해커, '가짜 사이트' 만들어 정보 빼네
  • ▲ 시중은행 공인인증서 수백 개가 유출돼 금융결제원이 일괄 폐기한 사실이 확인됐다. 사진은 한 시중은행의 파밍(가짜) 사이트. ⓒ 금융감독원 제공
    ▲ 시중은행 공인인증서 수백 개가 유출돼 금융결제원이 일괄 폐기한 사실이 확인됐다. 사진은 한 시중은행의 파밍(가짜) 사이트. ⓒ 금융감독원 제공

    시중은행 공인인증서 7천여건 유출돼 금융결제원이 일괄 폐기한 사실이 확인됐다. 이번엔 내부 정보 유출이 아닌, 외부에서의 해킹으로 인한 피해로 추정된다.

12일 금융권에 따르면 최근 한국인터넷진흥원은 피싱·파밍 사이트를 모니터링 하던 중, 악성코드로 수집된 공인인증서 유출 목록을 발견, 추가 사고 예방을 위해 해당 공인인증서를 모두 폐기했다.

폐기된 공인인증서는 우리은행 등 시중 은행 고객의 인증서였다.

이번 유출은 해커들이 파밍 수법을 이용한 것으로 추정된다. 파밍이란 가짜 사이트를 미리 개설하고 피해자 컴퓨터를 악성코드에 감염시켜 진짜 사이트 주소를 넣어도 가짜 사이트에 접속하도록 해 개인정보를 빼내는 인터넷 금융사기 수법이다.

우리은행은 공인인증서 유출로 의심되는 고객의 인터넷뱅킹 이용을 잠시 중단했다. 이용 중단된 고객이 인터넷뱅킹을 이용하려면 가까운 영업점에 가서 다시 신고해야 한다.

앞서 한국인터넷진흥원은 지난해 5월 은행 고객 컴퓨터에서 유출된 공인인증서 파일 212여개가 모여 있는 국외 서버를 발견해 금융결제원에 통보해 폐기했다.
 
  • ▲ 시중은행 공인인증서 수백 개가 유출돼 금융결제원이 일괄 폐기한 사실이 확인됐다. 사진은 한 시중은행의 파밍(가짜) 사이트. ⓒ 금융감독원 제공

    •  
    지난해 2월에도 해커들이 신한은행 등 시중은행이 발급한 공인인증서를 빼내가자 금융결제원이 461개를 일괄적으로 없앤 바 있다.

    인터넷뱅킹 악성코드를 활용한 공인인증서 유출 사례는 최근 급증하고 있다. IT 보안업계는 피싱으로 유출된 공인인증서가 수만 건에 달할 것으로 추정한다. 공인인증서가 빠져나가면 인터넷 뱅킹으로 예금을 찾아가는 범행에 속수무책이다.

    삼성카드는 스마트폰 스미싱(문자메시지와 피싱의 합성어)으로 최근 자사 앱카드를 이용하는 고객 53명이 금전 피해를 봤다는 신고 300건이 접수됨에 따라 이 사실을 지난 5월 초 경찰청과 금융감독원에 자진 신고한 바 있다.

    금융당국은 공인인증서 유출을 막기 위해 고객의 각별한 주의를 당부했다.

    우선 공인인증서를 PC 하드디스크나 이메일·웹하드에 보관하면 안 된다. 공인인증서 비밀번호는 인터넷 포털 사이트 등의 비밀번호와 다르게 설정하고 주기적으로 변경해야 한다.

    공공장소의 공용 PC에서는 공인인증서를 사용하면 안 되며 성인 및 도박 사이트 등에서는 절대 공인인증서를 이용하지 말아야 한다.

    공인인증서 및 개인정보 유출 의심 시 즉시 금감원 등에 신고하고 공인인증서를 폐기한 뒤 보안카드보다 안전한 일회용비밀번호(OTP) 발생기를 사용하면 된다.