인증서 재발급 받았는데도 4시간만에 뚫려
인출엔 실물 보안카드 필수… 유출경로 추적
중국 인터넷 주소(IP)를 쓰는 해커가 한 시중은행의 인터넷뱅킹을 통해 고객 돈을 몰래 빼가는 사건이 발생해 경찰이 수사에 나섰다.
9일 서울 강남경찰서와 A 은행에 따르면 회사원 석모(38·여) 씨의 A 은행 계좌에서 지난달 5일 오후 3시 39분부터 5분 사이에 세 차례에 걸쳐 700만 원씩 모두 2100만 원이 B 은행 계좌로 인출됐다.
경찰조사 결과 석 씨는 인터넷뱅킹용 공인인증서를 재발급 받은 지 불과 4시간 만에 은행 계좌를 해킹 당한 것으로 드러났다.
석 씨는 지난달 5일 오전 11시경 또 다른 거래은행인 C 은행으로부터 “중국 IP를 쓰는 사람이 고객님의 ID를 이용해 인터넷뱅킹을 시도하고 있으니 공인인증서와 보안카드, 비밀번호를 바꾸라”는 안내를 받았다.
전날 밤 C 은행 정보보안팀은 중국에서 등록된 IP 사용자가 석 씨의 계좌에 접근하려는 징후를 포착했다. IP를 조사한 결과 지난해 초 자사 고객을 해킹해 수천만 원을 무단 인출했던 ‘불량 IP’였다.
석 씨는 C 은행의 경고에 따라 공인인증서를 재발급 받았지만 4시간 뒤 마이너스통장으로 쓰던 A 은행 계좌가 뚫렸다.
경찰은 용의자가 ‘키로그’ 등 해킹프로그램을 통해 석 씨의 PC를 실시간으로 모니터링하면서 공인인증서와 비밀번호 등 개인정보를 빼냈을 가능성이 높다고 보고 있다.
경찰 관계자는 “석 씨가 공인인증서를 재발급 받은 뒤 이전의 인증서로 로그인을 시도한 기록이 없고 한 번의 오류 없이 예금 인출에 성공했다”며 “해커들이 악성 프로그램을 통해 석 씨의 컴퓨터에 진입한 뒤 화면 내용을 손바닥 보듯 들여다본 것 같다”고 말했다.
그러나 해커들이 PC 모니터링을 통해 공인인증서와 비밀번호를 확보했다고 해도 돈을 인출하기 위해서는 보안카드 번호를 알아야 한다.
고객이 실물 형태로 보관하는 보안카드가 유출되는 경우는 크게 두 가지다.
도난이나 분실 등의 사유로 보안카드가 외부인의 손에 넘어가거나 사용자가 편의상 보안카드를 스캐닝하는 등 문서파일로 만들어 개인PC에 보관하다 해킹당하는 경우다.
지난해 초 C 은행 무단 예금인출 사건 당시 피해자는 보안카드를 하드디스크에 파일형태로 보관하다 해킹을 당했다.
경찰은 석 씨의 컴퓨터를 분석해 보안카드를 파일로 만들어 보관하다 유출됐을 가능성이 있는지, 악성코드 등 해킹을 돕는 프로그램이 설치되어 있는지를 밝힐 예정이다.
경찰은 그동안 IP 추적에 수사역량을 집중해 왔지만 중국에서 넘어온 IP라 컴퓨터 사용자 확인이 사실상 불가능한 상태다. 경찰은 석 씨의 돈이 흘러들어간 B 은행 계좌를 압수수색해 인출책 검거에 나설 예정이다.
경찰 관계자는 “용의자가 석 씨의 A 은행 마이너스통장 두 계좌에서 최대 4000만 원까지 인출할 수 있었음에도 한꺼번에 인출해가지 않고 700만 원씩 세 차례만 빼간 것으로 보아 국내 금융거래에 대해 잘 알지 못하는 외국인 해커일 가능성도 있다”고 밝혔다.
신광영 기자 neo@donga.com