인터넷뱅킹 시스템을 해킹해 피해자의 계좌에서거액을 인출한 용의자가 경찰에 붙잡혀 인터넷뱅킹을 이용하고 있는 이용자들을 크게 불안하게 하고 있다.
계좌 비밀번호나 공인인증서 암호를 단순도용한 사건은 과거에도 있었지만 다중의 보안체계를 갖춘 인터넷뱅킹을 해킹한 것은 국내 최초의 사례라는 것이 경찰의설명이다.
◆ 범행수법 = 고교를 중퇴한 이모(20)씨는 해킹프로그램을 이용해 몇 년 전부터 `리니지' 등 인터넷 게임의 아이템과 게임머니를 도용해왔다.
이씨가 범행에 사용한 N해킹프로그램은 인터넷뱅킹 시스템 자체를 뚫는 해킹프로그램이 아니라 피해자가 입력하는 키보드 정보를 실시간으로 모니터링 할 수 있는간단한 프로그램으로 인터넷 P2P(개인간 파일공유)사이트 등에서 쉽게 다운 받을 수있다는 것이 이씨의 설명이다.
이 프로그램은 피해자가 인터넷을 돌아다니다 특정 글을 클릭하면 자신도 모르게 컴퓨터에 자동으로 설치되며 이때부터 피해자가 누르는 키보드내용이 이씨의 컴퓨터에 실시간으로 전송되게 된다.
이씨는 자신의 컴퓨터를 통해 피해자가 누르는 계좌번호, 아이디, 패스워드, 공인인증서 비밀번호, 보안카드 번호 등을 알아낼 수 있었던 것이다.
◆ 문제점= 은행 등 금융기관은 인터넷뱅킹 시스템에서 여러 장치를 통해 본인확인을 거치도록 시스템을 마련했으나 이처럼 본인확인을 위한 여러 비밀번호들이그대로 노출되면 대책없이 당할 수밖에 없는 것이 현실이다.
금융기관은 본인확인을 위해 본인에게만 지급하는 `보안카드' 시스템을 활용해거래할 때마다 보안카드에 나온 30여 개의 서로 다른 비밀번호 가운데 하나를 입력도록 하고 있다.
하지만 30여개의 보안카드번호 가운데 단 하나라도 유출되면 이 또한 무용지물.
한번 로그인해서 거래를 요청할 때마다 시스템은 새로운 보안카드 비밀번호를 요구하도록 돼 있지만 결국 30번 이상 끈질기게 로그인하다보면 결국 한번은 범인이알고 있는 비밀번호가 맞게 돼 계좌에 접근할 수 있다는 것이 경찰측 설명이다.
또한 금융기관은 `전자금융거래 기본약관' 23조에 명시된 `정확한 비밀번호를입력하고 지시대로 처리할 경우 은행의 과실이 아닌 위조 등 사고이므로 은행은 책임지지 않는다'는 내용을 들어 손해배상을 회피하고 고객에게 책임을 넘기고 있는것도 문제다.
◆ 대책= 무엇보다도 인터넷을 이용하는 네티즌들의 주의가 필요하다.
인터넷에서 배포되는 무료 프로그램이나 보안성 검증이 되지 않은 프로그램은함부로 다운받지 않아야 하며 보안패치나 바이러스 프로그램을 수시로 업데이트해야한다.
인터넷뱅킹 등 금융거래를 할 때는 해당기관에서 제공하는 `firewall'이나 `nprotect' 등 방화벽 프로그램을 반드시 실행해야 한다.
금융기관도 보안카드 제도의 허점을 보완해 보안카드 번호를 입력하기 직전에뱅킹거래를 중도취소할 경우 이를 확인하는 절차를 시스템 상에 마련해야 한다는 것이 경찰의 지적이다.
소비자에게 일방적으로 책임을 전가하는 전자금융거래 약관에 대해서도 적절한 개선조치가 필요할 전망이다.
올 1월 재경부는 `고의나 중과실이 없는 금융사고의 경우 금융기관이 책임을 부담한다'는 내용을 포함한 `전자금융거래법'을 국회에 제출했지만 금융권이 난색을표시해 아직도 처리되지 않고 있다고 경찰은 설명했다.
(서울=연합뉴스) 김병조 기자
