곳곳에 구멍… 댁의 ‘스마트 금융’은 안녕하십니까 기사의 사진

회사원 박모씨의 스마트폰에는 8개의 금융 거래 애플리케이션(앱)이 깔려 있다. 처음에는 보안 문제가 염려돼 모바일뱅킹 등을 사용하지 않았지만 거래내역 조회, 이체 등이 편리해 하나둘 사용하기 시작한 게 이렇게 늘었다. 현재 사용하는 앱은 은행 4개, 증권사 1개, 카드사 2개와 앱카드 1개다. 불안감이 완전히 가신 것은 아니다. 전자금융사기 뉴스를 접할 때마다 ‘혹시’하는 마음에 덩달아 불안해진다.

12일 한국은행에 따르면 2013년 스마트폰뱅킹(스마트폰 기반 모바일뱅킹) 등록 고객 수는 3719만명으로 전년에 비해 55.2% 증가했다. 이용건수와 금액도 각각 66.5%, 59.0% 늘었다. 은행들은 스마트폰 이용이 늘면서 스마트뱅킹 앱 서비스 확대에 나서고 있다. 카드사 역시 스마트폰에 앱을 내려받아 실물카드처럼 사용할 수 있는 앱카드 보급에 앞장서고 있다.

이처럼 금융 앱 사용이 늘고 있지만 여전히 보안은 취약하다. 금융사고가 터질 때마다 금융사들이 보안 대책을 내놓고 있지만 틈을 파고든 교묘한 수법이 계속 등장하고 있기 때문이다.

특히 최근에는 금융 결제에서 본인 확인 수단으로 활용되는 공인인증서까지 범인(해커)들 손에 넘어가는 피해까지 발생하고 있다. 이처럼 시중은행 공인인증서가 해킹으로 유출돼 금융당국이 일괄 폐기하는가 하면 스미싱(문자메시지에 악성코드를 심어 정보를 빼내는 해킹 수법)을 통해 공인인증서 정보 등을 빼가기도 한다. 악성코드가 진짜 은행 앱을 삭제하고 가짜 은행 앱을 자동으로 깔아 고객이 은행앱을 사용할 때 금융정보를 빼가는 게 대표적인 수법이다. 특히 최근에는 차세대 결제수단으로 부상하고 있는 앱카드도 해킹의 표적이 됐다. 스미싱을 통해 탈취한 공인인증정보 등으로 직접 삼성카드 앱카드를 내려받아 게임사이트 등에서 6000만원을 몰래 결제한 사실이 포착된 것이다.

앱카드는 본인의 휴대전화에만 설치할 수 있다. 본인의 휴대전화인지를 확인하는 과정에서 휴대전화의 고유번호를 읽어야 하는데, 아이폰의 경우 악용 소지를 방지하고자 번호가 읽히지 않도록 막혀 있다. 범인들은 아이폰의 이런 허점을 이용해 앱카드를 자신의 휴대전화에 내려받고 환금성 게임사이트에서 결제에 이용했다.

삼성카드 관계자는 “피해고객 50여명에게 이미 피해사실을 알리고 신용카드 사용 중단 및 재발급 조치를 취했다”며 “카드부정사용방지시스템(FDS)을 통해 미리 확인했기 때문에 고객에게는 결제 금액을 청구하지 않아 고객의 금전적 손실은 없다”고 설명했다.

삼성의 앱카드 방식은 다른 5개 회사들도 사용하고 있다. 금융감독원은 12일 카드사 관계자들을 불러 앱카드 시스템을 긴급 점검했다. 다른 피해 사례는 없는 것으로 확인됐다. 금감원은 각 카드사에 공인인증서 방식을 사용하지 않도록 권고했다. 특히 사고가 난 아이폰의 경우 앱카드 설치 시 반드시 추가 인증을 거치는 등의 보완책을 내놓도록 했다.

금융보안연구원 관계자는 “과거엔 스미싱으로 인한 소액결제 피해가 많았는데 지금은 대부분 공인인증서를 훔쳐가는 방식”이라며 “스미싱을 피하기 위해 가장 중요한 것은 문자메시지로 출처를 알 수 없는 인터넷 주소가 왔을 때 열어보지 않는 것”이라고 당부했다.

박은애 기자 limitless@kmib.co.kr

트위터페이스북구글플러스