공인인증서 e메일 전송 마세요!

직장인 A 씨는 3월 황당한 일을 당했다.

은행 계좌에 남아있던 돈 90만 원이 빠져나가고 자신이 쓰지도 않은 신용카드 현금서비스로 210만 원이 인출됐다. 어떻게 이런 일이 벌어졌을까.

A 씨는 집에서 인터넷뱅킹을 하기 위해 사무실 PC에 보관돼 있던 공인인증서를 인터넷 포털사이트를 통해 자신의 e메일 주소로 전송했다. 이동식 저장장치인 USB메모리가 없어 e메일로 보낸 것이다.

이 과정에서 범인은 해킹으로 e메일에 첨부된 피해자의 공인인증서를 복제했다. 은행 계좌 비밀번호는 인증서 비밀번호 끝 4자리와 일치했기 때문에 어렵지 않게 계좌 검색이 가능했다.

범인은 A 씨 계좌에 90만 원밖에 들어있지 않자 은행 계좌와 연결된 인터넷 신용카드현금서비스 코너로 들어가 210만 원의 현금서비스를 받았다. 카드 비밀번호는 계좌 비밀번호와 똑같았다. 범인은 신용카드 현금서비스를 받아 피해자의 계좌로 입금된 돈을 다시 자신의 계좌로 이체한 후 돈을 인출하는 수법을 썼다.

금융감독원 김인석 정보기술(IT)감독팀장은 7일 “지난해 2월 이후 1년여 만에 같은 유형의 사건이 발생했다”며 “해킹 등을 통한 전자금융 사기는 주로 중국에서 이뤄져 범인들을 잡기가 쉽지 않다”고 말했다.

금감원은 인터넷뱅킹 범죄 피해를 막기 위해 △공인인증서를 e메일로 전송하지 말 것 △공인인증서, 계좌, 신용카드의 비밀번호를 서로 다르게 설정해 누구에게도 알려주지 말 것 △공인인증서를 PC에 보관하지 말고 USB메모리 등 이동식 저장장치에 보관할 것 등을 권했다.

김상수 기자 ssoo@donga.com