어제(2014년 4월 9일) 서울 강북경찰서는 은행에서 유출된 개인정보를 이용한 보다 위력적인 보이스피싱 사례를 처음으로 적발했습니다(관련 기사). 금융권의 대규모 개인정보 유출사고와 관련해서 “2차 피해는 없다고 확신한다”던 금융위원장의 말은 터무니없습니다. 앞으로 본격적인 유사 피해 사례가 줄을 이을 것으로 보입니다.
보이스피싱과 공인인증서는 아주 긴밀한 관계에 있습니다. 공인인증서가 과연 누구에게 이득이 되고, 누구에게 해로운 것인지 한번 볼까요? 몇가지 사실(facts)을 소개하겠습니다.
1. 공인인증서는 온라인상으로 비교적 수월하게 “재발급” 받을 수 있고, 공인인증제도의 이런 취약점(허술함)을 이용해서 이루어지는 공격이 바로 보이스피싱입니다. 공인인증서 발급 및 재발급 과정은 은행이 맡아서 하고 있으므로 재발급을 허술하게 관리할 것이냐, 엄격하게 관리할 것이냐는 사실 은행 맘입니다.
매년 약6,000명이 보이스피싱을 당하고, 매년 600억 가량의 피해가 발생합니다(1인당 피해액 평균 약1,000만원). 2006년1월 – 2012년8월까지의 누적 피해액은 4,000억원이 넘습니다.
위 수치는 2012년9월26일 금융감독원이 경찰청 통계를 인용하면서 보도자료로 배포한 것입니다.
2. 사고거래일 위험이 “심각”하다는 점을 은행은 인식하면서도 이체를 그대로 실행합니다.
국내 어느 은행(“OO은행”)이 법원에 제출한 은행 내부 로그 자료를 볼까요? 은행들은 각각 수백명의 보이스피싱 피해자들이 제기한 소송 사건의 피고로 되어 있으며, 이런 사정은 국내 은행들 대부분 비슷합니다. 아래 검게 칠한 부분은 제가 가린 것입니다. (그림을 클릭하면 크게 보실 수 있습니다)
위 로그 기록은 2011년 11월2일부터 11월19일까지 피해자의 이름으로 이루어진 은행거래에 대하여 OO은행이 알고 있던 내용을 보여줍니다. 11월2일부터 11월14일까지 이루어진 거래는 서울에 위치한 IP주소(“Web IP” 59.xxx.xxx.113)에서 이루어졌고, 이 이용자는 VPN망을 사용하지도 않았습니다(VPN망은 공격자나 범법자들이 자신의 IP주소를 숨기고 다른 IP주소에서 접속하는 듯한 외관을 만들어내기 위하여 흔히 동원됩니다). OO은행 스스로도 이 표에 나타나는11월2일 부터 14일까지의 거래는 “정상”이라고 평가하고 있었고, 실제로도 정상 거래였습니다.
그러나, 11월19일에 이루어진 3건의 거래는 중국 샨동성(山東省) 지난시(济南市)에 위치한 IP주소(112.224.2.109)에서 네트워크에 접속한 어떤 자가 VPN망을 이용해서 마치 서울에 위치한 IP주소(115.141.144.182)에서 OO은행에 접속하는 것처럼 가장하려 하였으나, OO은행은 이 자가 VPN망을 이용해서 이런 행위를 하고 있음을 이미 훤히 알고 있었고, 그자가 네트워크 접속에 사용한 하드웨어 고유 번호(00-53-45-00-00-00) 역시 실제로는 존재하지 않는 ‘가짜번호’라는 점도 즉시 파악 가능한 것이므로, OO은행 스스로도 이런 점을 종합하여 이 거래는 “심각”한 위험이 있는 거래라고 실시간으로 인식하고 있었습니다.
그러나 은행은 그대로 이체해버립니다. 왜 그럴까요?
3. “은행은 한푼도 배상 안해줘도 된다”고 법원이 계속 판결하고 있습니다.
법원은 보이스피싱에 속아 넘어가서 공인인증서 재발급에 필요한 정보를 입력해준 피해자에게 “중대한 과실”이 있다고 보고, “은행은 배상 책임이 없다”고 계속 판결하고 있습니다. 물론, 이런 판결을 내리는 법관 자신은 대단히 똑똑해서 보이스피싱 따위에 속아 넘어가지는 않을 것입니다.
