 중 하나를 안내에 따라 입력해야 한다.
한번 접속해서 거래를 요청할 때마다 시스템은 새로운 보안카드 번호를 요구하도록 돼 있다.
용의자 이씨는 피해자 김씨가 갖고 있는 30개의 보안카드 번호 가운데 한 개만 알고 있었지만 끈질기게 접속해 수십번의 시행착오를 거친 끝에 결국 보안카드 번호를 맞춰 계좌이체에 성공했다.
●보안번호 입력 3번 실수땐 뱅킹 차단을
경찰은 “보안카드 번호가 3번 이상 잘못 입력되면 인터넷뱅킹이 중단되게 하는 등의 추가 안전장치가 필요하다.”고 말했다. 또 상당수 은행들은 보안프로그램을 설치하지 않으면 더 이상 진행이 되지 않게 하고 있지만 이번에 사고가 난 곳처럼 일부 은행들이 프로그램 설치 여부를 이용자가 선택할 수 있게 하고 있는 것도 문제로 지적되고 있다.
이번 사고에 대해 은행들은 고객 부주의 쪽으로 책임을 몰았다. 사고가 난 은행 관계자는 “고객이 보안카드를 잃어버려 생기는 사고는 개인 부주의에 의한 것으로 은행이 책임지지 않는다.”면서 이번 사고도 사실상 은행이 책임질 수 없다는 뜻을 밝혔다.‘전자금융거래 기본약관’ 23조는 ‘정확한 비밀번호를 입력하고 지시대로 처리할 경우 은행의 과실이 아닌 위조 등 사고이므로 은행은 책임지지 않는다.’고 규정돼 있다. 경찰 관계자는 “올 1월 재정경제부가 ‘고의나 중과실이 없는 금융사고의 경우 금융기관이 책임을 부담한다.’는 내용을 포함한 전자금융거래법을 국회에 제출했지만 금융권이 난색을 표시해 아직도 처리되지 않고 있다.”고 설명했다.
●은행들 “개인 부주의”… 책임 회피
다른 시중은행 관계자는 “우리 은행은 인터넷뱅킹 접속과 동시에 키보드 해킹방지 프로그램이 자동적으로 설치되기 때문에 전혀 문제가 없다.”면서 “보안장치를 개인이 선택하게 한 은행이어서 문제가 생긴 것”이라고 말했다.
그러나 인터넷뱅킹의 허점이 드러난 만큼 보안문제를 재점검하는 등 대책이 시급하다. 인터넷뱅킹 이용(자금이체+대출신청) 규모는 올 1·4분기 기준 하루평균 176만 4000건에 금액으로는 11조 1000억원에 이른다. 공인인증서 가입자 수는 1000만명이 넘는다. 인터넷에서 배포되는 무료 프로그램이나 보안성 검증이 되지 않은 프로그램은 함부로 내려받지 않아야 하며 보안패치나 바이러스 백신프로그램을 수시로 업데이트해야 한다.
인터넷뱅킹 등 금융거래를 할 때는 해당기관에서 제공하는 ‘파이어월(firewall)’이나 ‘엔프로텍트(nprotect)’ 등 방화벽 프로그램을 반드시 실행해야 한다. 경찰은 “최근에는 바이러스백신에서 바이러스뿐 아니라 해킹도구 등도 검색해내기 때문에 정기적으로 검사를 해야 한다.”고 말했다.
이효연기자 belle@seoul.co.kr
2005-06-04 22면
Copyright ⓒ 서울신문 All rights reserved. 무단 전재-재배포, AI 학습 및 활용 금지
