국민, 신한, 우리, 하나, 씨티 등 주요 시중은행의 고객 컴퓨터에 담긴 공인인증서 수백개가 유출됐다. 금융결제원은 지난 1월 말 파밍(pharming) 수법을 통해 해킹된 것으로 추정되는 공인인증서 700여개를 발견하고 이 가운데 유효기간이 남아 있는 461개를 폐기했다고 어제 밝혔다. 지금까지 드러난 인증서 유출로는 사상 최대 규모다. 금융 보안시스템의 최후 보루인 공인인증서까지 무너졌다니 충격적이다. 인터넷 금융거래 시스템이 여전히 취약하고 불안하다는 단적인 예다.
해커들이 사용한 파밍이란 가짜 사이트를 미리 개설하고 피해자 컴퓨터를 악성코드에 감염시켜 진짜 사이트 주소를 넣어도 가짜 사이트에 접속되도록 해 개인 정보를 빼내가는 수법이다. 한층 진화한 금융사기다. 인증서 해킹에 따른 현금 유출 등의 피해는 없는 것으로 알려졌다. 하지만 인터넷 뱅킹 시대의 필수품이자 마지막 보호막인 인증서가 뚫린 것은 다른 금융사기와는 차원이 다른 문제다.
피싱 수법이 날로 진화하면서 파밍을 통한 금융사기는 크게 늘어나는 추세다. 지난해 11~12월 두 달 동안 금융감독원에 접수된 피해액만도 146건, 9억6000만원에 이른다. 최근에도 신한카드와 삼성카드 등 주요 카드사 고객 100여명이 안심클릭 결제창을 모방한 파밍 사이트에 속아 수천만원의 피해를 본 일이 있다. 언제 한 번 대형 금융사고가 터지는 것 아닌가 하는 불안감이 클 수밖에 없다.
심각한 것은 사고가 터져도 명확한 사고 경위를 잘 모른다는 점이다. 금융당국과 금융기관들은 인증서 해킹이 언제 어떻게 이뤄진 것인지, 또 다른 인증서 발급 기관에 대한 해킹은 없는지 등을 아직 정확하게 파악하지 못한 것으로 알려졌다. 사후약방문식의 대처로는 해커들의 준동을 막기 어렵다. 아울러 인증서 유출 사실을 일반 고객들에게 제대로 알리지 않은 은행들의 보안 불감증도 문제다.
금융거래를 하는 개인들이 정보유출에 각별히 주의해야 함은 당연하다. 그렇다고 갈수록 교묘해지고 있는 금융사기를 개인의 힘으로 모두 막아낼 수는 없다. 그만큼 금융당국과 금융기관의 책임이 무겁다. 진화하는 금융사기를 차단할 선제적 시스템을 구축해야 한다. 차제에 현행 공인인증서의 발급과 관리에 허점은 없는지 두루 짚어볼 필요가 있다.
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>
