[단독]휴면계좌 해킹 표적…신용카드 1400만원 인출
입력
수정
개인 금융 정보를 빼내 은행 계좌에서 수천만원의 돈을 인출한 사건이 알려진데 이어 휴면계좌를 통해 공인인증서를 재발급받아 신용카드에서 1400여만원의 현금서비스를 받아 인출하려던 사실이 뒤늦게 알려져 충격을 주고 있다.
특히 이번 사건이 관리가 소홀한 휴면계좌를 이용한 사건이라는 점에서 앞으로 휴면계좌에 대한 각별한 관리가 필요할 전망이다.◆휴면계좌 통해 신용카드서 1400여만원 인출
11일 씨티은행과 서울 중랑경찰서 등에 따르면 지난해 12월 29일 오후 3시45분 직장인 유모(36, 남)씨의 신용카드인 씨티카드에서 현금서비스로 각각 539만원과 900만원 등 모두 1439만원이 한모(40)씨의 명의로 된 우리은행 계좌로 이체됐다.
유씨는 회사 회의 도중 카드사측에서 자동 송출된 휴대전화 문자메시지로 이같은 사실을 통보받았다.
자신도 모르는 사이에 신용카드 현금서비스를 받았고, 자신의 계좌가 아닌 타인명의로 된 다른은행 계좌로 이체된 것을 알게된 유씨는 씨티카드 콜센터로 전화를 걸어 "현금서비스 이체를 신청하지 않았다. 이체된 계좌에서 돈이 인출되지 않게 막아달라"고 요청했다.이에 씨티카드는 부정사용신고를 접수하고 돈이 이체된 우리은행 측에 부정사용에 대한 일시 인출 정지를 요청, 다행히 돈이 빠져나가는 것을 막았다.
경찰조사와 피해자 유씨의 진술 등에 따르면 특정 IP를 통해 유씨의 전 직장 월급이체 통장으로, 회사를 옮긴 후 3년간 거래가 없던 휴면계좌인 씨티은행(구 한미은행) 계좌에서 사건 당일 1시간 전 공인인증서가 재발급됐다.
곧바로 재발급 받은 공인증서를 이용해 유씨 소유의 신용카드에서 현금서비스를 받아 우리은행 한씨의 계좌로 현금서비스받은 돈을 이체를 시켰다.또 본격적인 범행에 앞서 한씨의 우리은행 계좌에서 유씨의 씨티은행으로 1만원을 이체시키는 모의테스트 거래를 사전에 하는 등의 치밀함까지 보였다.
한씨의 계좌 역시 개인정보가 유출돼 해커들에게 이용되고 있었던 것으로 조사됐다.
경찰은 IP추적결과 중국에서 접속한 것으로 확인했으며 해커들에 의한 개인정보 해킹과 이를 이용한 금융거래로 잠정적인 결론을 내렸다.
◆휴면계좌가 해커들의 대포통장?
이번 사건이 기존에 발생된 해킹 등에 의한 부정 금융거래와 다른 것은 휴면계좌를 이용했다는 것이다.휴면계좌는 소유자가 장기간 거래를 하지않는 계좌로, 인터넷 등을 통한 금융거래에서 대포통장 혹은 범행 이전 모의테스트용으로 활용되기 싶다는 것이다.
시중은행의 한 관계자는 "우리나라 성인들은 1~2개의 휴면계좌를 갖고 있다"며 "해커들은 휴면계좌를 자신이 마음대로 사용할 수 있는 다른 사람 명의의 계좌, 일명 '대포통장'으로 생각하고 부정거래에 악용할 수 있다"고 말했다.
◆중국에서 등록된 수상한 IP, 지속적으로 범행 시도
피해자 유씨에 따르면 신용카드 부정 현금서비스 시도 외에도 같은 IP를 통해 1월 1일 오전 10시38분 인터넷 회사 H사에서 유씨 소유 신한카드로 1만7600원의 소액 결제가 이뤄졌다.
