이강준 기자 입력 2020.06.16. 04:30 댓글 389개
[MT리포트-편의성 쫓던 비대면 보안, 탈났다] 上
[편집자주] 편의성을 앞세워 질주하던 비대면 금융 거래에 '비상등'이 켜졌다. 휴대폰 개설부터 본인신원 확인, 범용공인인증서 발급까지 보안 시스템 곳곳에 허점이 있는 것으로 나타났다. 자신도 모르게 위조된 신분증으로 계좌에서 거액이 빠져나가고, 각종 민원 서류와 개인정보가 줄줄이 새나기도 꼼짝없이 당할 수 밖에 없는 실정이다. 위조 신분증을 활용한 1억원대 대출 사기 사건을 계기로 현행 비대면 금융거래 보안 시스템의 문제점을 집중 점검했다.
━
[단독]'인터넷 민증' 공인인증서, 위조범 클릭 몇 번에 뚫렸다
━
신분증을 위조해 1억원대의 비대면 금융대출 사기를 친 범인이 범행에 결정적인 역할을 한 피해자의 범용 공인인증서를 발급 받은 경로가 확인됐다. 기존 발급된 인증서를 활용한 것이 아니라 위조범이 피해자 이름의 인증서를 새로 발급받은 것으로 나타났다. ☞관련기사 [단독]'위조신분증'에 뚫린 비대면금융…나도 모르게 1억 털렸다
특히 범용인증서를 얻기 위해 특별한 기술이 필요하지 않았고, 위조신분증과 휴대전화 하나로 모든 절차를 통과한 것으로 확인돼 정부 차원의 보안 점검이 시급하다는 지적이다. 범용인증서는 온라인에서 필요한 모든 본인 확인을 대신해줄 수 있는 '인터넷 주민등록증'으로 이를 가진 위조범은 쉽게 은행 대출까지 받았다.
오정근 한국금융ICT융합학회장은 "금융사간 경쟁이 심화되면서 고객 확보를 위해 간편성을 추구하다가 이런 사태가 발생했다"이라며 "원인을 명확하게 규명하고, 재발방지대책을 세울 필요가 있다"고 지적했다.
◆위조범, 보안카드 없이 범용인증서 발급...상담원에게 "인증서 받는 법 알려달라"
15일 머니투데이의 취재를 종합하면 지난 4월 위조신분증을 이용해 총 1억1400만원을 사기 대출 받은 위조범은 DB금융투자를 통해 범용인증서를 발급받았다. 공인인증서 발급기관은 코스콤(싸인코리아)이다.
범용인증서는 증권용인증서와 다르게 은행 등 다른 금융기관과 정부기관에서 본인확인용으로 쓸 수 있다. 대출 뿐 만 아니라 사실상 본인 확인이 필요한 모든 온라인(비대면) 활동을 할 수 있어 ‘인터넷 주민등록증’의 역할을 한다.
사기대출 피해자 A의 신분증(운전면허증) 정보를 획득한 위조범은 먼저 본인확인용으로 쓸 수 있는 A씨 명의의 알뜰폰을 개설했다. 이후 사진을 바꿔치기한 위조 면허증으로 케이뱅크에서 비대면 계좌를 개설했다. 영상통화로 본인 확인을 추가로 했지만 사진을 바꿔치기한 위조신분증은 무사통과됐다.
위조신분증과 A씨 이름의 휴대전화 및 케이뱅크 계좌를 가진 위조범은 증권사에서 비대면 계좌를 개설하기 시작했다. 확인된 것만 △미래에셋대우(3개) △유진투자증권(1개) △DB금융투자(1개) 등에서 5개 계좌를 만들었다.
위조범은 계좌를 만든 곳 중 하나인 DB금융투자에서 우선 증권용인증서를 만들었다. 이미 DB금융투자 계좌를 만들었기 때문에 휴대전화 인증과 DB금융투자 아이디만 있으면 만들 수 있었다.
증권용인증서를 확보한 위조범은 DB금융투자 고객센터에 전화를 걸어 태연히 범용인증서를 발급받는 방법을 알려달라고 했다. 상담원은 인증서 발급 방법을 안내했고, 위조범은 시간이 걸려도 좋으니 상담원에게 도와달라는 요청을 했다.