사고거래일 위험성이 “심각”하게 높은 거래라는 점을 뻔히 알면서 이체거래를 그냥해줘버리는 은행의 “잘못”은 법관의 눈에는 안보이는 모양입니다. 매년 6000-8000명의 피해자를 양산하는 낙후된 보안 기술을 15년째 그대로 걸어두고 있는 은행의 도덕적 해이는 “사업적 필요”라면서 후하게 봐주고, 고객의 어리석음은 “중대한 과실”이라면서 엄하게 단죄하는 법관들 덕분에, 공인인증서는 은행에게 완벽한 면죄부로 작용합니다.
그동안 하급심(항소심) 판결에서 은행이 계속 승소해왔고, 마침내 올해 초(2014.1.29)에 대법원마저도 보이스피싱 피해자에게 은행은 “한 푼도 물어주지 않아도 된다”고 결론을 내렸습니다(2013다86489 판결). 은행은 잔치판입니다.
4. 은행/공인인증기관/금융위원회/금융감독원은 공인인증서를 원합니다.
최근 우리은행 산하의 어떤 연구소는 공인인증서가 “안전하고 신뢰성 있는 수단”이라면서, 공인인증서 계속 사용을 주장하는 글을 발표하고 있습니다. “누구에게” 안전한 수단인가요? 은행에게 안전한 수단이라는 점은 분명한데, 고객에게도 안전한 수단인지는…
공인인증기관은 언제나 같은 주장을 반복해왔습니다. “보이스피싱은 공인인증서 잘못이 아니라, 고객 잘못 때문에 생기는 것”이라는 거죠(대법원이 바로 이분들 손을 들어준 것임). 공인인증서가 허술하게 재발급되는 것도, 공인인증서 잘못은 아니고, 그것을 관리하는 사람들 잘못이고, 공인인증서 암호가 40초만에 뚫리는 것도 공인인증서 잘못은 아니고, 짧은 암호(8자리)를 선택한 사람 잘못이라는 것입니다. 유저가 20자리 암호를 선택해 두었으면, 절대로 안전하다는 것이지요. 이분들은 어떤 경우에도 공인인증서가 잘못된 것은 아니라는 입장입니다.
은행은 자꾸 “공인인증서를 대체할 대안이 없다”고 합니다. 그말은 “사고를 내고도 피해고객에게 한푼도 안물어줘도 되는 공인인증서와 같은 대안은 존재하지 않는다”는 뜻입니다.
공인인증서 재발급의 허술함을 이용해서 벌어지는 보이스피싱으로 6년동안 대략 40,000여명이 4,000억원 넘게 피해를 보았지만, 이들이 한푼도 배상 받지 못한다는 사실을 금융위/금감원도 잘 알고 있습니다. 그러나 금융위/금감원은 여전히 은행거래에는 공인인증서를 반드시 사용해야 한다는 입장입니다.
공인인증서 안쓰는 나라에서는 개인고객이 사고거래로 피해를 입으면 은행/카드사가 배상하도록 하고 있습니다. 따라서 사고를 줄이기 위해 은행/카드사들이 보안에 투자를 하는 구조인거죠. 한국은 사고를 줄이기 위해 은행이 보안에 투자하는 것이 아니라, 개인들에게 “조심하라” “당하면 너 손해다”라고 하는 구조입니다.
공인인증서, 누구에게 득이고, 누구에게 손해인가요?
현재 모 은행 로그분석을 담당하고 있는 직원입니다. 공인인증서의 허술함과 은행의 책임회피부분에서는 공감하는 바입니다. 그러나 실제 현업에서 로그분석 결과 위의 vpn사용이나 중국 접속 만으로는 해당 거래가 사고 거래이거나 사고 의심거래로 판단되어 해당 고객 거래를 차단을 걸거나 하기어렵습니다. 고객이 실제 중국에서 vpn을 사용하여 거래를 하는 경우도 많기 때문입니다. 그렇다고 해서 고객이 현재 중국에 거주하거나 기타 사유로 현지에서 거래를 하고 있는가 하는 확인도 어렵습니다. 해외가 아니라 국내 거주 고객도 고객정보를 갱신하지 않아 연락조차 어려운 경우가 많습니다. 그런 상황에서 판단에 의해 고객의 거래를 차단하면 민원이 발생 할 뿐만 아니라, 고객의 거래가 사업상 중요한 거래 혹은 제시간에 하지 못하면 손해가 발생하는 기타 거래일 경우 손해배상을 요구하는 민원이 발생합니다. 은행이 의심거래에 차단을 걸지 않는 이유가 꼭 모르쇠로 일관하기 위해 있는 것 만은 아닙니다. 일반화를 하지는 않으셨으면 합니다.
제가 볼때 그건 비겁한 변명입니다.
제 경우를 말씀드려 볼까요?
저는 해외생활을 오래하고 있어서 자연스럽게 해외이체가 많이 발생합니다.
