파밍(pharming) 수법으로 금융사 고객 컴퓨터에 담긴 개인 보안정보가 사상 최대 규모로 유출됐다고 한다. 금융결제원은 최근 동일한 악성코드로 수집된 461개 고객 공인인증서 목록 뭉치를 발견했다. 금융사 고객이 파밍 사이트에 접속해 입력한 공인인증서를 빼돌려 모아둔 것으로 언제든 금융사기에 활용될 수 있는 상황이었다. 결제원은 유출된 공인인증서를 모두 폐기했다고 밝혔지만, 온라인 금융의 안전성은 또다시 타격을 입게 됐다.
파밍은 악성코드를 컴퓨터에 심어 이용 고객이 정상적인 주소로 은행 사이트에 접속해도 가짜 사이트에 연결되도록 하는 금융사기 수법이다. 금융사가 보낸 이메일을 위장해 가짜 사이트 접속을 유도한 뒤, 개인정보를 빼돌렸던 지금까지의 피싱(phishing)에 비해 한 단계 더 나아간 것이다. 물론 범죄자들이 공인인증서와 암호를 빼돌렸다고 해서 당장 돈을 가로챌 수 있는 건 아니다. 인터넷뱅킹 계좌이체 등을 할 경우, 실제 송금 시엔 보안카드번호 입력 등 추가 안전장치가 있기 때문이다. 그렇지만 공인인증서 유출은 범죄가 온라인 금융시스템에 좀 더 깊이 침투한 것인 만큼 결코 가볍게 넘길 일이 아니다.
설 직전엔 파밍 수법으로 빼낸 개인정보를 이용해 금융사 고객의 예금 수억 원을 빼돌린 금융사기 조직이 적발되기도 했다. 당장 보안시스템 강화가 시급한 이유다. 우선 금융사 범용 IP 변조 탐지기능이 있는 보안 소프트웨어 설치를 서둘러야 할 것으로 지적된다. 일회용 비밀번호를 이용한 인증(OTP) 방식을 확대하거나, 예금 계좌이체 시 추가인증 등의 대책도 정밀하게 보완될 필요가 있다.
일벌백계의 강력한 처벌도 검토할 때다. 금융위원회는 지난주 온라인 금융사기에 대한 처벌을 오프라인 사기와 동일한 수준으로 강화하기 위해 ‘전기통신금융사기 피해금 환급에 관한 특별법’ 개정을 추진하겠다고 밝혔다. 하지만 온라인 금융사기는 오프라인과 달리, 시스템 전반을 위협해 피해가 불특정화ㆍ일반화 할 여지가 큰 만큼 안보차원의 가중처벌을 통해 심각성을 일깨울 필요가 있다.
기사 URL이 복사되었습니다.
댓글0