결국 위조범은 공인인증서를 범용으로 새로 발급 받았다. 그 과정에서 금융권과 대면하지 않았고, 일회용비밀번호(OTP)나 보안카드도 필요 없었다. 범용인증서로 은행과 보험사 등에 접근한 위조범은 총 1억1400만원의 대출을 받아 자취를 감췄다.
DB금융투자 관계자는 "업계에 적용되는 비대면 가이드라인을 준수하면서 복수의 고객정보 인증을 거친 후 외부기관에서 공인인증서를 받아 제공하고 있는데도 이런 사례가 발생해 당혹스럽다"며 "시스템 전반에 대한 면밀한 검토를 통해 유사 사례가 발생하지 않도록 최선을 다하겠다"고 말했다.
◆증권사 한 번 안가도 앉은 자리서 인증서 발급..."빈틈 예리하게 파고 들었다"
코스콤(싸인코리아) 홈페이지에 나와 있는 범용 인증서 설명. '최초 인증서 발급 시에는 대행등록기관에서 대면 신원확인 절차'를 거쳐 인증서를 발급한다고 나와 있다. /사진=코스콤 홈페이지 캡쳐
취재진은 실제 범인이 사용한 방식으로 범용인증서 발급을 시도해봤다. 4400원만 내면 범용(상호연동용)인증서를 받을 수 있었다. DB금융투자는 물론 다른 증권사에 한 번도 가본 적이 없는 기자도 앉은 자리에서 30여분 만에 범용인증서를 받았다.
코스콤 홈페이지 범용인증서 설명을 보면 '최초 인증서 발급 시에는 대행등록기관(증권사)에서 대면 신원확인 절차를 거쳐서 인증서를 발급 받는다'는 안내가 있지만 대면 신원확인 절차는 옛말이 됐다.
코스콤은 △가입자의 계정(ID)과 비밀번호 또는 계좌번호와 비밀번호 △주민등록번호 △일회용비밀번호(보안카드의 비밀번호 포함) 또는 가입자 본인만이 알 수 있는 두 가지 이상의 정보를 제공하면 인증서를 내준다. 보안카드는 필수 요건이 아니다.
한국전자인증, 한국정보인증 등 다른 인증서 발급기관도 사정은 비슷하다. DB금융투자 외 다른 증권사에서도 비슷한 과정으로 범용인증서를 발급 받을 수 있었다.
취재진은 받은 범용인증서를 통해 A은행에 접속해 비대면 신용대출 한도 조회까지 했다. 충분히 대출까지 가능한 상황이었다. 범인은 이런 방식으로 광주은행에서 4000만원을 대출 받았다.
신용카드 정보가 다크웹에서 거래되는 등 개인정보 유출이 심각한 만큼 대책이 필요하다. 현재 경찰은 A씨와 비슷한 사건을 추가 접수하고 수사 중이다. 아직 밝혀지지 않은 추가 피해 사례가 더 있을 수도 있다.
코스콤 관계자는 "최초 발급 시 금융사 지점에서 대면 신원확인 절차를 통해서 계좌를 발급 받은 뒤 인증서를 발급하는 게 원칙이나 일부 금융사는 비대면 계좌를 개설할 수 있게 허용했다"며 "계좌발급이 되면 신원 확인절차가 문제없이 진행된 것으로 간주하고 인증서를 발급한다"고 설명했다.
그는 "이번 사건은 제도와 시스템 사이를 예리하게 파고든 지능범의 소행으로 보인다"며 "당사의 잘못이 확인되면 고객사와 협력해서 합당한 책임을 질 예정"이라고 말했다. 이어 "인증서 이상 징후 시스템을 구축하고, 고객사에게 비대면 확인 절차를 강화해달라고 요청할 계획"이라고 덧붙였다.
이강준 기자, 김남이 기자, 이태성 기자
━
대출·송금부터 민원서류까지…뚫리면 다 털리는 '범용인증서'
━
# 2015년 7월. A씨는 취업을 도와준다는 말에 혹해 보이스피싱 사기단에 공인인증서 비밀번호, 보안카드 등 개인정보를 넘겼다. 사기단은 이 정보를 이용해 A씨 명의의 범용인증서를 재발급해 다른 대부업체에서 약 1억원을 대출했다. A씨 등 피해자 16명은 자신이 빌리지 않은 돈을 갚지 않겠다며 대부업체를 상대로 소송을 제기했지만, 대법원은 공인된 신용절차를 통해 이뤄진 대출이라며 A씨 등에 돈을 갚으라고 명령했다.
