'공인인증서' 맹신에 빠진 금융당국…앱카드 해킹 '속수무책'
보안전문가 앱카드 해킹 아닌, 공인인증서 해킹으로 봐야
금융당국 정확한 사태도 파악하지 못 하고 있어
삼성카드에 이어 신한카드 앱카드에서 명의도용 사고가 추가 발생한 가운데, 금융당국과 카드사들은 사고 원인을 파악하지 못한 채 경찰의 수사결과에 목을 매고 있다. 사정이 이러다 보니 앱카드 사고가 재차 발생돼도 차단책은 커녕 바라만 보는 신세가 될 뿐이다. 피해는 고스란히 앱카드 사용 고객이 떠안을 수밖에 없다.
이런 가운데 보안전문가들은 정부가 유일하게 허용한 온라인 결제 보안수단인 공인인증서 해킹으로 이 같은 사고가 일어났다고 주장했다. 이번 사태가 앱카드보다 공인인증서 문제라는 것이다. 또 안드로이드와 아이폰 등 스마트폰 앱의 보안문제가 아니라고 선을 그었다.
13일 금융권에 따르면, 서울지방경찰청 사이버수사대는 신한카드 앱카드 정보가 뚫려 부정매출이 일어난 사실을 파악했다. 이는 경찰이 지난달 29일 신한카드와 롯데카드, 국민카드, 현대카드 본사를 긴급 압수수색한 결과다.
앞서 경찰은 삼성카드 앱카드 명의도용에서 사용된 2개 IP주소를 추적해 다른 카드사에도 이 같은 사고가 발생했는지 사실 확인에 나섰다. 결과적으로 신한카드를 제외한 국민카드와 롯데카드, 현대카드에선 문제 IP주소가 확인되지 않았다.
이 같은 소식이 전해지자 금융감독당국은 당혹스러운 눈치다. 금감원 관계자는 "아직 경찰의 수사가 진행 중"이라며 "정확한 피해규모와 방법은 수사가 끝나봐야 알 수 있을 것"이라고 답했다.
그는 그러면서 "이미 보도된 것처럼 신한카드에서 자료를 넘겨받아 앱카드 사고 관련 경위를 파악하고 있다"며 "우리는 특별검사도 계획 중"이라고 했다.
카드사의 사정도 마찬가지다. 카드사 관계자는 "우리도 경찰의 결과가 빨리 나왔으면 좋겠다"며 "피해규모는 물론 피해방법도 제대로 파악하지 못하고 있다"고 해명했다.
경찰과 카드사가 파악한 내용을 종합해보면 삼성카드와 신한카드에서 앱카드를 이용한 부정사용의 발단은 해커가 스미싱을 이용해 공인인증서를 복사하면서부터다. 해커는 공인인증서를 빼낸 뒤 본인인증 휴대폰 번호를 변경할 수 있는 아이폰 앱을 이용해 타인명의 모바일 신용카드(앱카드)를 발급받았다.
사고 발생 이후 카드사는 앱 업데이트를 통해 이 같은 방법이 불가능하게 대처했다. 이는 근본적인 문제가 안드로이드나 아이폰의 보안시스템이 아니라는 것을 시사한다.
속수무책 금융당국, 보안기술만 가로막아
앱카드를 설치하기 위해선 공인인증서 비밀번호를 반드시 알아야 한다. 보안전문가는 이점에 주목했다. 또 이번 앱카드 문제가 아이폰이나 안드로이드 앱의 해킹 사고가 아닌 공인인증서 해킹에 의한 사고라고 주장했다.
보안업계 한 관계자는 "스미싱으로 공인인증서를 복사했다 하더라도 비밀번호를 모르면 앱카드를 설치할 수 없다"며 "결국 앱카드 설치를 위한 보안관문인 공인인증서가 뚫렸다는 것"이라고 단언했다.
그는 이어 "보안업계는 이미 공인인증서가 쉽게 유출되고, 비밀번호도 쉽게 뚫을 수 있다는 것을 알고 있다"며 "뉴스만 봐도 알겠는데, 사고 원인을 파악하지 못했다는 것은 정부가 유일하게 허용한 공인인증서를 부정하는 꼴이 될까 봐 답을 회피하는 것 같다"고 덧붙였다.
또 다른 보안업계 관계자는 "카드사는 앱카드를 만들면서 다른 보안수단을 전혀 고려치 않고 정부가 인증한 공인인증서만 맹신했다"고 지적했다.
그러면서 "결국 이번 사고는 공인인증서만 보안수단으로 생각한 금융당국과 이를 검증 없이 사용한 카드사의 합작품"이라고 질타했다.
김기창 고려대 법학전문대학원 교수는 "금융당국이 '신줏단지' 모시듯 하는 공인인증서는 15년도 넘게 된 낙후된 기술"이라며 "공인인증서만큼 안전한 기술이 없다는 정부의 주장은 잘못됐다"고 목소리를 높였다.
보안업계도 공인인증서보다 더 강화된 보안기술이 개발됐지만, 금융당국의 인증평가제도로 사용이 사실상 사용이 막혀 있다고 하소연했다.
카드결제 보안시스템을 개발하는 보안회사 대표는 "공인인증서를 대체할 보안수단을 만들었지만, 금감원 인증평가제도가 규제로 작용해 카드결제시장에서 사용되지 못하고 있다"며 "오히려 외국에서만 기술을 인정해줘 해외시장으로 눈을 돌리고 있다"고 힘주어 말했다.
그는 그러면서 "금융당국은 공인인증서만 믿고, 카드사는 보안기술을 개발한 회사에 대해 인증을 제대로 하지 않아 앱카드 문제가 생긴 것"이라고 진단한 뒤 "앞으로 이 같은 사고는 언제든지 발생할 수 있다"고 강조했다.
경찰 압수수색을 받았지만 문제 되지 않은 카드사 관계자는 "앱카드 시스템은 여러 카드사가 공동개발한 것이기 때문에 보안수준은 거의 같다"며 "우리 카드사에서 해커의 IP주소가 발견되지 않은 것은 문제 온라인 가맹점과 계약을 맺지 않았거나 운이 좋아서인 것 같다"고 귀띔했다.
©(주) 데일리안 무단전재 및 재배포 금지
13일 금융권에 따르면 서울지방경찰청 사이버수사대는 신한카드 앱카드 정보가 뚫려 부정매출이 일어난 사실을 파악했다. 이는 경찰이 지난달 29일 신한카드와 롯데카드, 국민카드, 현대카드 본사를 긴급 압수수색한 결과다.(자료사진) ⓒ데일리안
실시간 주요뉴스
![옳은 말과 오지랖 사이 한은 총재 '줄타기' [부광우의 싫존주의]](https://cdnimage.dailian.co.kr/news/icon/202411/news_1732484907_1432194_c.jpeg){kind=icon}