입금 완료땐 화면에 가짜 계좌 떠… 보안카드-OTP 입력도 무용지물

농협-신한銀 신종 메모리 해킹
은행측, 피해 19일전 ‘이상’ 감지… 보안 강화했지만 해커가 ‘한수 위’

인터넷뱅킹의 수취계좌 정보와 이체 금액을 직접 변조하는 신종 수법으로 돈을 빼돌린 최모 씨(31·중국동포) 일당은 인터넷뱅킹에 ‘예비거래’와 ‘본거래’의 두 단계가 있는 점을 노렸다.

예비거래는 예금주가 인출할 자신의 통장을 선택하고 통장 비밀번호를 입력한 뒤 보낼 계좌 번호, 송금액을 입력하면 해당 계좌 번호와 예금주 명, 송금액이 화면에 뜨는 단계다. 송금액이나 계좌번호를 잘못 입력해 이 단계에서 이체를 취소하면 실제 이체는 되지 않는다.

피해자가 인터넷뱅킹을 시작하면 미리 악성코드에 감염된 컴퓨터는 예비거래 단계에서 피해자 모르게 은행에 이체 정보를 한 번 더 보냈다. 입금 받을 계좌를 자신들이 갖고 있는 ‘대포통장’으로 바꾸고, 송금액도 120만∼297만 원으로 바꿨다. 한 번에 300만 원을 넘기지 않은 것은 최근 은행의 보안 강화로 송금액이 300만 원을 넘을 때에는 휴대전화 문자메시지 등을 통한 추가 본인 인증을 요구하는 경우가 많기 때문이다.

은행은 예비거래 단계에서 이체 정보를 두 번 받게 되지만 피해자가 앞서 입력한 진짜 정보는 취소된 것으로 여기고, 일당이 프로그래밍을 통해 가짜로 입력한 두 번째 이체 정보대로 이체시킬 준비를 한다. 피해자는 돈을 보내려는 계좌번호와 송금액이 바뀐 것을 모른 채 본거래에 들어간다. 피해자가 보안카드나 일회용 비밀번호(OTP)를 입력하고 인증서에 따른 인터넷뱅킹 비밀번호를 입력하면 돈은 엉뚱하게 이들 일당의 대포통장으로 입금된다.

입금 결과를 표시해 주는 최종 화면에는 일당의 대포통장 계좌번호와 대포통장주 명이 표시됐지만 일부 피해자들은 이를 눈여겨보지 않았다. 눈치 챈 피해자들은 바로 신고했지만, 일당은 이미 대포통장에서 돈을 인출해 총책 최 씨에게 송금한 뒤였다.

은행 측이 이 같은 ‘이상 거래’를 감지한 것은 실제 피해 발생이 시작된 지난해 9월 27일보다 19일 빠른 8일이었다. 최 씨가 만든 악성코드가 실제로 작동하는지 김모 씨(26·중국동포) 등 일당이 실험해 보는 과정에서 포착된 것. 이 때문에 은행 측이 메모리 해킹에 대응할 만한 시간이 충분히 있었는데도 이를 막지 못했다는 지적이 나온다.

범행 기간인 9월 초부터 10월 14일 사이에 은행 측이 악성코드를 막기 위해 보안 프로그램을 업그레이드하면 최 씨가 이를 뚫는 새로운 악성코드를 개발하는 일이 반복됐던 것으로 경찰은 보고 있다. 이 과정에서 최 씨가 범행에 쓰려고 개발한 악성코드 변종만 수십 종에 이른다. 일당의 악성코드가 왜 농협과 신한은행을 노렸는지, 피해자의 컴퓨터가 어떻게 감염됐는지는 알려지지 않았다. 경찰은 “은행마다 보안 프로그램이 달라 악성코드가 모든 은행 홈페이지에서 작동하지는 않는다”고 말했다.

경찰은 인터넷주소(IP) 추적과 탐문 수사를 통해 14일 경기 시흥시 정왕동 집에서 김 씨를 붙잡는 등 일당을 검거했다. 김 씨는 지난해 7월 취업비자로 한국에 입국했으며, 범행 후 시흥의 반도체 부품업체에 취업한 상태였다. 총책 최 씨는 범행 당시 한국에 있다가 지난해 10월 범행 직후 중국으로 출국해 붙잡지 못했다.

은행들은 피해자 81명 중 대부분에게 피해금액 전액을 지급한 것으로 알려졌다. 은행의 진짜 인터넷 홈페이지에서 정상적인 계좌 이체 거래 중 피해가 발생해 고객의 과실이 없었기 때문이다.

조종엽 기자 jjj@donga.com