어제(2014년 4월 9일) 서울 강북경찰서는 은행에서 유출된 개인정보를 이용한 좀 더 위력적인 보이스피싱 사례를 처음으로 적발했습니다(관련 기사). 금융권의 대규모 개인정보 유출 사고와 관련해서 “2차 피해는 없다고 확신한다”던 금융위원장의 말은 터무니없습니다. 앞으로 본격적인 유사 피해 사례가 줄을 이을 것으로 보입니다.
보이스피싱과 공인인증서는 아주 긴밀한 관계에 있습니다. 과연 공인인증서는 누구에게 이득이 되고, 누구에게 해로운 것인지 한번 살펴볼까요? 몇 가지 사실(facts)을 소개하겠습니다.
1. 공인인증서와 보이스피싱
공인인증서는 온라인으로 비교적 수월하게 ‘재발급’ 받을 수 있고, 공인인증제도의 이런 취약점(허술함)을 이용해서 이루어지는 공격이 바로 보이스피싱입니다. 공인인증서 발급 및 재발급 과정은 은행이 맡아서 하고 있으므로 재발급을 허술하게 관리할 것이냐, 엄격하게 관리할 것이냐는 사실 은행 마음입니다.
매년 약 6,000명이 보이스피싱을 당하고, 매년 600억 원가량의 피해가 발생합니다(1인당 피해액 평균 약 1,000만 원). 2006년 1월 – 2012년 8월까지의 누적 피해액은 4,000억 원이 넘습니다.
위 수치는 2012년 9월 26일 금융감독원이 경찰청 통계를 인용하면서 보도자료로 배포한 것입니다.
2. 눈뜬장님: 보이스피싱 사고 OO은행 로그파일
아래 로그파일을 보면 해당 은행은 사고 거래일 위험이 심각하다는 점을 인식하면서도 그대로 이체를 실행합니다.
아래 표는 국내 어느 은행(“OO은행”)이 법원에 제출한 은행 내부 로그 자료입니다. 은행들은 각각 수백 명의 보이스피싱 피해자들이 제기한 소송 사건의 피고로 되어 있으며, 이런 사정은 국내 은행들 대부분 비슷합니다. 아래 검게 칠한 부분은 제가 가린 것입니다. (모바일에선 가로로 보시면 그림을 크게 보실 수 있습니다)
위 로그 기록은 2011년 11월 2일부터 11월 19일까지 피해자의 이름으로 이루어진 은행거래에 대하여 OO은행이 알았던 내용을 보여줍니다. 11월 2일부터 11월 14일까지 이루어진 거래는 서울에 위치한 IP주소(“Web IP” 59.xxx.xxx.113)에서 이루어졌고, 이 이용자는 VPN망을 사용하지도 않았습니다(VPN망은 공격자나 범법자들이 자신의 IP주소를 숨기고 다른 IP주소에서 접속하는 듯한 외관을 만들어내기 위하여 흔히 동원됩니다). OO은행 스스로 이 표에 나타나는11월 2일부터 14일까지의 거래는 “정상”이라고 평가하고 있었고, 실제로도 정상 거래였습니다.
그러나 11월19일에 이루어진 3건의 거래는 중국 샨동성(山東省) 지난시(济南市)에 위치한 IP주소(112.224.2.109)에서 네트워크에 접속한 어떤 자가 VPN망을 이용해서 마치 서울에 위치한 IP주소(115.141.144.182)에서 OO은행에 접속하는 것처럼 가장하려 했습니다.
OO은행은 이 자가 VPN망을 이용해서 이런 행위를 하고 있음을 이미 훤히 알고 있었고, 그자가 네트워크 접속에 사용한 하드웨어 고유 번호(00-53-45-00-00-00) 역시 실제로는 존재하지 않는 ‘가짜번호’라는 점도 즉시 파악 가능합니다. 즉, OO은행 스스로 이런 점을 종합하여 이 거래는 심각한 위험이 있는 거래라고 실시간으로 인식하고 있었습니다.
그러나 은행은 그대로 이체해버립니다. 왜 그럴까요?
3. 법원, “은행은 한 푼도 배상하지 않아도 돼!”
법원은 보이스피싱에 속아 넘어가서 공인인증서 재발급에 필요한 정보를 입력해준 피해자에게는 ‘중대한 과실’이 있다고 보고, ‘은행은 배상 책임이 없다’고 계속 판결하고 있습니다. 물론, 이런 판결을 내리는 법관 자신은 대단히 똑똑해서 보이스피싱 따위에 속아 넘어가지는 않을 것입니다.