그리고 해외이주도 많이 해서 미국에서 한국으로, 일본에서 한국으로, 영국에서 한국으로 이체를 많이 했죠.
결국 나이들어 살곳은 한국이니까요. 돈을 벌어서 한국으로 송금합니다.
한번은 일본에서 영국으로 이사를 갔을때 제가 경황이 없어서 영국 현지 연락가능한 번호를 고객정보에 업데이트를 하지 않고 급하게 한국에 처리할 일이 있어서 영국에서 한국으로 처음 송금을 했는데 보름이 지나도 한국계좌에 입금이 되질않아서 전화로 물었더니 이전에 거래가 없던 곳에서 발생한 금융거래이고 등록된 전화번호로 본인 확인이 안되어서 이체가 정지되어 있다라고 하더라구요. 개인적 사정때문에 빨리 처리해달라고 약간의 실갱이는 있었지만 은행직원분의 투철한 직업정신에는 감동받았습니다.
결국 이용자는 말이에요 약간의 불편함이 발생하더라도 그것이 자신의 보호를 위한것이면 감수합니다.
마치 차를 운전할때 안전벨트를 매는것 처럼요. 귀찮치만 만약의 경우 이것 하나로 자신이 목숨부지할 수 있다면 얼마든지 합니다.
술취한 사람 절벽에서 비틀거리고 낙마하게 생겼는데도 그 사람 강제로 잡아당기면 혹 그사람이랑 싸움이라도 하게 되어 본인이 상처입을까봐 멀리서 나몰라라 하십니까 ?
이후에 정말 인명사고가 발생했는데 누군가가 님에서 그때 왜 안말렸냐라고 다그칠때
“저 사람이 정말 절벽에서 뛰어내리길 원했는지도 모르고 그가 나와 실갱이를 벌이게 될까바 무서워서 그랬다”
라고 대답을 한다면 님은 절대 하면 되어서는 안되는 직업이 있으니 그건 바로 119 소방대원입니다.
보안사고도 마찬가지입니다. 평소 거래하지 않던 지역에서 평소 사용하지 않던 네트워크 경로로 거래가 이루어질때 만약의 경우를 미연에 방지하기 위해서 본인에게 확인 한번 하고 넘어가는 것이 그렇게 어려운지
그리고 그때 마다 고객과의 실갱이가 벌어지는것이 그렇게 두려운지 아니면 귀찮은건지 아니면 하기도 싫은건지
되묻고 싶습니다.
그렇게 그 일이 싫다면 님은 절대 보안관련 일을 하셔서는 안됩니다.
왜냐하면 직업적 사명감이 누가봐도 결여되어 있기 때문입니다.
글쎄요, 개인이 자기 계좌안에서 송금하는거야 좀 늦어진대도 ‘뭐 그럴수도 있지’ 하겠지만
거래를 하는데 있어서는 전혀 얘기가 다르죠.
위험징후가 있는 거래를 당장 “차단”하라는 것이 아니라, 그런 거래는 “추가확인”후에 이체 여부를 결정하면 된다는 생각.
물론 은행은 “단 한푼”도 더 쓰기 싫으니까, 이런 추가확인 메카니즘을 도입 안하고 “무대포 이체”하고 철저히 생까는 것이고,법원은 이런 은행을 감싸면서 고객에게 책임을 지우는거죠.
오픈넷의 ‘기술 강요 금지’에는 무척 공감합니다. 이것이 공인인증서와 여타 프로그램들을 몰아낼거라 생각친 않습니다만.
궁금한게 있는데요, 이체 여부를 결정짓는 ‘추가확인’의 방법에는 어떤게 있나요? 문자메시지 정도가 생각납니다만, 딱히 좋은 방법이 있나 궁금하네요..
FDS라고 요즘에 언론에 가끔 나온더라구요. 이상거래탐지시스템이라고 하는데요.
일종의 기존거래내역 DB에 데이터 분석 기술을 응용해서 이상거래 여부를 판단합니다.
단순하게 예를 들자면
———————————————————————————————————————–
1. 오전 10시 국내에서 A라는 ID로 인터넷 뱅킹으로 타 은행 이체를 수행하였다.
2. 1시간 후인 오전 11에 중국에서 인터넷 뱅킹 사이트에 A라는 ID로 로그인 및 이체를 시도.
판단 : 국내에서 A라는 ID로 인터넷뱅킹을 이용하던 사람이 1시간 만에 중국에서 A라는 아이디로 로그인에 성공할 수 있는 방법은?
결론 : ID, PW가 유출되어 다른 사람이 중국에서 해킹을 시도하려는 경우가 아닌이상 불가능.
처리결과 : 거래차단
———————————————————————————————————————–