취재 이윤지 기자 | 사진 매거진플러스
신용정보의 활용은 금융 시스템의 원활한 작동과 관련돼 있다. 그러나 이 정보의 공유 및 활용은 소비자의 프라이버시를 침해할 가능성이 농후한 가운데 꾸준히 자동적 동의 하에 지속돼 왔다.
얼마 전 한국금융연구원은 ‘신용정보 집중체계 개편방안 공개토론회’를 통해 ‘신용정보 공유가 정보 생산의 유인을 약화시키고 무임승차를 부추길 가능성이 있다’고 밝혔다. 신용정보 유출 사태와 전반적인 사회 안정 및 보호 기조의 강화로 인해 신용정보 집중 관련한 체제에 대한 통제 필요성이 높아졌다는 것이다. 그러나 전반적인 체제 개선을 위한 정책 개선과 논의는 실질적인 문제점들을 해결하지는 못하고 있는 실정이다. 금융 서비스를 비롯해 개인정보가 수집되는 각종 사이트를 이용하는 고객들의 정보는 속수무책으로 출처를 알 수도 없는 온갖 군데로 빠져나가 부당한 곳에 쓰이고 있다.
삼성카드 ‘앱카드’ 고객 50명, 명의 도용으로 6천만원 피해
기존 신용카드, 체크카드를 스마트폰 애플리케이션에 등록해 온라인, 오프라인 가맹점에서 동시에 사용할 수 있는 신개념 서비스 ‘앱카드’. 삼성카드가 내놓은 이 편리한 시스템은 출범 초기 6천만원의 금전 피해를 동반한 명의도용 사태를 발생시켰다.
서울지방경찰청 사이버수사대는 삼성카드 이외 같은 서비스를 제공 중인 국민카드, 현대카드 등 앱카드 고객 이용 내역을 입수하는 등 분석을 확대하는 데까지 이르렀다. 편의성을 더해 차세대 결제수단으로의 입지를 굳힐 것으로 보이던 앱카드는 모바일 기반 금융 서비스의 부실한 보안 실태를 다시 한 번 확인하는 계기가 됐다.
해킹을 통한 명의도용, 금전 피해가 발생한 것으로 밝혀진 만큼 같은 방식으로 운영되고 있는 타사의 앱카드 서비스들 역시 상용화 초반인 지금 이 같은 사태를 경계해야만 한다. 앱카드와 관련해서는 이상의 추가 피해가 없는 것으로 결론지어져 졌지만 여전히 금융 서비스를 이용하는 개인들은 신상 정보를 금융사, 카드사에 낱낱이 접수해야만 한다.
개인정보보호 서비스 주목, 유출 피해 가능성 스스로 확인해야
현재 금융감독원은 개인정보 유출 피해에 대한 분쟁조정, 민사소송 등의 제도를 보다 강화하고 구제 방안을 폭넓게 마련하고 있다. 그러나 신용정보회사의 개인정보보호 서비스에 가입해 개인이 직접 신용조회 차단 및 해제를 하여 명의도용 피해를 예방할 것을 더욱 권고하고 있다. 안내에 따르면 신용정보회사 코리아크레딧뷰로(www.koreacb.com)는 이번 개인정보 유출 고객을 대상으로 개인정보보호 서비스를 2015년 1월까지 무료로 제공하기로 했다.
대형 카드사 고객들 대부분이 모두 큰 피해를 본 가운데 현재는 유출 이후의 관리가 보다 중요하다. 본인 이름, 계좌번호, 주소 등이 유출된 경우에는 이들 정보가 포함된 정교한 가짜 메시지가 올 수 있으므로 더욱 주의해야 한다. 특히, 금융회사에서는 계좌 비밀번호, 보안카드 일련번호 및 전체 보안카드 번호 등의 입력을 요구하지 않고 있다는 점을 참고해야 한다.
육안으로 구별 어려운 각종 ‘스미싱’ 수법
단순한 정보 유출, 명의도용 이외에도 요즘은 사이트를 이용한 신종 스미싱, 슈퍼노트급 피싱 등이 등장해 일상적인 인터넷 사용 도중에도 피해가 발생할 우려가 높아졌다. 사고 동영상, 이슈 뉴스 등과 연관 지어 사기성 메시지를 문자로 보내거나 URL 연결을 유도해 개인정보를 빼내는 방식, 지능화된 스팸 메시지, 콜백 키를 누르거나 자세한 내용 보기 버튼을 누르는 동시에 요금이 청구되는 악성 스미싱 등은 특히 주의해야 한다.
또한 전화벨을 한두 번 정도 울린 후 끊기게 해 회신 전화를 유도하는 ‘원 링 스팸’에 관해서도 알아두어야 한다. 이동통신사에서 제공하는 스팸 번호를 확인, 자동 차단할 수 있는 서비스, 불법 스팸 대응센터(118) 등을 통해 예방이 가능하다. 특히 쉽게 피해를 보기 쉬운 ‘신종 스미싱’은 이제 ‘슈퍼노트급’ 피싱이라는 이름까지 붙었다.
웹 사이트 주소는 물론이며 사이트 디자인, 원문, 캡차코드(CAPTCHA CODE) 입력 화면까지 정상 사이트와 매우 유사하게 만들어 일반 사용자의 육안으로 구별하기 어려운 피싱 사이트를 이용한 신종 스미싱 악성코드는 같은 기간에 발생한 1천33개보다 약 3.4배 증가한 총 3천558개가 발견됐다.
