농협 계좌에서 1억2천만원이 유출되는 초유의 사건이 발생하면서 어떻게 공격자들이 자금을 빼내갈 수 있었을까에 대한 관심이 쏠리고 있다. 이와 관련 27일 금융감독원은 해당 사건에 대한 본격적인 조사에 착수했다.
여러가지 가능성이 검토되고 있는 가운데 금감원, 농협, 보안전문가 등의 말을 종합해 본 결과, 피해자가 사용하는 스마트폰이 악성코드에 감염된 뒤, 공격자가 이를 악용해 텔레뱅킹으로 자금을 빼갔을 것이라는 추정이 유력한 시나리오 중 하나로 거론되고 있다.
금감원에 따르면 텔레뱅킹을 위해 필요한 정보는 고객계좌, 통장 비밀번호, 자금이체용 비밀번호, 보안카드번호, 주민번호, 고객전화번호로 총 6가지다.
이중 주민번호, 고객전화번호 등은 손쉽게 유출될 수 있다. 이외에 공격자가 통장 비밀번호, 자금이체용 비밀번호, 보안카드번호를 어떻게 확보했는지에 대해서는 현재로서는 명확히 알려진 내용은 없다.
해당 사건을 조사 중인 경찰청 사이버안전국 IT금융범죄수사팀 이주만 팀장은 현재로서는 정확한 정보유출 경위를 조사 중이라며 피해자는 스마트폰을 통해 텔레뱅킹을 사용해 왔던 것으로 파악하고 있다고 밝혔다.
텔레뱅킹은 집전화나 스마트폰, 피처폰 등을 모두 사용할 수 있다. 해당 은행 고유 텔레뱅킹용 전화번호로 전화를 건 뒤에 필요한 정보들을 입력하고, 이체할 계좌번호를 입력하면 거래가 이뤄지는 식이다.
문제는 피해자가 스마트폰을 사용해 텔레뱅킹을 했다는 점이다. 안드로이드 스마트폰 사용자였다면 공격자는 그동안 유출된 금융정보를 악용해 피해자로부터 자금을 인출했을 가능성이 높아진다.
이러한 방법을 썼다고 하더라도 텔레뱅킹을 위해 자신이 사용하는 전화번호만 쓰도록 지정했는지 여부에 따라 달라진다. 만약 본인 스마트폰을 지정하지 않고, 텔레뱅킹을 활용했었다면 중국 등 해외에서 전화번호를 위변조해 자금을 인출했을 가능성이 있다.
그러나 농협중앙회 관계자는 해당 고객은 전화번호를 지정해 놓고 사용하고 있었다고 밝혔다. 이에 따라 고유 전화번호가 지정돼 있었다고 하더라도 공격자가 중간에서 정보를 가로채 간 뒤 별도 수단을 썼을 것으로 보인다.
국내 보안업계 관계자는 농협 사건을 제외하더라도 텔레뱅킹 사기 피해자가 수십명에 달하는 만큼 이들에 대한 공통점을 파악하는 것이 중요할 것이라며 만약 피해자 스마트폰이 해킹된 것이라면 후킹을 통해 통화내용을 감청하는 것은 물론 입력한 숫자까지 알아낼 수 있다고 설명했다.
또 다른 보안연구원은 안드로이드 스마트폰의 경우 운영체제(OS) 뒷단에서 입력되는 정보들을 사용자 몰래 저장할 수 있다고 밝혔다.
일각에서는 스마트폰으로 입력한 숫자버튼이 가진 고유의 주파수를 몰래 녹음한 뒤 분석해 입력한 번호를 알아낼 수 있다는 주장이 제기되기도 했으나 가능성은 적은 편이다. 이 방법에 대해서 농협중앙회 관계자는 2007년부터 이러한 방식으로 번호를 알아내지 못하도록 조치를 취해놓고 있다고 해명했다.
관련기사
- 금융 사기조직, 이젠 국내 서버 호스팅까지 악용2014.11.28
- 금융정보 뺏는 파밍사이트, 텔레뱅킹도 노려2014.11.28
- ‘분리수거 위반문자’ 스미싱 조심하세요2014.11.28
- 인터넷뱅킹서 보안 3종 세트 사라진다면?2014.11.28
금감원 IT보안팀 박근태 팀장은 텔레뱅킹의 경우 특정전화번호를 지정하거나 지정하지 않고도 사용할 수 있도록 돼있다며 사고원인이 정확히 밝혀지지 않은 만큼 기존 텔레뱅킹 사기사고와 비슷한 유형인지에 대해서는 추가적인 확인이 필요하다고 말했다.
국내 금융사기조직들이 유출시킨 정보에는 최근들어 '폰뱅킹'이라는 문구와 함께 비밀번호를 연상케 하는 숫자들이 종종 등장하고 있다. 인터넷뱅킹, 모바일뱅킹에 대한 금융당국의 감시가 강화되고, 사용자들이 주의를 기울이기 시작하면서 이들 조직은 또 다른 수익원으로 텔레뱅킹에 눈독 들이고 있는 것으로 예상된다.