고용주는 김씨의 통장사본을 받은 바로 다음날 발신번호를 시중은행 대표번호로 조작해 김씨에게 전화를 걸었다. 일반 입출금식 통장을 금리가 높은 CMA 통장으로 바꿔주겠다고 말한 그는 본인확인을 위해 통장 비밀번호와 보안카드 번호를 불러달라고 요구했다. 바로 그 날 김씨 통장에서 1000만원이 빠져나갔다. 1000만원 중 800만원은 고용주가 대부업체에서 받은 대출금이었다. 인터넷을 통한 대출신청은 공인인증서로만 본인확인 절차를 거친다는 점을 악용한 것이다.
금융사기 수법은 나날이 진화하고 있지만 인터넷뱅킹 때 ‘인감’ 역할을 하는 공인인증서는 13년째 자체 기술개발이 이뤄지지 않으면서 금융사기에 무방비 노출되고 있다는 지적이 나온다. 김씨의 사례처럼 개인정보가 드러났다고 해도 공인인증서 재발급만 이뤄지지 않았다면 김씨 계좌로 돈을 이체되는 걸 막을 수 있다. 그러나 현재 시스템상으론 개인 금융정보만 알면 얼마든지 상대방 명의의 공인인증서를 재발급받을 수 있다 보니 금융사기 조직은 진화된 수법으로 금융정보를 빼낸 뒤 공인인증서를 재발급받아 돈을 빼간다. 금융사기를 막기 위한 당국의 조치에도 금융사기가 줄지 않는 이유다.
해킹 등 사이버 공격에도 취약하다. 한국개발연구원(KDI)이 분석한 자료에 따르면 지난해 1월부터 9월까지 악성코드, 스미싱으로 사용자의 컴퓨터와 스마트폰에서 공인인증서가 유출된 건수는 1만9388건에 이른다. 공인인증서 유출은 2012년 8건, 2013년 8710건 등 매년 급증하는 추세다. 현재 공인인증서는 하드디스크나 USB 등 특정 폴더에 저장하는 방식이어서 공인인증서가 저장된 컴퓨터나 스마트폰에 악성코드가 심어져 있으면 쉽게 유출된다. 금융사로선 공인인증서가 당사자를 확인하는 강력한 인증수단이지만 금융소비자 입장에선 이를 해킹당했거나 분실했을 땐 이에 따른 책임을 고스란히 떠안아야 하는 셈이다.
▶ 관련기사 ◀
☞ [뻥뚫린 공인인증서]대안은…해킹·재발급 불가능한 보안토큰 의무화해야
☞ [뻥뚫린 공인인증서]"나도 모르게 인증서 재발급돼 1000만원 털렸다"
☞ [뻥뚫린 공인인증서]13년째 보안기술 제자리 공인인증서 '범죄 무방비'