국내 대표 보안 기업 안랩이 올해 1월부터 5월까지 수집된 스미싱 악성코드의 이 같은 수치를 언급하며 2012년 같은 기간 대비 711.6배 급증한 수치라고 밝혔다. 특히 최근 발견된 스미싱 문자 내 포함된 URL로 연결되는 가짜 사이트를 분석한 결과, 캡차코드 사용, 피싱 사이트 내 정상 사이트의 URL 일부 삽입, 가짜 사이트 디자인 및 문구 고도화 등의 특징을 보이며 한층 진화한 모습을 보였다.
‘경찰청 사이버 테러 대응 센터’로 위장한 피싱 사이트의 경우, 서류 접수 확인을 누르면 캡차코드 입력 화면이 뜨지만, 번호 입력을 하지 않거나 틀려도 확인만 누르면 악성 앱이 다운된다.
또한 서류 접수 확인 버튼 이외 배너를 누르면 정상적인 경찰청 사이버 테러 대응 센터 사이트로 이동시키는 등의 교묘한 수법으로 이용자의 의심을 최소화시키는 경우도 있다. ‘ㅇㅇㅇ님! 당신의 초중고 동창생들을 찾아드립니다 http://www.memberapc.net’과 같이 정상 사이트에서 발송되고 있는 문자 내용 그대로를 사용했다.
또한 연결된 사이트의 디자인과 문구뿐만 아니라 배너 등의 위치까지도 동일하게 적용해 사용자가 쉽게 착각하도록 했다. 이외에도 ‘서류가 접수돼었습니다(XX법원)’에서 ‘서류가 접수되었습니다(XX법원)’으로 맞춤법을 교정하고, 실명을 직접 기재하는 등 사용자들이 문자를 정상적으로 인식하고 무심코 URL을 클릭하도록 유도하는 사례도 발견됐다.
초기 스미싱은 사전에 유출된 개인정보와 스미싱을 통해 탈취한 통신사 정보, 인증용 문자 메시지를 결합해 소액결제를 유도하는 형태였다. 하지만 최근에는 전문가들도 단번에 구별하기 어려운 수준으로 고도화된 스미싱 수법을 통해 공인인증서, ID및 비밀번호, 통신사 정보, 문자 메시지 등 금융 거래 및 결제에 필요한 모든 정보를 한 번에 탈취해 간다. 뿐만 아니라 주소록 정보까지도 유출해 스미싱 수신자들을 기하급수적으로 늘려 가는 등 대형 보안사고의 시작점으로 변하고 있다.
스미싱 피해를 최소화하기 위해서는 문자 메시지나 SNS에 포함된 URL 실행 자제, 모바일 백신으로 스마트폰을 주기적으로 검사, 시스템 설정에서 ‘알 수 없는 출처[소스]’의 허용 금지 설정, 스미싱 탐지 전용 앱 다운로드 등이 필요하다.
안랩 융합제품개발실 강종석 선임연구원은 “이번에 발견된 슈퍼노트급 피싱 사이트를 이용한 신종 스미싱 수법은 전문가들도 단번에 구별하기 어려운 고도화된 수준이었다”라며, “위폐 감별기까지 속이는 매우 정교한 슈퍼노트급 위조지폐가 끊임없이 만들어져 현금 이용 시 각별한 주의를 요하듯 스마트폰 사용자라면 기본 보안 수칙을 생활화하는 것이 절대적으로 필요하다”라고 말했다.
안랩은 지난해 10월부터 스미싱 차단 전용 앱 ‘안전한 문자’(안드로이드 전용)를 무료로 제공하고 있다.
회원가입, 사이트 이용 시 스스로 보안 단계 높여야
정부 차원의 유출 방지 대책 역시 활발하게 이루어지고 있다. 당국은 고객이 본인 정보의 이용 제공 현황을 언제든지 확인할 수 있도록 금융회사별로 조회 시스템 구축을 추진하며 금융회사가 마케팅을 목적으로 고객 동의를 받고 이용하거나 제3자에 제공 중인 현황을 조회할 수 있도록 하는 방안을 추진 중이다. 오는 9월부터 금융 회사별로 조회 시스템을 순차적으로 시작하며 연말까지는 모든 금융회사가 구축할 수 있도록 추진될 예정. 주민번호의 노출을 최소화하고, 보관은 엄격히 하는 금융권 공통기준 또한 마련 중에 있다. 각종 금융거래 서식에서 주민번호 기재란을 삭제하고, 생년월일만 기재하도록 하는 한편, 이에 따른 업무혼란, 고객 불편 등이 발생하지 않도록 관련 법규 및 애로사항 등을 검토 중이다.
신용정보 유출, 명의도용 같은 사회적 범죄와 그 파장은 신용카드 범용화 초기부터 꾸준히 제기되던 문제점들이다. 카드, 인터넷, 모바일 등 이제는 지극히 일상적인 이 서비스들 대부분은 고객 정보가 조회, 공유된다. 전문가들은 보다 교묘해진 신종 수법들의 예시를 꼼꼼히 확인하고 모바일 기기, 인터넷 기반 서비스를 이용하는 중 개인정보 입력, 활용 동의 과정에서 더욱 신중을 기해야 한다고 조언한다.
