하나은행 인터넷뱅킹 고객 예금계좌에서 예금 2000만여원이 무단 인출되는 사건이 발생, 경찰이 수사에 착수했다. 현재로서는 은행 개인 PC 해킹 가능성이 높아 사용자 차원의 각별한 주의가 요구된다.
서울 강남경찰서는 지난달 5일 오후 하나은행 인터넷뱅킹을 통해 고객 A씨의 예금 2100만원이 타 은행계좌로 무단 인출됐다고 9일 밝혔다.
◇인증서도 ‘속수무책’=A씨는 중국에 등록된 IP주소가 1월 4일 밤 자신의 은행계좌에 접속했다는 경고를 다음날 오전, 역시 거래를 하고 있는 국민은행으로부터 받고 공인인증서를 재발급 받았으나 3시간여 만에 예금 인출 피해를 입었다.
경찰은 범인이 A씨 PC를 해킹해 공인인증서를 손에 넣은 뒤 사용자가 입력하는 키 값을 관찰해 비밀번호를 알아낸 것으로 보고 있다. 범인은 A씨의 국민은행 계좌에도 접속했으나 잔고가 없어 예금을 인출하지는 못한 것으로 알려졌다.
◇PC해킹에 무게=현재 정황으로는 고객 PC 해킹에 의한 것으로 보인다. 경찰 측은 “입력한 키보드 문자를 분석하는 키로그 프로그램 등을 통해 A씨 PC가 해킹됐을 가능성이 있다”고 밝혔다. 하나은행도 “인터넷뱅킹 시스템 해킹 흔적은 보이지 않는다”고 설명했다.
악성코드, e메일 등을 통해 사용자 PC에 백도어를 설치한 후 키로깅 등의 방식으로 공인인증서 정보와 계좌 비밀번호를 절취했다는 것이다. 또 보안카드 역시 물리적으로 도난당하지 않았던만큼 PC에 설치한 백도어를 통해 정보를 탈취한 것으로 추정된다.
◇보안 생활화만이 예방책=전문가들은 윈도 업데이트를 수시로 실행하고 최신 백신프로그램을 사용할 것을 권유한다. 또 키로깅 프로그램을 이용한 키값 탈취가 잦은만큼 번거롭더라도 마우스를 사용한 비밀번호를 입력하는 것이 바람직하다고 강조했다.
더불어 현재 낮은 등급의 금융거래에는 사용되지 않는 일회용비밀번호(OTP)나 보안토큰을 의무화해야 한다는 지적도 있다. PC나 일반 USB에 저장된 공인인증서는 해킹당하기 쉽고, 보안카드 역시 경우의 수가 단순해 해킹이 쉽다는 것이다.
보안업체 유니포인트의 안국필 부사장은 “OTP와 보안토큰을 사용하지 않는다면 이러한 사례가 또다시 벌어질 수 있다”며 “정부 차원의 개인 인터넷뱅킹 보안 강화책이 필요하다”고 주장했다.
이호준·문보경기자 newlevel@etnews.co.kr