11.42
0.52
더욱이 카드 3사의 영업재개를 앞둔 시점에 발생한 이번 사고는 재정비에 분주한 카드업계에 찬물을 끼얹는 모양새다. 특히 민감한 보안이슈는 업계 신뢰회복에도 악영향을 미친다. 이번 사고를 중심으로 모바일카드 보안의 안전성에 대해 짚어봤다.
◆모바일카드 해킹, 무방비한 카드사
최근 삼성카드 앱카드 고객 50여명의 명의를 도용, 온라인사이트에서 부당매출을 올린 금융사기가 발생했다. 삼성카드가 자체조사한 결과 11개 온라인사이트에서 소액결제를 통해 6000여만원의 부당매출이 일어났다.
이번에 발생한 금융사기는 스미싱(smishing:문자메시지를 이용한 새로운 휴대폰 해킹 기법)을 이용한 신종수법으로 모바일카드 출시 1년여 만에 발생한 보안사고다. 사기일당은 안드로이드 보안의 취약점과 앱카드의 허점을 교묘히 악용했다. 우선 사기일당은 고객이 스미싱 문자를 누르도록 유도하고 이를 통해 악성앱을 자동으로 설치했다.
이번 사고는 안드로이드 스마트폰 사용자에게만 일어났다. 아이폰의 경우 IOS개발업체인 애플이 앱마켓에 등록된 모든 애플리케이션을 자체검수해 의심이 가는 앱이 기기에 설치될 확률이 매우 적다.
탈옥(jailbreak:제조사의 시스템 제약을 임의로 해제하는 행위) 혹은 루팅(rooting)을 한 기기를 제외하고 지난 2007년 아이폰이 출시된 이후 지금까지 이러한 스미싱 사고는 세계적으로 단 한차례도 일어나지 않았다.
반면 안드로이드 스마트폰은 자동 앱설치를 제한한 경우를 제외하고 출처가 불분명한 앱도 설치가 가능하다. 문제는 이렇게 악성코드에 감염돼 좀비가 된 스마트폰은 개인정보 및 공인인증서 등 금융정보까지 유출될 가능성이 크다는 점이다.
한 보안업계 전문가는 "악성코드로 인해 자동으로 악성앱이 설치되면 스마트폰은 순식간에 좀비폰이 된다"며 "사용자가 입력하는 모든 문자나 메모, 사진 등을 악성코드 유포자가 해킹할 수 있다"고 설명했다.
실제로 이번 사건도 공인인증서가 유출됐기 때문에 앱카드를 등록할 수 있었다. 이러한 수법으로 고객정보를 빼낸 사기일당은 이번엔 아이폰 기기에서 보안강화를 위해 유심카드에 있는 개인정보를 불러오지 못한다는 점을 악용했다.
이에 반해 유심이 없는 아이폰에서 공인인증서 방식으로 등록을 하면 스마트폰 사용자와 앱카드 등록자를 통신사나 카드사가 구분할 수 없다. 따라서 삼성카드 앱카드 등록 시 공인인증서 외의 별다른 본인인증 확인절차가 없는 허점을 알아챈 사기일당은 자신의 아이폰으로 훔친 고객정보를 이용, 앱카드를 발급 받을 수 있었다.
그렇다면 사기일당은 앱카드 등록에 필요한 공인인증서 암호를 어떻게 알아냈을까. 보안관계자에 따르면 최근 스미싱의 신종수법은 악성코드가 스마트폰에 설치돼 있던 정상적인 앱을 삭제하고 가짜앱을 설치해 암호 등을 탈취한다. 예컨대 사용자가 은행앱을 구동시키면 가짜 은행앱으로 연결되고 공인인증서 암호나 계좌 비밀번호를 입력하도록 유도하는 것.
또다른 수법으로는 악성코드가 일정 앱을 인식해 사용자가 구동하려고 하면 악성프로그램을 가동해 입력하는 문자를 그대로 해커에게 전달하기도 한다. 보안업계는 이번 사건 또한 이와 유사한 방식으로 암호가 유출됐을 것으로 추정했다.
◆모바일카드 사용해도 될까
앱카드 불법복제 사건이 알려지자 금융당국은 카드사에 긴급 자체점검을 지시했다. 이로 인해 카드사들은 아이폰에서 공인인증서를 통한 본인인증 절차를 긴급 폐쇄했다. 또한 일부 카드사에선 아이폰에서 본인인증이 불가능한 허점을 막기 위해 고유의 기기식별번호로 앱카드 고객인지 여부를 확인해 이중으로 보안을 강화한다는 방침이다.
그러나 이 같은 단순조치로 앱카드의 보안 안전성이 강화될 수 있을지는 의문이다. 우선 최초 등록자가 앱카드 고객이 아닌 사기일당이라면 아이폰 기기식별번호로 고객여부를 판단하는 이중조치는 무용지물이 돼버린다. 또한 카드번호 등을 직접 입력할 경우에도 이미 악성앱이 깔린 스마트폰이라면 이 또한 해킹돼 유출될 것이 불을 보듯 뻔하기 때문이다.
결국 현재와 같은 안일한 보안책은 앱카드의 보안성을 담보할 수 없다는 결론이 나온다. 보안업계 전문가들은 모바일카드가 현재의 보안수준을 유지한다면 절대 안전하지 않다고 입을 모은다.
익명을 요구한 보안업체 관계자는 "이번 사고도 실상을 들여다보면 앱카드 등록절차가 허술했기 때문에 발생했다"며 "PC 해킹과 마찬가지로 스마트폰 해킹도 나날이 진화하고 있는데 모바일을 이용하는 금융사나 감독당국 모두 보안문제는 뒷전으로 치부한다"고 일침을 가했다.
이번 사고를 계기로 카드업계는 모바일카드 발급에 열을 올리기 이전에 보안성 강화를 더욱 심각하게 고민해야 할 것으로 보인다.
스미싱 피해 예방 행동요령
1. 지인에게서 온 문자메시지라도 출처가 확인되지 않은 문자메시지의 인터넷주소를 함부로 클릭하면 안된다.
2. 악성코드 등 미확인 앱이 설치되지 않도록 스마트폰 보안설정을 강화한다.
3. 이동통신사 고객센터나 인터넷 홈페이지를 통해 소액결제를 원천적으로 차단하거나 결제금액을 제한한다.
4. 스마트폰용 백신프로그램을 설치하고 주기적으로 업데이트한다.
5. T스토어·올레마켓·LGU+앱스토어 등 공인된 오픈마켓을 통해 앱을 설치한다.
6. 보안강화·업데이트 명목으로 금융정보를 요구하는 경우 절대 입력하면 안된다. 특히 보안카드번호 전부를 요구하면 100% 사기다.
1. 지인에게서 온 문자메시지라도 출처가 확인되지 않은 문자메시지의 인터넷주소를 함부로 클릭하면 안된다.
2. 악성코드 등 미확인 앱이 설치되지 않도록 스마트폰 보안설정을 강화한다.
3. 이동통신사 고객센터나 인터넷 홈페이지를 통해 소액결제를 원천적으로 차단하거나 결제금액을 제한한다.
4. 스마트폰용 백신프로그램을 설치하고 주기적으로 업데이트한다.
5. T스토어·올레마켓·LGU+앱스토어 등 공인된 오픈마켓을 통해 앱을 설치한다.
6. 보안강화·업데이트 명목으로 금융정보를 요구하는 경우 절대 입력하면 안된다. 특히 보안카드번호 전부를 요구하면 100% 사기다.
☞ 본 기사는 <머니위크>(www.moneyweek.co.kr) 제332호에 실린 기사입니다.