씨티銀 인터넷 뱅킹 해킹 사고‥카드 결제대행 보안 시스템 뚫어 '충격'

은행 인터넷뱅킹 시스템이 해킹돼 고객 20여명의 신용카드가 무단 결제되는 사건이 벌어진 것은 그만큼 인터넷뱅킹의 보안장치가 허술하다는 점을 보여주고 있다.

과거 여러 차례 해킹 사건이 발생하면서 각 은행들이 보안장치를 강화하고 있지만 해커들의 수법 역시 점점 교묘해지고 있기 때문이다.
이번 사건은 해커들이 은행의 전산망을 직접 뚫지 않고 전자상거래 결제대행서비스업체(Payment Gateway)를 해킹함으로써 일어난 것이어서 더욱 충격을 주고 있다.

해커들은 은행 인터넷뱅킹보다 상대적으로 허술한 결제대행서비스업체를 해킹해 고객의 ID,비밀번호,안심클릭서비스비밀번호를 알아낸 것으로 확인됐다.

금융감독당국 관계자는 "상당수 은행들이 전자상거래 신용카드 결제시 결제대행서비스업체와 제휴를 맺고 있기 때문에 이 같은 해킹에 노출돼 있는 셈"이라고 말했다.해커들은 또 소액결제의 경우 공인인증서 없이 안심클릭서비스 등록만으로 이용할 수 있다는 허점을 교묘하게 이용한 것으로 드러났다.

지난해 6월부터 전자상거래시 공인인증서 사용이 의무화했지만 30만원 이하의 소액결제는 기존의 안심클릭서비스나 ISP 같은 카드사 전용 보안프로그램을 사용할 수 있도록 했다.

해커들은 이 같은 허점을 이용,안심클릭서비스를 통해 30만원 이하의 게임아이템 구입이나 사이버머니를 결제하는 수법을 사용한 것으로 확인됐다.감독당국 관계자는 "30만원 이하의 결제도 공인인증서 사용을 의무화하거나 별도의 보안장치를 강구해야 할 것으로 보인다"고 말했다.

이번 해킹사건에 대해 씨티은행측은 "은행 인터넷뱅킹이 직접 해킹된 것이 아니라 결제대행서비스 업체가 해킹돼 일어난 사고"라며 "신용카드 거래에 대한 모니터링을 강화하고 있다"고 밝혔다.

하지만 금융계에서는 씨티은행의 전산망이 상대적으로 낙후돼 있다는 지적도 나오고 있다.실제로 씨티은행의 신용카드 온라인 조회서비스의 경우 공인인증서와 ID,비밀번호 등이 없이 사용자 인증을 하고 있다.

지난해 12월 씨티카드 고객이 자신도 모르게 본인 신용카드로 135만원의 현금서비스를 받아간 사실을 발견해 금감원에 신고했다.

이어 작년 말에는 씨티카드 회원 2000명의 결제 통장에서 카드대금이 두 번 인출되는 사고도 발생했다.

장진모 기자 jang@hankyung.com