사고거래일 위험성이 ‘심각’하게 높은 거래라는 점을 뻔히 알면서 이체 거래를 그냥 해줘 버리는 은행의 ‘잘못’은 법관의 눈에는 안 보이는 모양입니다. 매년 6,000-8,000명의 피해자를 양산하는 낙후된 보안 기술을 15년째 그대로 걸어두고 있는 은행의 도덕적 해이는 ‘사업적 필요’라면서 후하게 봐주고, 고객의 어리석음은 ‘중대한 과실’이라면서 엄하게 단죄하는 법관들 덕분에, 공인인증서는 은행에 완벽한 면죄부로 작용합니다.
그동안 하급심(항소심) 판결에서 은행이 계속 승소해왔고, 마침내 올해 초(2014.1.29)에 대법원마저도 보이스피싱 피해자에게 은행은 ‘한 푼도 물어주지 않아도 된다’고 결론을 내렸습니다(2013다86489 판결). 은행은 잔치판입니다.
4. 누가 공인인증서를 원하는가?
간단합니다. 은행/공인인증기관/금융위원회/금융감독원은 공인인증서를 원합니다.
최근 우리은행 산하의 어떤 연구소는 공인인증서가 ‘안전하고 신뢰성 있는 수단’이라면서, 공인인증서 계속 사용을 주장하는 글을 발표했습니다. ‘누구에게’ 안전한 수단인가요? 은행에 안전한 수단이라는 점은 분명한데, 고객에게도 안전한 수단인지는 독자께서 판단해주시기 바랍니다.
공인인증기관은 언제나 같은 주장을 반복해왔습니다. “보이스피싱은 공인인증서 잘못이 아니라, 고객 잘못 때문에 생기는 것”이라는 거죠(대법원이 바로 이분들 손을 들어준 거죠). 공인인증서가 허술하게 재발급되는 것도, 공인인증서 잘못은 아니고, 그것을 관리하는 사람들 잘못이랍니다. 공인인증서 암호가 40초 만에 뚫리는 것도 공인인증서 잘못은 아니고, 짧은 암호(8자리)를 선택한 사람 잘못이라네요. 사용자가 20자리 암호를 선택해 두었으면, 절대로 안전하다는 것이지요. 이분들은 어떤 경우에도 공인인증서가 잘못된 것은 아니라는 입장입니다.
은행은 자꾸 “공인인증서를 대체할 대안이 없다”고 합니다. 그 말은 ‘사고를 내고도 피해 고객에게 한 푼도 안 물어줘도 되는 공인인증서와 같은 대안은 존재하지 않는다’는 뜻입니다.
공인인증서 재발급의 허술함을 이용해서 벌어지는 보이스피싱으로 6년 8개월 동안 대략 38,000여 명이 4,000억 원 넘게 피해를 보았지만, 이들이 한 푼도 배상 받지 못한다는 사실을 금융위/금감원도 잘 알고 있습니다. 그러나 금융위/금감원은 여전히 은행거래에는 공인인증서를 반드시 사용해야 한다는 입장입니다.
공인인증서 안 쓰는 나라에서는 개인 고객이 사고 거래로 손해를 입으면 은행/카드사가 배상하도록 합니다. 따라서 사고를 줄이기 위해 은행/카드사들이 보안에 투자하는 구조인거죠. 한국은 사고를 줄이기 위해 은행이 보안에 투자하는 것이 아니라, 개인들에게 ‘조심하라’, ‘당하면 네 손해다’라고 훈계하는 구조입니다.
공인인증서, 누구에게 득이고, 누구에게 손해인가요?
금융위/금감원은 과연 누구 편일까요?
- 관련 기사: 공인인증서 문제해법 초간단 정리
잘 읽었습니다.
공인인증서가 원래 고객에게 책임 전가하려고 만든거고 그게 법제화됐는데 판결이 당연한거죠. 공인인증서부터 뜯어고치지 않으면 개인신용정보 털려도 공인인증서 핑계로 또 저런 일 발생합니다. 본질을 알면 답이 보입니다. 개선하지 않으면 공인인증서 요구하는 모든 업체 및 모든 금융권은 사실상 면책특권을 가지는거나 다름없습니다. 공인인증서 본질부터 뜯어고쳐야 해요.
못 하는게 아니라 다분히 안하고 싶어하는 고스톱판에서
돈 잃는건 짜고치는지 모르는 초자국민들
공인인증서 잘못이 아닙니다 저건 otp도 동일하게 적용되고요
구체적으로는 법의 잘못이죠
VPN 접속등으로 인한 피해 보상의 경우 법이 시대를 따라 가지 못하는겁니다
VPN 같은 경우 공인인증서가 문제가 아니라 은행이 사고에 대한 사전 대응을 하지 못한
상황인것이죠
공인인증서의 자체의 보안 문제는 없다고 보는 입장이고 결국
이 문제의 핵심은 은행권이 비 이상적인 행위를 그냥 지켜보기만 하고 있었다라는 겁니다