범용공인인증서가 뚫리면 심각한 금전 피해가 발생할 수 있다. 정부와 지자체는 물론 금융기관에서도 신원을 보증하는 '인터넷 주민등록증'처럼 쓰이기 때문이다. 상당수의 보이스피싱 범죄가 사기 대출을 위해 범용인증서를 노리는 이유이기도 하다.
◆말 그대로 '범용'…뚫리면 다 털린다
15일 코스콤 등 공인인증센터에 따르면 범용인증서는 인터넷상에서 주민등록증이나 인감 날인, 서명의 역할을 대신해주는 전자서명이다. 인터넷 쇼핑 , 전자영수증, 전자계약, 전자무역 등 신원 확인이 필요한 전자거래의 모든 분야에서 사용할 수 있다.
범용인증서와 그 비밀번호를 확보한다면 누구나 손쉽게 대출을 하거나 송금을 할 수 있다. 특정 은행이나 증권에서만 사용이 가능한 인증서와 달리 다른 금융기관에서도 통용되기 때문이다. 범용인증서가 유출되면 A씨처럼 자신도 모르는 사이에 계좌가 개설되고 빚이 생길 수 있다.
여기에 범용인증서는 정부와 지자체에 신원을 증명해주는 수단으로, 인터넷으로 정부에 민원을 제기하거나 공과금·세금 업무를 볼 때도 사용된다.
이에 따라 400여종의 민원서류를 신청해 열람할 수 있으며, 주민등록등본 등 주요 8종의 경우 집에서 직접 출력까지 가능하다. 4대보험, 주택청약, 전자보증 등의 업무에도 사용되기도 한다. 인증서가 유출되면 유무형의 피해가 확대될 수밖에 없는 상황이다.
실제로 보이스피싱범들은 원격 조종 및 개인정보 유출 앱 설치 유도 등 다양한 수법을 동원해 피해자의 인증서와 그 비밀번호를 캐내려 한다. 전화금융사기·사이버사기·투자사기·취업사기·전세사기 등으로 인한 지난해 보이스피싱 액수는 6398억원에 달한다. 2006년 이후 지금까지 총 피해액만 2조 3000억원에 이른다.
◆'철통보안'이라더니…"뚫리는 것 매우 심각한 사안"
범용인증서의 사용 범위가 워낙 넓기 때문에 일반 인증서와 달리 발급을 하려면 대면이 필요하고, OTP나 보안카드 등 추가적인 보안 절차가 필요하다. 코스콤에도 "최초 인증서 발급 시에는 대행등록기관(LRA)에서 대면신원확인 절차를 거쳐서 인증서를 발급 받는다"고 나와 있다.
그러나 머니투데이 취재 결과 이같은 보안 과정 없이도 인증서 발급이 쉽게 가능해진 것이 드러났다. 간편성을 위해 보안성을 희생하면서 사기대출 사건까지 이미 발생한 상황이다.
전문가들은 범용인증서가 뚫리는 것이 매우 중대한 사태라고 말한다. 오정근 한국금융ICT융합학회장은 "모두가 연결돼 있는 시점에서 어느 한 군데 구멍이 뚫리면 모든 돈이 인출된다"면서 "관리를 못한 금융기관에 책임을 물을 매우 심각한 사안으로 금융감독원의 개입이 필요할 수도 있다"고 강조했다.
정한결 기자
━
"신분증 인증 오류 30%" 위조 신분증이 은행 통과한 이유
━
'비대면 금융'에 구멍이 뚫리게 된 데에는 여러가지 이유가 있다. 발급해준 금융기관의 허술한 관리 외에도 정부의 신분증 인식 시스템이 제 역할을 하지 못한 것도 그중 하나다. 비대면 금융이 새로운 트렌드로 떠오르며 거래량이 급증하고 있지만 정작 이를 검증하는 방식은 허술했다는 얘기다.
