국내 전자금융시스템에서 인감 역할을 하는 공인인증서가 피싱(Phishing·키워드 참조)과 파밍(pharming·키워드 참조), 스미싱(Smishing·키워드 참조) 등 각종 해킹 공격에 속수무책 당하고 있다. 전문가들은 연일 진화하는 해킹 수법을 원천 차단할 수 있는 방법이 없는 만큼 소비자 스스로 보안 수준을 높여 인증서 지키기에 나서야 한다고 강조한다.
12일 금융권에 따르면 한국인터넷진흥원(KISA)은 최근 보안업체 '빛스캔'의 제보로 피싱·파밍 사이트를 점검하던 중 악성코드로 수집된 공인인증서 유출 목록 약 6950개를 발견하고 금융결제원을 비롯한 5개 인증기관에 통보해 유출된 인증서를 모두 폐기하도록 조치했다. 이번에 유출된 공인인증서로 인한 피해사례는 신고되지 않았다고 밝혔다.
앞서 11일에는 스마트폰 고객의 인증 정보가 스미싱(문자로 전송된 인터넷 주소를 클릭하면 악성코드가 설치돼 스마트폰 정보를 탈취하는 행위)을 통해 빠져나가 삼성카드(029780)의 모바일 결제수단인 '앱카드' 고객 54명이 6000만원대의 피해를 본 사실이 알려지기도 했다.
공인인증서는 예금거래나 지급결제 등 국내 전자금융 거래 전반에 이용되는 인증 수단이다. 한국은행에 따르면 공인인증서는 2000년부터 발급되기 시작해 현재까지 3000만건 넘게 발급됐다. 현재 공인인증서는 주요 금융회사의 인터넷·모바일뱅킹 ID를 대체하기도 해 비밀번호까지 유출될 경우 금전적 피해로 이어질 가능성이 크다.
전문가들은 공인인증서가 해킹 피해에 노출되지 않도록 예방하는 것이 최우선이라고 말한다. 이를 위해서는 인증서를 PC보다는 이동식 보관매체에 저장하고, 백신 소프트웨어 업데이트로 사용하는 컴퓨터의 보안 수준을 높여야 한다.
한국인터넷진흥원 관계자는 "최근 발견된 악성코드는 사용자가 모르게 파밍 웹사이트로 유도해 PC를 감염시킨 뒤 원하는 개인 데이터를 무단으로 유출할 수 있다"며 "피해를 예방하려면 현재 사용 중인 컴퓨터의 백신 소프트웨어와 보안 업데이트를 최신으로 유지해야 한다"고 조언했다. 이번에 발견된 악성코드는 보호나라(www.boho.or.kr)를 통해 배포 중인 전용백신으로 치료할 수 있다고 덧붙였다.
또 "공인인증서는 유출 방지 기능이 있는 보안토큰 등의 안전한 저장장치에 보관해 사용하는 편이 안전하다"고 강조했다. 보안토큰(HSM)이란 전자 서명 생성키 등의 비밀 정보를 안전하게 저장하고 보관할 수 있는 저장매체다.
공인인증서 비밀번호 관리에도 주의를 기울여야 한다고 했다. 특수문자나 기호 등을 포함시키는 방법으로 유추하기 어렵게 만들고, 일반적으로 사용하는 웹사이트 비밀번호와 다르게 설정하는 편이 좋다는 것이다. 주기적으로 비밀번호를 바꾸는 것도 안전한 관리를 위한 방법 가운데 하나다.
박근태 금융감독원 IT보안팀장도 "공인인증서는 통상 파일 형태로 저장되기 때문에 복사 자체가 매우 쉽다"며 "해킹에 당하기 쉬운 PC의 하드디스크에 저장하기 보다는 이동식디스크(USB)나 보안토큰에 인증서를 저장하고, 잘 알지 못하는 웹사이트에 개인정보를 절대로 입력하지 말아야 한다"고 말했다.
최근 발생한 앱카드 개인정보 도용 문제와 관련해선 "아이폰과 공인인증서 방식을 결합할 때 사고 발생 우려가 큰 것으로 분석됐다"면서 "아이폰에 앱카드를 설치할 때에는 유선 전화 인증이나 신용카드 cvc값 입력 등의 추가인증을 반드시 거치도록 할 것"이라고 말했다.
소비자들은 자신의 공인인증서 유출이 의심되거나 악성코드 배포가 의심되는 웹사이트를 발견할 경우 한국인터넷진흥원(118)에 신고해 도움을 받을 수 있다. 또 불법이체로 인한 피해가 발생할 경우엔 경찰청(112), 금감원(1332), 금융회사 콜센터에 즉시 신고해 지급 정지를 요청해야 한다. 휴대전화 소액결제로 인한 피해나 자료 유출 등 스미싱 피해를 입으면 경찰청이나 사이버테러대응센터(182)로 신고해 안내를 받으면 된다.
☞피싱
개인정보(Private data)와 낚시(Fishing)의 합성어로 개인정보를 낚는다는 뜻. 금융기관이나 공공기관을 가장해 전화, 이메일 등으로 인터넷 웹사이트에서 보안카드 일련번호와 코드번호 일부 등을 입력하도록 요구해 금융정보를 빼가는 수법
☞파밍
악성코드에 감염된 PC를 조작해 이용자가 정상 홈페이지 주소로 접속해도 피싱(가짜) 사이트로 유도해 범죄자가 개인 금융정보 등을 몰래 빼가는 수법
☞스미싱
웹사이트가 포함된 문자 메시지를 보내 소액 결제를 유도하거나 악성코드를 심는 사기수법