이상금융거래연구실

[앵커]

출근을 하고 있는데 갑자기 150만 원 정도가 결제됐다는 문자가 날라오면 얼마나 황당할까요? 실제 이런 일이 벌어졌는데 돈을 돌려받는 것은 어렵습니다.

무슨 사연인지, 정재우 기자입니다.

[기자]

직장인 박 모 씨는 출근길에 황당한 일을 겪었습니다.

수십만 원이 결제됐다는 문자 메시지가 13차례나 날아온 것입니다.

산 물건은 별풍선 교환권 약 150만 원어치로 일종의 온라인 상품권이었습니다.

[박모 씨 : 너무 황당해서 문자를 넣었다니까요. '어, 저 결제 안 했는데요.' 해킹당했다 가정을 하더라도 결제는 한 번 더 막아주는 게 있잖아요.]

그런데 결제를 취소할 수도 없었습니다.

온라인 상품권은 인증번호만 있으면 곧바로 결제가 가능해 이미 상품권이 사용 된 뒤였습니다.

결제는 '엘 페이'라는 간편 결제 시스템으로 이뤄졌습니다.

하지만 정작 결제가 이뤄진 업체는 전산상 아무런 이상이 없다는 답변뿐이었습니다.

[롯데멤버스 관계자 : 시스템적인 해킹의 문제나 고객 정보가 유출된 건도 아니고 말 그대로 어찌 된 연유인지 수사를 하고 있어서…]

업체 측에 확인해 보니 같은 날 비슷한 피해가 7건이 넘었습니다.

해당 쇼핑몰이나 결제 업체는 수사가 진행돼야 환불이 가능하다는 입장입니다.

최근 이같은 간편 결제 시스템 사고가 잇따르고 있어 대책이 시급하다는 지적입니다.

출처 : http://news.jtbc.joins.com/html/183/NB11762183.html

1. 전자금융업자(전자지급결제 대행업, PG) 공동대응 필요

2. 공격자는 아침 출근 시간을 범행시간으로 함

3. 7시 57분부터 8시 2분까지 짧은 시간 다수 가맹점에서 결제가 발생

   (22만원, 22만원, 11만원, 22만원 결제한 것으로 보아 FDS 회피)

4. 간편결제 특성 상 PC도 함께 해킹이 되었을 것으로 추측

[매일일보 홍석경 기자] 지난해부터 증권업계 ‘비대면 계좌개설’ 열풍에 따라 지점을 방문하지 않고 모바일을 통한 계좌개설이 큰 폭으로 늘어난 가운데, 일부 개설 과정에서 보안을 우려하는 시각이 나온다. 일부 변조된 신분증만으로도 1단계 가입승인이 가능하기 때문이다.

금융당국 역시 이를 우려해 행정안전부의 ‘신분증 진위 확인 시스템’을 증권사 데이터베이스와 연동하도록 유도해 사전예방에 나선다는 계획이다. 29일 금융투자업계와 금융당국에 따르면 현재 행안부에서는 비대면 계좌개설 과정에서 발생할 수 있는 신분위조 여부를 확인할 수 있는 진위확인 시스템을 운영하고 있다.

다만 이를 활용하고 있는 증권사는 드물다. 일부 증권사가 행안부에 데이터베이스 연계 신청을 해 둔 상황이지만, 데이터가 방대하다 보니 행안부 서버 등 자체 시스템 구축에 시간을 지연하고 있기 때문이다.

시장 영향력과 점유율이 높은 대형 증권사 역시 마찬가지다. 미래에셋대우와 NH투자증권 등 초대형 투자은행(IB) 5곳을 취재한 결과 현재 오프라인 지점을 제외한 온라인 비대면 계좌의 경우 대부분 행안부와 경찰청 등 정부기관과 데이터베이스이 구축이 이뤄지지 않았다.

이 때문에 변조된 신분증으로 비대면 계좌 개설을 시도할 때, 실제 본인확인 여부와 관계 없이 개좌개설이 가능할 수 있다는 지적이 나온다. 증권사의 비대면계좌 개설 과정을 살펴보면, 인증단계는 신분증 확인→공인인증절차→휴대폰 명의자 확인→타계좌 인증 등 최소 3~4단계를 거치도록 돼 있다.

우선 각 사 앱을 통해 주민등록증 사진을 찍어 증권사에 보내게 된다. 하지만 현재 비대면계좌 개설 시스템은 얼굴사진을 구분하지 않고 이름과 주민번호, 발급날짜만 있으면 1단계 승인을 완료한다.

나머지 2단계, 3단계 보안과정에서 공인인증서나 휴대폰 명의인증 등으로 추가 승인과정을 거치면 되는데, 신분증을 포함해 대포폰이나 해킹된 공인인증서의 경우에는 기존의 시스템만으로는 방어가 불가능하다.

하지만 업계는 억울하다는 입장이다. 현재 비대면 계좌 개설시 금융사 자체 보안시스템에 의해 관리되고 있는데, 추가적인 인증절차가 매우 까다로워 신분증 위조만으로 계좌가 개설될 가능성은 극히 낮다는 설명이다.

익명을 요구한 한 증권사 관계자는 “1단계 과정에서 주민등록증 사진을 분류하는게 아니라, 몇가지 코드를 기준으로 본인인증을 하기 때문에 사진만 변조했다고 하면 1단계 승인을 넘길 가능성이 있다”면서도 “하지만 이후, 휴대폰 명의 인증과 타 계좌 인증이 남아 있기 때문에, 이를 모두 해킹하지 않는 이상 신분증만으로 계좌가 개설될 확률은 매우 낮다”고 설명했다.

금융감독원도 증권사의 비대면계좌 관련 신분 위조나 명의도용에 따른 민원은 현재 집계된 바바 없다면서도, 보안 지적에 따라 행안부 시스템과 증권사 데이터가 연동할 수 있도록 유도한다는 방침이다.

황성윤 금융투자검사국장은 “비대면 계좌 허용 초기 당시, 증권사의 비대면 보안절차 과정에 문제가 없다고 판단해, 행안부의 신분 진위확인 시스템 연동에 대한 강제를 하지 않았다”면서도 “다만 최근 비대면 보안에 대한 지적이 제기하기 시작하면서, 금융투자협회와 상의해 비대면 개설시 행안부와 증권사가 데이터베이스를 연동할 수 있도록 유도 중”이라고 말했다.

작년부터 이슈가 되었던 문제입니다. 증권사 비대면 계좌 발급을 문제는 해당 계좌를 통해 공격자들이 대포통장을 만들기 때문입니다. 아마도 작년 실무협의회 회의 자료가 금융당국 내부에 공유되면서 이슈가 되었을 것으로 생각됩니다.

금융감독원 2017년 은행 및 증권회사의 이상금융거래탐지시스템 운영 현황 및 감독방향 보도자료를 바탕으로 서울경제TV에 방연된 금융회사 FDS(이상금융거래 탐지시스템), 금융보안원 FDS 정보공유 업무 실적 관련 영상입니다. 2017년은 전자금융사고가 다른 해에 비해 많이 발생하였으며, 금융회사와 금융보안원은 이를 탐지하고 예방하기 위해 노력하였습니다.