휴면계좌 해킹 표적…신용카드 1400만원 인출

[단독]휴면계좌 해킹 표적…신용카드 1400만원 인출

입력2009.02.11 09:15 수정2009.02.11 17:02

개인 금융 정보를 빼내 은행 계좌에서 수천만원의 돈을 인출한 사건이 알려진데 이어 휴면계좌를 통해 공인인증서를 재발급받아 신용카드에서 1400여만원의 현금서비스를 받아 인출하려던 사실이 뒤늦게 알려져 충격을 주고 있다.

특히 이번 사건이 관리가 소홀한 휴면계좌를 이용한 사건이라는 점에서 앞으로 휴면계좌에 대한 각별한 관리가 필요할 전망이다.

◆휴면계좌 통해 신용카드서 1400여만원 인출
11일 씨티은행과 서울 중랑경찰서 등에 따르면 지난해 12월 29일 오후 3시45분 직장인 유모(36, 남)씨의 신용카드인 씨티카드에서 현금서비스로 각각 539만원과 900만원 등 모두 1439만원이 한모(40)씨의 명의로 된 우리은행 계좌로 이체됐다.

유씨는 회사 회의 도중 카드사측에서 자동 송출된 휴대전화 문자메시지로 이같은 사실을 통보받았다.

자신도 모르는 사이에 신용카드 현금서비스를 받았고, 자신의 계좌가 아닌 타인명의로 된 다른은행 계좌로 이체된 것을 알게된 유씨는 씨티카드 콜센터로 전화를 걸어 "현금서비스 이체를 신청하지 않았다. 이체된 계좌에서 돈이 인출되지 않게 막아달라"고 요청했다.

이에 씨티카드는 부정사용신고를 접수하고 돈이 이체된 우리은행 측에 부정사용에 대한 일시 인출 정지를 요청, 다행히 돈이 빠져나가는 것을 막았다.

경찰조사와 피해자 유씨의 진술 등에 따르면 특정 IP를 통해 유씨의 전 직장 월급이체 통장으로, 회사를 옮긴 후 3년간 거래가 없던 휴면계좌인 씨티은행(구 한미은행) 계좌에서 사건 당일 1시간 전 공인인증서가 재발급됐다.

곧바로 재발급 받은 공인증서를 이용해 유씨 소유의 신용카드에서 현금서비스를 받아 우리은행 한씨의 계좌로 현금서비스받은 돈을 이체를 시켰다.

또 본격적인 범행에 앞서 한씨의 우리은행 계좌에서 유씨의 씨티은행으로 1만원을 이체시키는 모의테스트 거래를 사전에 하는 등의 치밀함까지 보였다.
한씨의 계좌 역시 개인정보가 유출돼 해커들에게 이용되고 있었던 것으로 조사됐다.

경찰은 IP추적결과 중국에서 접속한 것으로 확인했으며 해커들에 의한 개인정보 해킹과 이를 이용한 금융거래로 잠정적인 결론을 내렸다.

◆휴면계좌가 해커들의 대포통장?
이번 사건이 기존에 발생된 해킹 등에 의한 부정 금융거래와 다른 것은 휴면계좌를 이용했다는 것이다.

휴면계좌는 소유자가 장기간 거래를 하지않는 계좌로, 인터넷 등을 통한 금융거래에서 대포통장 혹은 범행 이전 모의테스트용으로 활용되기 싶다는 것이다.

시중은행의 한 관계자는 "우리나라 성인들은 1~2개의 휴면계좌를 갖고 있다"며 "해커들은 휴면계좌를 자신이 마음대로 사용할 수 있는 다른 사람 명의의 계좌, 일명 '대포통장'으로 생각하고 부정거래에 악용할 수 있다"고 말했다.

◆중국에서 등록된 수상한 IP, 지속적으로 범행 시도
피해자 유씨에 따르면 신용카드 부정 현금서비스 시도 외에도 같은 IP를 통해 1월 1일 오전 10시38분 인터넷 회사 H사에서 유씨 소유 신한카드로 1만7600원의 소액 결제가 이뤄졌다.

또 같은날 오후 8시34분과 2일 새벽 4시 16분 각각 D회사와 K회사를 통해 5만5000과 10만원의 소액결제를 같은 IP를 통해 신청했다가 승인 거절된 사실을 문자롤 통보받았다.

경찰 관계자는 "중국 해커들이 여러통로를 통해 우리나라 직장인들의 개인 신상정보를 수집하고 있고, 특히 포털 등에 올라온 보안카드나 키보드 해킹 등을 통해 금융거래를 시도하고 있다"며 각별한 주의를 당부했다.

전문가들은 이런 사고를 방지하기 위해서는 본인의 공인인증서 정보를 이메일이나 개인 홈페이지 등에 저장하지 말아야 한다고 조언한다. 해커들이 공인인증서 정보를 알게 되면 인터넷 뱅킹에 접속할 때마다 고객의 컴퓨터를 해킹해 다른 금융정보까지 파악할 수 있기 때문이다.

