[단독]'인터넷 민증' 공인인증서, 위조범 클릭 몇 번에 뚫렸다

[MT리포트-편의성 쫓던 비대면 보안, 탈났다]①

[편집자주] 편의성을 앞세워 질주하던 비대면 금융 거래에 '비상등'이 켜졌다. 휴대폰 개설부터 본인신원 확인, 범용공인인증서 발급까지 보안 시스템 곳곳에 허점이 있는 것으로 나타났다. 자신도 모르게 위조된 신분증으로 계좌에서 거액이 빠져나가고, 각종 민원 서류와 개인정보가 줄줄이 새나기도 꼼짝없이 당할 수 밖에 없는 실정이다. 위조 신분증을 활용한 1억원대 대출 사기 사건을 계기로 현행 비대면 금융거래 보안 시스템의 문제점을 집중 점검했다.

신분증을 위조해 1억원대의 비대면 금융대출 사기를 친 범인이 범행에 결정적인 역할을 한 피해자의 범용 공인인증서를 발급 받은 경로가 확인됐다. 기존 발급된 인증서를 활용한 것이 아니라 위조범이 피해자 이름의 인증서를 새로 발급받은 것으로 나타났다. ☞관련기사[단독]'위조신분증'에 뚫린 비대면금융…나도 모르게 1억 털렸다

특히 범용인증서를 얻기 위해 특별한 기술이 필요하지 않았고, 위조신분증과 휴대전화 하나로 모든 절차를 통과한 것으로 확인돼 정부 차원의 보안 점검이 시급하다는 지적이다. 범용인증서는 온라인에서 필요한 모든 본인 확인을 대신해줄 수 있는 '인터넷 주민등록증'으로 이를 가진 위조범은 쉽게 은행 대출까지 받았다.

오정근 한국금융ICT융합학회장은 "금융사간 경쟁이 심화되면서 고객 확보를 위해 간편성을 추구하다가 이런 사태가 발생했다"이라며 "원인을 명확하게 규명하고, 재발방지대책을 세울 필요가 있다"고 지적했다.

━

위조범, 보안카드 없이 범용인증서 발급...상담원에게 "인증서 받는 법 알려달라"

━

15일 머니투데이의 취재를 종합하면 지난 4월 위조신분증을 이용해 총 1억1400만원을 사기 대출 받은 위조범은 DB금융투자를 통해 범용인증서를 발급받았다. 공인인증서 발급기관은 코스콤(싸인코리아)이다.

범용인증서는 증권용인증서와 다르게 은행 등 다른 금융기관과 정부기관에서 본인확인용으로 쓸 수 있다. 대출 뿐 만 아니라 사실상 본인 확인이 필요한 모든 온라인(비대면) 활동을 할 수 있어 ‘인터넷 주민등록증’의 역할을 한다.

사기대출 피해자 A의 신분증(운전면허증) 정보를 획득한 위조범은 먼저 본인확인용으로 쓸 수 있는 A씨 명의의 알뜰폰을 개설했다. 이후 사진을 바꿔치기한 위조 면허증으로 케이뱅크에서 비대면 계좌를 개설했다. 영상통화로 본인 확인을 추가로 했지만 사진을 바꿔치기한 위조신분증은 무사통과됐다.

위조신분증과 A씨 이름의 휴대전화 및 케이뱅크 계좌를 가진 위조범은 증권사에서 비대면 계좌를 개설하기 시작했다. 확인된 것만 △미래에셋대우(3개) △유진투자증권(1개) △DB금융투자(1개) 등에서 5개 계좌를 만들었다.

위조범은 계좌를 만든 곳 중 하나인 DB금융투자에서 우선 증권용인증서를 만들었다. 이미 DB금융투자 계좌를 만들었기 때문에 휴대전화 인증과 DB금융투자 아이디만 있으면 만들 수 있었다.

증권용인증서를 확보한 위조범은 DB금융투자 고객센터에 전화를 걸어 태연히 범용인증서를 발급받는 방법을 알려달라고 했다. 상담원은 인증서 발급 방법을 안내했고, 위조범은 시간이 걸려도 좋으니 상담원에게 도와달라는 요청을 했다.

결국 위조범은 공인인증서를 범용으로 새로 발급 받았다. 그 과정에서 금융권과 대면하지 않았고, 일회용비밀번호(OTP)나 보안카드도 필요 없었다. 범용인증서로 은행과 보험사 등에 접근한 위조범은 총 1억1400만원의 대출을 받아 자취를 감췄다.

