공인인증서도 안심 못해…7천개 해킹으로 유출 폐기

좀더 안전한 보안 수단으로 여겨졌던 공인인증서도 안심할 수 없게 됐다. 시중은행 공인인증서 7000여개가 해킹으로 유출돼 금융 당국이 일괄 폐기했다.

한국인터넷진흥원이 최근 피싱, 파밍 사이트 모니터 하던 중 악성코드로 수집된 공인인증서 유출 목록 7000여건을 발견하고 추가적인 전자금융사고 예방을 위해 금융결제원 등 5개 인증기관에 통보해 모두 없앤 것으로 12일 알려졌다.

한국인터넷진흥원은 국내 악성코드 경유지로 악용되는 홈페이지를 탐지하면서 공인인증서를 유출하는 악성코드를 발견, 이를 차단했으며 유출된 공인인증서에 대해서는 가입자에게 유출 사실을 안내하고 공인인증서 폐지 등의 조치를 한 것으로 알려졌다. 폐기된 공인인증서는 국민은행, 우리은행 등 시중은행 고객의 인증서였다.

아직 유출된 공인인증서에 따른 피해 사례는 나오지 않았지만 피해 방지를 위해 사용 중인 컴퓨터의 백신 소프트웨어와 보안 업데이트를 최신으로 유지할 필요성이 대두되고 있다.

해커들이 사용한 파밍 수법은 가짜 사이트를 미리 개설하고 피해자 컴퓨터를 악성코드에 감염시켜 진짜 사이트 주소를 넣어도 가짜 사이트에 접속하도록 해 개인정보를 빼내는 온라인 피싱이다.

우리은행은 최근 공인인증서가 유출된 것으로 의심되는 고객의 인터넷뱅킹 이용을 일시 중단시켰다. 인터넷뱅킹을 이용하려면 가까운 영업점에 가서 다시 신고해야 한다.

시중은행마다 유출된 공인인증서가 수백개이며 많은 곳은 1000여개에 달하는 것으로 알려졌다. 지난해 5월 한국인터넷진흥원은 은행 고객 컴퓨터에서 유출된 공인인증서 파일 212여개가 모여 있는 국외 서버를 발견해 금융결제원에 통보해 폐기한 바 있다. 지난해 2월에도 해커들이 신한은행 등 시중은행이 발급한 공인인증서를 해킹해 금융결제원이 461개를 일괄적으로 없앤 바 있다.

인터넷뱅킹 악성코드를 활용한 공인인증서 유출 사례는 지난해부터 급증하는 추세다. 공인인증서가 빠져나가면 인터넷 뱅킹으로 예금을 찾아가는 범행에 곧바로 노출된다.

삼성카드는 스마트폰 스미싱(문자메시지와 피싱의 합성어)으로 최근 자사 앱카드를 이용하는 고객 53명이 금전 피해를 봤다는 신고 300건이 접수되자 이를 지난 5월 초 경찰청과 금융감독원에 자진 신고했다.

금융당국이 밝힌 공인인증서 유출을 막기위한 주의사항은 다음과 같다.

우선 공인인증서를 PC 하드디스크나 이메일, 웹하드에 보관하면 안 된다. 타인의 접근이 가능하기 때문이다. 공인인증서 비밀번호는 인터넷 포털사이트 등의 비밀번호와 다르게 설정하고 주기적으로 변경해야 한다. 공공장소의 공용 PC에서는 공인인증서를 사용하면 안 된다. 공용PC의 경우 보안에 상대적으로 취약하다. 성인 및 도박 사이트 등에서는 절대 공인인증서를 이용해선 안 된다.

공인인증서 및 개인정보 유출이 의심되면 즉시 금감원 등에 신고하고 공인인증서를 폐기해야 한다. 보다 안전한 금융거래를 위해선 보안카드보다 일회용비밀번호(OTP) 발생기를 사용하는 것이 좋다. 박재호기자 jhpark@sportschosun.com