은행의 한 관계자는 "인터넷 뱅킹에서 계좌이체를 하려면 보안카드 번호를 입력해야 하는데 이 정보를 파악하기 위해 해커들은 보통 1년 이상 고객의 행동을 관찰해 보안카드 번호를 알아낸다"고 말했다.

보안 전문가들은 최근 중국 IUP를 통한 부정거래가 늘고 있는 점을 감안할 때 일회용비밀번호생성기(OTP) 사용도 권장한다. OTP는 인터넷 뱅킹을 할 때마다 비밀번호를 새롭게 생성해 4자리 숫자코드 30여개만을 비밀번호로 제공하는 기존 보안카드의 취약점을 보완해 정보 유출 가능성이 거의 없기 때문이다.

시중은행의 한 관계자는 "공인인증서 정보가 유출됐다고 하더라도 인터넷 뱅킹을 할 때마다 실시간으로 구동되는 해킹 방지시스템을 차단하지 않고 OTP를 사용하면 돈이 무단으로 인출되는 사고는 막을 수 있다"고 말했다.

한경닷컴 박세환 기자 greg@hankyung.com

기사제보 및 보도자료 open@hankyung.com

관련 뉴스

1

서비스경영학회 춘계학술대회

한국서비스경영학회는 ‘서비스 혁신과 고객경험가치 창출’을 주제로 오는 5월 1일 한국과학기술회관에서 춘계학술행사를 연다.최신 정보통신기술을 활용한 서비스 기업의 경쟁력 강화 방안이 논의된다. 최정일 한국서비스경영학회장(사진)은 “산·학·연·관 종사자들이 모여 디지털 혁신 방안과 고객경험가치 창출을 논의하길 바란다”고 했다.
2

'중세판 배그' 흥행 조짐…크래프톤 성장 탄력

총 쏘기 생존 게임 ‘펍지: 배틀그라운드’(배그)로 글로벌 시장을 공략 중인 크래프톤의 신작이 흥행 조짐을 보이고 있다. 배그의 게임 콘셉트에 중세 분위기를 더한 게임 ‘다크앤다커 모바일’이 이 회사의 새로운 성장동력으로 자리 잡을지 관심이 쏠린다.26일 업계에 따르면 크래프톤은 다크앤다커 모바일 출시 시점을 올해 3분기로 잡았다. 이 게임은 크래프톤이 개발한 생존 게임으로 지하 감옥을 탐험하며 아이템을 수집한 뒤 탈출하는 게 핵심 콘텐츠다. 국내 게임사 아이언메이스가 개발한 PC 게임 ‘다크앤다커’가 기반이다. 크래프톤은 24~28일 진행하는 시험 서비스 인원을 5만명으로 설정했다가 26일 인원 제한을 두지 않기로 했다. 체험 신청자가 5만명을 웃돈 데 따른 조치다.지난 15~19일 기자단에 제공된 시험 버전을 플레이해봤다. 다크앤다커 모바일은 ‘중세풍 배그’로 부를 만한 게임이다. 크래프톤은 배그로 2018년 1월 PC 게임 플랫폼인 스팀에서 동시 접속자 약 326만명을 기록하며 ‘대박’을 냈다. 이 기록은 지금도 깨지지 않고 있다. 다크앤다커 모바일에서도 배그의 향기를 느낄 수 있다. 여러 이용자가 점점 좁아지는 전장에서 생존을 위해 싸우는 구성이 비슷하다.눈여겨볼 지점은 모바일 게임의 덕목인 가벼움이다. 99명이 모여 한 판에 30분가량을 쏟아야 했던 배그와 달리 다크앤다커 모바일은 6명이 10분이면 끝낼 수 있다. 원작에서 음산했던 동굴 분위기도 밝아졌다. 파이터, 바바리안, 로그, 레인저 등 5개의 직업 구성도 중세풍 역할수행게임(RPG) 이용자에겐 친숙한 요소다.넥슨이 아이언메이스와 소송을 벌이고 있다는 점은 변수다. 아이언메이스는
3

카카오모빌리티·서울시 맞손…전기차 자동 충전서비스 출시

카카오모빌리티가 서울시와 협업해 전기자동차 자동 충전 서비스인 ‘오토차징’을 카카오내비 애플리케이션(앱)에 도입한다고 26일 밝혔다. 오토차징은 충전 커넥터를 충전구에 꽂기만 하면 차량 정보를 충전기가 인식해 ‘인증-충전-결제’가 자동으로 진행되는 서비스다. 서울시·서울에너지공사의 전기차 충전 기기에서 이용할 수 있다.오토차징을 위해선 카카오내비 앱에서 충전 커넥터를 차량에 연결한 후 충전기에 부착된 QR코드를 휴대폰 카메라로 비추면 된다.최초 가입 이후엔 커넥터 연결만으로 충전부터 결제까지 원스톱으로 이용할 수 있다.고은이 기자