씨티은행, 무매체 ATM 인출 신규 중단

'고정값' 거래승인번호 보안 취약…'금융 범죄 악용 우려'

[아시아경제 손선희 기자] 한국씨티은행이 오는 19일부터 통장이나 카드 없이 거래승인번호와 통장 비밀번호만으로 현금 인출이 가능한 서비스의 신규 가입을 중단한다. 해외에서 자동입출금기(ATM)를 악용한 금융범죄가 발생한 데 따른 조치다.9일 씨티은행에 따르면 과거 씨티그룹으로 인수되기 전인 2000년 한미은행 당시 출시한 '매직출금서비스'가 16년 만에 신규 가입이 중단될 예정이다. 오는 19일 부터 중단되는 이 서비스는 폰뱅킹 가입고객이 영업점 등을 통해 미리 등록한 거래승인번호를 ATM에 입력하면 별도 통장이나 카드를 소지하지 않아도 현금을 인출할 수 있는 무매체 거래다.씨티은행 관계자는 "번호 입력만으로 현금인출이 가능해 핀홀(PIN-hole)카메라(바늘구멍 사진기) 설치 등을 통한 고객의 거래정보 노출, 해킹 등 위험이 있을 수 있다는 내부 판단에 따른 것"이라며 "해당 서비스의 신규를 잠정 중단하고 지문, 홍채 등 생체인증 시스템이 도입되면 재개를 검토할 계획"이라고 밝혔다.올 상반기 해외에서 ATM을 통해 거액의 현금이 인출된 피해사례가 발생한 점도 영향을 미쳤다. 지난 5월 일본에서는 편의점 ATM을 통해 남아프리카공화국 스탠더드은행에서 약 200억원대 거액이 인출되는 사건이 발생했다. 위조 카드를 활용한 범죄였다. 씨티은행 금융사고 방지 관련 부서는 이 사건이 발생한 뒤 국내 ATM 출금서비스에 대한 전반 점검을 실시, 매직출금서비스가 보안에 취약하다는 판단을 내렸다. 최근 모바일 애플리케이션(앱)을 통한 인출서비스 등이 매번 랜덤추출 방식을 통한 난수(亂數)를 활용하는 반면 해당 서비스의 경우 고정값의 거래승인번호를 활용하고 있는 점이 문제가 됐다. ATM기에 카메라 등을 설치해 출금 과정을 녹화할 경우 이후 그대로 다시 인출하는 범죄가 가능하기 때문이다. 최근 모바일 뱅킹 등은 일회용 랜덤추출 거래번호 혹은 홍채나 지문 등의 생채인증기술을 도입하는 추세다.국내 주요 시중은행들도 '무매체 출금 서비스' 또는 '무통장 무카드 자동화 입출금' 등 명칭으로 시행하고 있다. 다만 관련 범죄악용 우려로 일 출금한도는 최대 100만원으로 제한한다. 그러나 근본적으로 고정번호를 활용한 출금 서비스는 보안에 취약한 만큼 인증 개선이 필요하다는 지적이 제기된다.금융감독원 IT감독팀 관계자는 "번호만으로 출금하는 서비스는 녹화 뿐 아니라 사기목적으로 접근하는 사람에게 함부로 알려주는 등 각종 보이스피싱에 악용될 우려가 높다"며 "최근 스마트폰 이용자가 늘어 무매체 출금 서비스 이용자가 많지 않은 만큼 (보안 방식을) 검토할 필요가 있다"고 말했다.손선희 기자 sheeson@asiae.co.kr<ⓒ세계를 보는 창 경제를 보는 눈, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>

금융부 손선희 기자 sheeson@asiae.co.krⓒ 경제를 보는 눈, 세계를 보는 창 아시아경제
무단전재, 복사, 배포 등을 금지합니다.

오늘의 주요 뉴스

헤드라인

많이 본 뉴스