파밍에서 수집된 공격자 서버, 텔레뱅킹 시도 ‘발견’

스미싱으로 인해 스마트폰 악성앱 설치 가능성

구글·중국 커뮤니티 사이트, 해킹 대행 게시 글 ‘난무’

금융당국, 모니터링 미흡·관리 소홀 등 지적

[보안뉴스 김경애] 최근 농협 계좌에서 텔레뱅킹으로 1억2000만원이 없어진 사건이 뒤늦게 알려지면서 금융업계, 경찰, 보안업계 등에서 촉각을 곤두세우고 있다. 특히 파밍과 스미싱으로 인한 개인정보 유출 등 다양한 공격 가능성이 제기돼 관심이 모아지고 있다.

텔레뱅킹으로 공격 타깃 전환

이번 사건을 요약하면 이렇다. 지난 7월 1일 이모 씨(50·여)가 자신의 농협 계좌에서 지난 6월 26일부터 28일까지 3일간 텔레뱅킹 방식으로 300만원씩 41차례에 걸쳐 총 1억 2천3백만 원이 빠져나간 것을 확인하고 경찰에 수사를 의뢰했다.

하지만 경찰은 대포통장으로 추정되는 다른 계좌로 송금된 사실과, 인출 이전에 이모 씨 아이디로 중국 길림성에서 농협 홈페이지에 접속한 IP만 확인했을 뿐 정확한 원인을 밝혀내지 못한 채 지난 9월 10일 수사를 종결했다.

먼저 텔레뱅킹을 하려면 먼저 은행에서 신청서 양식 작성을 위해 신분증과 통장이 필요하고, 계좌이체 비밀번호 설정과 텔레뱅킹 전용 전화번호 지정, 보안카드 또는 OTP(One Time Password) 카드 발급을 받아야 한다.

이러한 발급과정을 거친 후 텔레뱅킹 이용 시에는 계좌번호, 계좌 비밀번호, 자금이체 비밀번호, 보안카드 번호, 주민등록번호, 고객 전화번호 등 6가지 정보가 필요하다.

파밍에서 수집된 공격자 서버, 텔레뱅킹 흔적 ‘발견’

그러나 이모 씨는 지금껏 인터넷뱅킹을 사용한 적이 없다고 경찰조사에서 진술한 바 있으며, 이로 인해 공격 가능성에 대한 다양한 시나리오가 제기되고 있다. 특히 돈이 빠져나가기 전 중국 IP로 접속한 흔적이 발견돼 현재 파밍과 스미싱 등을 통한 텔레뱅킹 가능성에 무게가 실리고 있다.

▲ 공격자 서버에서 발견된 금융정보 관리내용 중 텔레뱅킹과 연관돼 있는 내용

게다가 최근 발견된 파밍 사이트에서 수집한 공격자 서버를 보면 텔레뱅킹을 시도한 기록들이 다수 발견됐기 때문이다.

이와 관련 빛스캔은 “지난 4년간 국내 인터넷 위협현황을 살펴본 결과, 게임계정 탈취를 위한 악성코드 형태가 최근 2년 전부터 금융정보 탈취 형태의 악성코드로 변화디고 있다”며 “파밍사이트에 금융정보를 입력한 피해자는 매주 200여명, 11월 중순까지 모두 800여명으로 관계기관에 해당 정보를 전달해 추가 피해를 막을 수 있도록 조치한 바 있다”고 말했다.

특히 공격자 서버에서 발견된 금융정보 관리내용 중에는 계좌조회 및 이체, 잔액 확인 기록과 파밍으로 확보된 정보를 바탕으로 텔레뱅킹을 통한 금액 인출 시도기록이 확인됐다는 것.

이처럼 금융정보가 탈취되면 인터넷뱅킹 이외에도 텔레뱅킹 등 여러 형태로 피해를 입을 수 있다.

그럼에도 불구하고 여전히 기업들의 취약한 웹서비스로 인해 악성코드가 대량으로 유포되고 있으며, 올해 하반기에는 기존의 탐지 방식으로는 탐지되지 않는 공격 도구들이 주로 이용되고 있어 탐지와 대응이 많이 부족한 상황이라는 것. 이렇게 악성코드에 감염된 PC는 좀비 PC가 되어 원격에서 조종 가능하게 된다.

스미싱으로 인한 악성앱 설치 가능성 ‘제기’

일각에서는 스미싱으로 인한 악성앱 설치 가능성도 제기되고 있다. 스미싱 또는 앱 마켓에서 일부 존재하는 악성앱이 설치될 경우 각종 개인정보는 물론 스마트폰에 저장된 이미지, 동영상, 전화번호, 금융정보까지 모두 탈취될 수 있기 때문이다.

피해자가 자신도 모르게 공공시관을 사칭한 문자에 첨부된 URL 주소를 클릭했다면 사용자 스마트폰 속에 악성앱이 심어져 사용자들의 금융정보 등 다양한 정보를 오랜 기간 은밀하게 해커들에게 전송했을 가능성이다.

구글·중국 커뮤니티 사이트, 해킹 대행 게시글 ‘난무’

게다가 이번 텔레뱅킹 사건을 전후해서 해킹의뢰를 받는 글들이 인터넷에 난무하고 있다는 점도 주목할 필요가 있다. 이와 관련 경찰청 사이버안전국 관계자는 “조선족들이 구글 사이트를 통해 해킹을 대행해준다는 글들을 빈번히 올리고 있다”며 “한국말을 할 줄 아는 조선족들이 돈벌이 수단으로 이전부터 사이버범죄에 많이 가담해왔기 때문에 이번 사건도 연장선상에서 발생했을 가능성이 높다”고 말했다.

또한 한 제보자는 “중국 커뮤니티 사이트에서는 우리나라 OTP를 뚫어준다는 해킹의뢰를 받는다는 글이 게시판에 올라오는 정황들이 발견되고 있다”며 “이미 공격자들의 해킹기술은 국내에서 대응할 수 있는 수준을 넘어서고 있다”고 전했다.

이처럼 대규모 인증서 및 금융정보 유출만으로도 이렇듯 돈이 감쪽같이 사라질 수 있는 가능성이 충분하다는 얘기다.

이에 반해 농협 측의 대응은 여전히 미흡하다는 비판이 거세다. IP 정보는 물론, MAC 주소 등을 수집하고 있지만 제대로 관리되지 못하고 있고, 여러 차례 늦은 시간에 돈이 인출되는 등 의심스러운 이상 징후에 대한 모니터링이 제대로 이뤄지지 않았다는 얘기다. 더욱이 처음에는 고객에게 보상할 책임이 전혀 없다고 발뺌하다가 여론의 비판이 거세지자, 추가 진상조사와 함께 보험금 지급여부에 대한 심사를 진행 중에 있다고 밝힌 상태다.

이러한 가운데 금융당국도 26일부터 진상 파악을 위해 IT금융정보보호단의 주도로 긴급검사에 들어간다. 또한 국회 농림축산식품해양수산위원회는 27일 전체회의를 열고 이번 텔레뱅킹 인출 사건과 관련해 최원병 농협중앙회장 등을 출석시켜 사건 경과와 피해현황 등을 보고 받을 것으로 알려졌다.

이렇듯 여론의 집중포화로 재조사에 들어간 이번 사태의 향후 추가 수사결과와 함께 농협과 금융당국의 후속조치도 주목되고 있다.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>