◆"사진인식 오류 많아" 위조 신분증이 성공한 이유
15일 보안업계 등에 따르면 신분증 확인은 비대면 금융의 신뢰도를 담보할 수 있는 주요 방식이다. 고객이 자신의 신분증 파일을 찍어 보내면 은행이 이를 통해 본인 여부를 확인하는 방식이다. 금융결제원이 행정정보공동이용망 등을 통해 행정안전부(주민등록증), 경찰청(운전면허증)의 원본 파일과 대조하면 실시간으로 위조 신분증을 가려낼 수 있다.
이번에 위조범에게 계좌를 개설해 준 케이뱅크 역시 금융결제원과 경찰청에서는 해당 사진이 원본과 다르다는 결과를 통보받았다. 하지만 케이뱅크는 이름, 주민등록번호, 발급일자 등 개인정보가 일치한다는 이유로 인증 절차를 문제 없이 마무리했다. 케이뱅크 관계자는 "신분증은 세월이 지나면서 손상이 가면서 제대로 식별되지 않는 경우가 매우 많다"고 밝혔다.
이렇게 금융권에서 시스템의 위험 신호를 무시하는 일이 생긴 원인은 시스템의 잦은 오류다. A증권사 관계자는 "정부가 마련한 신분증 인식 시스템의 경우 오류가 30%나 돼 따로 보완책을 두고 있다"며 "운전면허증의 경우 도로교통공단에 면허번호 등을 입력하는 방식으로 추가 확인을 하는데 그때 사진은 확인할 수 없다"고 말했다.
실제로 정부24 등에서 따로 제공하는 운전면허증 관련 정보에는 면허번호와 면허상태, 발급일자, 적성검사(갱신) 일자 등만 있을 뿐 사진은 포함되지 않는다.
◆대세로 떠오른 비대면 거래…"시스템 점검 필요"
/삽화=임종철 디자인기자
결국 시스템이 충분히 마련되지 않은 상황에서 비대면 거래 추세에 따라가다 보니 정작 신분증 사진을 신분확인 용도로 이용하지 못하는 결과가 발생했다는 지적이 나온다. 회사 입장에서는 오류 때문에 거래가 원활히 진행하지 못할 경우 고객들이 떨어져 나갈 가능성도 염두에 둬야 하는 상황이다.
여러 은행에서는 정부시스템이 충분히 작동하지 않는 경우를 대비해 이를 추후에 다시 검증하는 방식으로 대응하고 있다. 카카오뱅크에는 이런 업무를 담당하는 인력이 80명 정도 되는 것으로 알려졌다. 하지만 비대면 거래가 대세로 떠오른 만큼 대응책이 마련되지 않을 경우 비슷한 문제가 반복될 가능성도 있다.
B은행사 관계자는 "우선 정부의 신분증 진위 확인 시스템을 믿고 사용하지만 혹시라도 오류가 있을 수 있는 만큼 자체적으로 검증하는 절차를 거치고 있다"며 "코로나19 이후 대면 거래 비중이 줄었고 앞으로도 비대면이 추세가 될 것으로 보이는 만큼 정부가 이 시스템을 다시 점검할 필요는 있을 것 같다"고 말했다.
김승주 고려대 정보보호대학원 교수는 "비대면 확인 수단을 업체가 아닌 정부가 결정하는 만큼 이를 365일 문제없이 운영하는 것은 일차적으로 정부의 책임"이라며 "다만 기술이 언제나 완전할 수는 없는 만큼 대안을 만들기 위한 노력을 정부와 여러 기업이 함께해야 할 것"이라고 했다.
김영상 기자
이강준 기자 Gjlee1013@mt.co.kr, 김남이 기자 kimnami@mt.co.kr, 이태성 기자 lts320@mt.co.kr, 정한결 기자 hanj@mt.co.kr, 김영상 기자 video@mt.co.kr
관련 태그
연재 더보기
저작권자 ⓒ '돈이 보이는 리얼타임 뉴스' 머니투데이
'IT와 일반적상식' 카테고리의 다른 글
6990만원 경악..지프 글래디에이터, 미국보다 비쌀까 (0) | 2020.09.16 |
---|---|
돈 아까운 옵션 10가지와 필수 옵션 5가지 (0) | 2020.06.17 |
선택하면 반드시 후회하는 자동차 옵션 5가지 (0) | 2020.03.19 |
의대 교육비 1인당 6498만원..전문의 되려면 8억? (0) | 2020.02.07 |
속도위반, 카메라 앞에서만 속도 줄이면 되는 거 아니에요? (0) | 2020.02.06 |