'앱카드' 인출책 적발…삼성·신한카드 왜 뚫렸나

입력 2015.02.10 15:56 수정 2015.02.10 16:01 윤정선 기자

삼성카드에서 받은 IP주소 신한카드에서도 뒤늦게 확인

금감원, 보안성심의 때와 같은 수준 보안 지켰는지 검토

ⓒ데일리안

지난해 타인 명의 앱카드(모바일 앱 기반 신용카드)로 상품권을 사 현금화한 일당이 적발되면서 이들의 범죄 수법이 수면 위로 드러났다. 보안구멍은 허술한 카드사의 본인인증과 해킹에 취약한 공인인증서에 있었다.

서울지방경찰청 사이버범죄수사대는 10일 다른 사람의 금융정보를 이용해 삼성카드와 신한카드에서 앱카드를 발급받아 억대의 돈을 가로챈 혐의(컴퓨터 등 사용 사기 등)로 김모(44)씨 등 3명을 불구속 입건했다고 밝혔다.

이들은 국내 스마트폰 이용자에게 '세월호 사고 현장 동영상 보기' 등 사람들을 현혹하는 메시지와 함께 인터넷 주소(URL)가 적힌 문자메시지를 보냈다. 이를 통해 이들은 타인의 스마트폰에 저장된 공인인증서나 카드사로부터 받는 인증문자 등을 가로챘다.

이들 일당은 이런 수법으로 빼낸 정보를 활용해 오픈마켓을 포함한 국내 인터넷 쇼핑몰에서 타인의 앱카드로 상품권을 사들였다. 지금까지 확인한 피해금액은 삼성카드 6439만원, 신한카드 6900만원이다.

이 같은 범죄가 가능했던 이유는 과거 앱카드가 공인인증서만으로 별도의 본인확인 없이 카드를 발급받을 수 있었기 때문인 것으로 보인다.

사이버범죄수사대 관계자는 "과거 공인인증서만으로 앱카드를 발급받을 수 있었다"며 "실제 해킹한 범인은 아직 잡지 못해 방법은 특정할 수 없지만, 공인인증서를 통해 앱카드가 뚫렸을 가능성이 높다"고 설명했다.

그는 이어 "지금은 카드사가 ARS 인증 등과 같은 방법으로 앱카드 본인인증을 보완한 것으로 알고 있다"고 덧붙였다.

경찰이 처음 앱카드 관련 수사에 들어간 이유는 제보에 의해서다. 카드사 모두 4개월간 범죄가 일어나는 동안 인지하지 못했다.

경찰 관계자는 "처음 내부 첩보로 수사를 시작했다"며 "이후 삼성카드에서 바로 수사 의뢰가 들어왔다"고 말했다.

그러면서 "삼성카드에서 받은 범죄자의 IP주소를 국내 모든 카드사에 뿌린 결과 신한카드에서도 문제 IP주소로 접속한 사실이 뒤늦게 확인됐다"고 했다.

한편 금융감독원은 앱카드가 과거 보안성심의를 받았을 때와 같은 수준의 보안과 인증수준을 유지했는지 검토한 뒤 이들 카드사에 대한 제재심의위원회를 연다는 계획이다.

#앱카드 해킹

#삼성카드 신한카드

#중국 앱카드

#세월호 사고

'앱카드' 인출책 적발…삼성·신한카드 왜 뚫렸나

댓글 0