국민銀 폰뱅킹사고 - ‘보안허술’ 또 禍 불렀다

‘현금카드에 이어 폰뱅킹(Phone-Banking) 보안벽마저 뚫린 것일까.’

국민은행의 폰뱅킹 불법인출 사건이 발생하자 금융권은 초긴장 상태에 돌입했다.

현금카드 위조범은 계좌번호와 비밀번호를 알아내 손쉽게 카드를 위조, 돈을 인출했다.

그러나 폰뱅킹은 이밖에도 여러 비밀번호를 입력해야만 돈을 찾을 수 있기 때문에 이번 인출사건이 본인의 잘못이 아닌 것으로 밝혀지면 파장이 엄청나게 클 것으로 예상된다. 또 사고가 난 곳이 국내 최대은행인 국민은행이어서 이용자들의 불안감이 더 커지고 있다. 금융계에서는 일련의 사건을 계기로 금융권의 전반적인 보안시스템을 재점검해야 한다는 지적이 나오고 있다.

▽보안시스템 의외로 허술〓이번 사건의 피해자인 진모씨는 은행의 복잡한 보안카드를 설치하지 않았다. 국민은행은 1999년 폰뱅킹에 보안카드시스템을 도입하면서 △하루 이체금액이 1억원 이상이면 암호계산기 △3000만∼1억원은 보안카드 △3000만원 미만은 사용자암호를 의무적으로 설치하도록 했다.

보안카드는 고객마다 모두 다르고 1∼35번 각각에 비밀번호 4자리가 붙어있어 계좌이체 때는 특정번호의 비밀번호를 입력해야 한다.

그러나 국민은행은 99년 이전에 폰뱅킹을 신청한 고객에 대해서는 보안시스템 설치를 자율에 맡겼으며 진씨는 보안카드를 설치하지 않았다. 따라서 현금카드 위조사건보다는 조금 복잡하지만 폰뱅킹사용자번호 7자리, 사용자암호 4자리, 계좌이체승인번호 4자리, 계좌비밀번호 4자리만 알면 자금인출이 가능하다.

현재 폰뱅킹과 인터넷뱅킹에 대해 이체금액에 관계없이 보안카드 설치를 의무화한 곳은 신한 하나은행밖에 없다. 나머지 은행에서 국민은행과 같은 사고가 일어나지 않는다고 보장하기 어려운 셈.

▽사고원인은 무엇일까〓일단 전화도청을 의심할 수 있다. 실제로 98년 H은행에서는 범인이 콜센터 기계점검을 나온 직원으로 가장해 기계에 도청기를 설치, 폰뱅킹 관련 비밀번호와 계좌번호를 알아내 돈을 인출한 사건이 발생했다. 고객이 전화번호를 누르면 번호마다 톤이 다르기 때문에 이것으로 번호를 식별한 것.

국민은행 피해자 진씨는 보안카드가 없기 때문에 H은행에서처럼 도청이 가능하다.

두 번째는 주변인물의 소행. 만약 진씨의 실수나 부주의로 폰뱅킹에 필요한 비밀번호가 제3자에게 넘어갔다면 본인 몰래 인출할 수 있다.

세 번째는 국민은행 내부직원과의 공모가능성. 우리은행의 현금카드 위조사건처럼 국민은행 직원이 전산시스템 정밀검색을 통해 비밀번호를 알아내고 이를 외부에 유출했을 가능성도 배제할 수 없는 상황이다.

그러나 국민은행 이성규 부행장은 “직원은 폰뱅킹 사용자번호 7자리만 접근할 수 있고 나머지 비밀번호는 코드화돼 있어 절대 알아낼 방법이 없다”며 가능성을 부인했다. 마지막으로 외부전문가의 해킹이 가능하지만 전산전문가들은 가능성을 낮게 보고 있다.

김두영기자 nirvana1@donga.com

신치영기자 higgledy@donga.com