'이체 가능 PC지정→공인인증서 비밀번호 입력→피싱 방지용 이미지인증→로그인'
은행들이 피싱(Phishing) 피해를 막기 위해 손해를 감수하고 '빗장'을 걸어 잠그고 나섰다. 본인 인증 절차를 까다롭게 만드는가 하면 인터넷대출 등 쏠쏠한 수익원도 포기했다. 보안강화를 요구하는 사기 전화나 문자 메시지 전송 후 은행 홈페이지 주소ㆍ내용을 흡사하게 꾸민 피싱사이트로 고객을 유인해 계좌번호와 비밀번호 등을 알아내는 사기가 늘고 있는 탓이다.
3일 금융권에 따르면 우리은행 고객은 8일부터 인터넷 대출 및 예ㆍ적금 해지시 콜센터에서 걸려온 전화를 받고, 본인이란 사실을 확인 받아야 한다. 유료 일회용비밀번호생성기(OTP)를 거치지 않은 인터넷 및 스마트뱅킹 예금담보대출을 잠정 중단한 지 한달 만에 후속조치가 또 나온 것이다.
NH농협은행은 지난달 30일부터 인터넷 예ㆍ적금 신탁담보 대출과정에 콜센터의 고객 본인인증 확인을 추가했다. 콜센터 업무시간(오전9시~오후6시)이 지난 뒤엔 문자메시지 승인번호 확인 및 전자서명을 거쳐야 대출을 받을 수 있다. 농협 측은 "본인이 확인되지 않으면 자동으로 대출이 취소된다"며 "피싱사이트가 교묘해져서 은행들이 적극적으로 방어에 나서지 않으면 안 되는 지경에 이르렀다"고 말했다.
앞서 KB국민은행과 하나은행, 기업은행도 인터넷 예금담보대출 서비스를 잠정 중단했다.
고객 스스로 문단속을 강화할 수 있는 길도 다양해졌다. 과거 공인인증서 비밀번호를 한번만 입력하면 개인계좌 정보를 모두 볼 수 있지만, 이제는 2중 3중의 보안문을 통과해야만 로그인, 자금이체를 할 수 있도록 조치를 취하고 있다.
사전에 등록된 PC에서만 이체작업을 할 수 있는 '이용 PC지정' 서비스도 있고(국민, 우리은행), 로그인할 때 피싱사이트와 구분할 수 있도록 고객이 직접 선택한 이미지와 문자가 표시되도록 해주는 '피싱방지 개인화 이미지' 서비스(외환, 국민은행)도 있다. 또 신한, 산업은행 등은 문자와 숫자 조합의 이체비밀번호를 추가로 지정하도록 했다.
이처럼 은행들이 피싱과의 전쟁을 선포하고 나선 것은 사기 건수가 폭발적으로 늘고 있는데다 수법이 날이 갈수록 교묘해지고 있어서다. 한국인터넷진흥원(KISA)에 따르면 올해 1분기에 적발한 피싱사이트만 1,218개다. 2010년까지 매년 한 자릿수에 불과하던 발생 건수가 작년(1,849개)부터 폭발적으로 늘었다.
수법 역시 은행 홈페이지 주소 알파벳을 살짝 바꾸거나 첫 화면을 실제 홈페이지와 비슷하게 구성해 놓는 방향으로 진화했다. 심지어 피싱사이트 홈페이지를 열자마자 '피싱사이트에 유의하세요'라고 팝업창이 뜨거나 안전 수칙 등을 올려놔 이용자들을 안심시키고 있다.
김자봉 한국금융연구원 연구위원은 "우리나라는 피싱사이트 공격을 세계에서 6번째로 많이 당하고 있고 2007년 이후 피해액만 3,000억원이 넘는 상황"이라며 "피싱사이트가 개설돼 범죄행위 후 폐쇄까지의 시간도 89시간으로 세계 평균(55시간)을 크게 웃돌고 있다"고 지적했다. 이어 "은행들의 보안 강화와 더불어 전자상거래 사이트의 지나친 개인정보요구 제한, 피싱사이트의 폐쇄 시간 단축 등 제도적 노력이 뒷받침돼야 한다"고 말했다.
강아름기자 saram@hk.co.kr
기사 URL이 복사되었습니다.
댓글0