DB금융투자 관계자는 "업계에 적용되는 비대면 가이드라인을 준수하면서 복수의 고객정보 인증을 거친 후 외부기관에서 공인인증서를 받아 제공하고 있는데도 이런 사례가 발생해 당혹스럽다"며 "시스템 전반에 대한 면밀한 검토를 통해 유사 사례가 발생하지 않도록 최선을 다하겠다"고 말했다.

━

증권사 한 번 안가도 앉은 자리서 인증서 발급..."빈틈 예리하게 파고 들었다"

━

코스콤(싸인코리아) 홈페이지에 나와 있는 범용 인증서 설명. '최초 인증서 발급 시에는 대행등록기관에서 대면 신원확인 절차'를 거쳐 인증서를 발급한다고 나와 있다. /사진=코스콤 홈페이지 캡쳐

취재진은 실제 범인이 사용한 방식으로 범용인증서 발급을 시도해봤다. 4400원만 내면 범용(상호연동용)인증서를 받을 수 있었다. DB금융투자는 물론 다른 증권사에 한 번도 가본 적이 없는 기자도 앉은 자리에서 30여분 만에 범용인증서를 받았다.

코스콤 홈페이지 범용인증서 설명을 보면 '최초 인증서 발급 시에는 대행등록기관(증권사)에서 대면 신원확인 절차를 거쳐서 인증서를 발급 받는다'는 안내가 있지만 대면 신원확인 절차는 옛말이 됐다.

코스콤은 △가입자의 계정(ID)과 비밀번호 또는 계좌번호와 비밀번호 △주민등록번호 △일회용비밀번호(보안카드의 비밀번호 포함) 또는 가입자 본인만이 알 수 있는 두 가지 이상의 정보를 제공하면 인증서를 내준다. 보안카드는 필수 요건이 아니다.

한국전자인증, 한국정보인증 등 다른 인증서 발급기관도 사정은 비슷하다. DB금융투자 외 다른 증권사에서도 비슷한 과정으로 범용인증서를 발급 받을 수 있었다.

취재진은 받은 범용인증서를 통해 A은행에 접속해 비대면 신용대출 한도 조회까지 했다. 충분히 대출까지 가능한 상황이었다. 범인은 이런 방식으로 광주은행에서 4000만원을 대출 받았다.

신용카드 정보가 다크웹에서 거래되는 등 개인정보 유출이 심각한 만큼 대책이 필요하다. 현재 경찰은 A씨와 비슷한 사건을 추가 접수하고 수사 중이다. 아직 밝혀지지 않은 추가 피해 사례가 더 있을 수도 있다.

코스콤 관계자는 "최초 발급 시 금융사 지점에서 대면 신원확인 절차를 통해서 계좌를 발급 받은 뒤 인증서를 발급하는 게 원칙이나 일부 금융사는 비대면 계좌를 개설할 수 있게 허용했다"며 "계좌발급이 되면 신원 확인절차가 문제없이 진행된 것으로 간주하고 인증서를 발급한다"고 설명했다.

그는 "이번 사건은 제도와 시스템 사이를 예리하게 파고든 지능범의 소행으로 보인다"며 "당사의 잘못이 확인되면 고객사와 협력해서 합당한 책임을 질 예정"이라고 말했다. 이어 "인증서 이상 징후 시스템을 구축하고, 고객사에게 비대면 확인 절차를 강화해달라고 요청할 계획"이라고 덧붙였다.

[관련기사]☞수영복 입은 정다래에게 쏟아진 악플…도대체 왜?☞오또맘, 파격 디자인 비키니 공개…아무나 소화 못해☞"한국을 절대 잊지 않겠다"…마스크 한장에 천냥빚 갚았다☞'103㎏→50㎏' 권미진, 9년째 요요없어…"탄탄한 몸 도전"☞몰라보겠네…100㎏ 육박하던 서경석, 2달 만에 22㎏ 뺐다

이강준 기자 Gjlee1013@mt.co.kr, 김남이 기자 kimnami@mt.co.kr, 이태성 기자 lts320@mt.co.kr

<저작권자 ⓒ '돈이 보이는 리얼타임 뉴스' 머니투데이, 무단전재 및 재배포 금지>