또 같은날 오후 8시34분과 2일 새벽 4시 16분 각각 D회사와 K회사를 통해 5만5000과 10만원의 소액결제를 같은 IP를 통해 신청했다가 승인 거절된 사실을 문자롤 통보받았다.
경찰 관계자는 "중국 해커들이 여러통로를 통해 우리나라 직장인들의 개인 신상정보를 수집하고 있고, 특히 포털 등에 올라온 보안카드나 키보드 해킹 등을 통해 금융거래를 시도하고 있다"며 각별한 주의를 당부했다.
전문가들은 이런 사고를 방지하기 위해서는 본인의 공인인증서 정보를 이메일이나 개인 홈페이지 등에 저장하지 말아야 한다고 조언한다. 해커들이 공인인증서 정보를 알게 되면 인터넷 뱅킹에 접속할 때마다 고객의 컴퓨터를 해킹해 다른 금융정보까지 파악할 수 있기 때문이다.
은행의 한 관계자는 "인터넷 뱅킹에서 계좌이체를 하려면 보안카드 번호를 입력해야 하는데 이 정보를 파악하기 위해 해커들은 보통 1년 이상 고객의 행동을 관찰해 보안카드 번호를 알아낸다"고 말했다.
보안 전문가들은 최근 중국 IUP를 통한 부정거래가 늘고 있는 점을 감안할 때 일회용비밀번호생성기(OTP) 사용도 권장한다. OTP는 인터넷 뱅킹을 할 때마다 비밀번호를 새롭게 생성해 4자리 숫자코드 30여개만을 비밀번호로 제공하는 기존 보안카드의 취약점을 보완해 정보 유출 가능성이 거의 없기 때문이다.
시중은행의 한 관계자는 "공인인증서 정보가 유출됐다고 하더라도 인터넷 뱅킹을 할 때마다 실시간으로 구동되는 해킹 방지시스템을 차단하지 않고 OTP를 사용하면 돈이 무단으로 인출되는 사고는 막을 수 있다"고 말했다.한경닷컴 박세환 기자 greg@hankyung.com
기사제보 및 보도자료 open@hankyung.com
특히 이번 사건이 관리가 소홀한 휴면계좌를 이용한 사건이라는 점에서 앞으로 휴면계좌에 대한 각별한 관리가 필요할 전망이다.◆휴면계좌 통해 신용카드서 1400여만원 인출
11일 씨티은행과 서울 중랑경찰서 등에 따르면 지난해 12월 29일 오후 3시45분 직장인 유모(36, 남)씨의 신용카드인 씨티카드에서 현금서비스로 각각 539만원과 900만원 등 모두 1439만원이 한모(40)씨의 명의로 된 우리은행 계좌로 이체됐다.
유씨는 회사 회의 도중 카드사측에서 자동 송출된 휴대전화 문자메시지로 이같은 사실을 통보받았다.
자신도 모르는 사이에 신용카드 현금서비스를 받았고, 자신의 계좌가 아닌 타인명의로 된 다른은행 계좌로 이체된 것을 알게된 유씨는 씨티카드 콜센터로 전화를 걸어 "현금서비스 이체를 신청하지 않았다. 이체된 계좌에서 돈이 인출되지 않게 막아달라"고 요청했다.이에 씨티카드는 부정사용신고를 접수하고 돈이 이체된 우리은행 측에 부정사용에 대한 일시 인출 정지를 요청, 다행히 돈이 빠져나가는 것을 막았다.
경찰조사와 피해자 유씨의 진술 등에 따르면 특정 IP를 통해 유씨의 전 직장 월급이체 통장으로, 회사를 옮긴 후 3년간 거래가 없던 휴면계좌인 씨티은행(구 한미은행) 계좌에서 사건 당일 1시간 전 공인인증서가 재발급됐다.
곧바로 재발급 받은 공인증서를 이용해 유씨 소유의 신용카드에서 현금서비스를 받아 우리은행 한씨의 계좌로 현금서비스받은 돈을 이체를 시켰다.또 본격적인 범행에 앞서 한씨의 우리은행 계좌에서 유씨의 씨티은행으로 1만원을 이체시키는 모의테스트 거래를 사전에 하는 등의 치밀함까지 보였다.
한씨의 계좌 역시 개인정보가 유출돼 해커들에게 이용되고 있었던 것으로 조사됐다.
경찰은 IP추적결과 중국에서 접속한 것으로 확인했으며 해커들에 의한 개인정보 해킹과 이를 이용한 금융거래로 잠정적인 결론을 내렸다.
◆휴면계좌가 해커들의 대포통장?
이번 사건이 기존에 발생된 해킹 등에 의한 부정 금융거래와 다른 것은 휴면계좌를 이용했다는 것이다.휴면계좌는 소유자가 장기간 거래를 하지않는 계좌로, 인터넷 등을 통한 금융거래에서 대포통장 혹은 범행 이전 모의테스트용으로 활용되기 싶다는 것이다.
시중은행의 한 관계자는 "우리나라 성인들은 1~2개의 휴면계좌를 갖고 있다"며 "해커들은 휴면계좌를 자신이 마음대로 사용할 수 있는 다른 사람 명의의 계좌, 일명 '대포통장'으로 생각하고 부정거래에 악용할 수 있다"고 말했다.
◆중국에서 등록된 수상한 IP, 지속적으로 범행 시도
피해자 유씨에 따르면 신용카드 부정 현금서비스 시도 외에도 같은 IP를 통해 1월 1일 오전 10시38분 인터넷 회사 H사에서 유씨 소유 신한카드로 1만7600원의 소액 결제가 이뤄졌다.
또 같은날 오후 8시34분과 2일 새벽 4시 16분 각각 D회사와 K회사를 통해 5만5000과 10만원의 소액결제를 같은 IP를 통해 신청했다가 승인 거절된 사실을 문자롤 통보받았다.
경찰 관계자는 "중국 해커들이 여러통로를 통해 우리나라 직장인들의 개인 신상정보를 수집하고 있고, 특히 포털 등에 올라온 보안카드나 키보드 해킹 등을 통해 금융거래를 시도하고 있다"며 각별한 주의를 당부했다.
전문가들은 이런 사고를 방지하기 위해서는 본인의 공인인증서 정보를 이메일이나 개인 홈페이지 등에 저장하지 말아야 한다고 조언한다. 해커들이 공인인증서 정보를 알게 되면 인터넷 뱅킹에 접속할 때마다 고객의 컴퓨터를 해킹해 다른 금융정보까지 파악할 수 있기 때문이다.
은행의 한 관계자는 "인터넷 뱅킹에서 계좌이체를 하려면 보안카드 번호를 입력해야 하는데 이 정보를 파악하기 위해 해커들은 보통 1년 이상 고객의 행동을 관찰해 보안카드 번호를 알아낸다"고 말했다.
보안 전문가들은 최근 중국 IUP를 통한 부정거래가 늘고 있는 점을 감안할 때 일회용비밀번호생성기(OTP) 사용도 권장한다. OTP는 인터넷 뱅킹을 할 때마다 비밀번호를 새롭게 생성해 4자리 숫자코드 30여개만을 비밀번호로 제공하는 기존 보안카드의 취약점을 보완해 정보 유출 가능성이 거의 없기 때문이다.
시중은행의 한 관계자는 "공인인증서 정보가 유출됐다고 하더라도 인터넷 뱅킹을 할 때마다 실시간으로 구동되는 해킹 방지시스템을 차단하지 않고 OTP를 사용하면 돈이 무단으로 인출되는 사고는 막을 수 있다"고 말했다.한경닷컴 박세환 기자 greg@hankyung.com
기사제보 및 보도자료 open@hankyung.com