'**카드 일시불 32만원 정상결제' 문자 받았다면.. (머니투데이 2014.01.23 16:34)

'**카드 일시불 32만원 정상결제' 문자 받았다면..

카드 유출정보 확인가능 문자로 둔갑한 스미싱…클릭하면 스마트폰내 정보유출

 

신용카드 정보유출 사태로 이용자들의 불안감이 고조돼 있는 가운데, 이같은 심리를 악용한 신종 스미싱 사기가 기승을 부리고 있다. 스마트폰 이용자들의 각별한 주의가 당부된다.

23일 보안전문기업 잉카인터넷에 따르면, 22일과 이날 신용카드 정보유출 정보 확인내용을 가장한 신종 스미싱 문자 메시지가 불특정 다수의 이용자들에게 배포된 것으로 확인됐다.

23일 새벽에는 '카드사 정보유출 **,**,**카드 홈페이지서 유출정보 확인가능'이란 메시지로 전달된 스미싱 문자는 이용자가 첨부된 링크를 클릭할 경우, 스마트폰 단말기에 악성 앱이 몰래 설치된다.

이 악성앱이 설치되면 마치 구글 앱스토어와 대한민국법원전용 앱처럼 아이콘과 문구로 위장해지만, 정작 스마트폰에 수신된 문자 메시지와 연락처, 금융 관련 정보 등을 가로챌 수 있는 기능이 숨겨져 있는 것으로 파악됐다. 또한 한번 깔리면 이용자가 손쉽게 삭제할 수 없도록 환경을 조작하는 것으로 알려졌다. 악성앱 전파에 사용된 호스트는 일본 소재의 IP 주소로 확인됐으며, 현재는 접속이 차단된 상태다.

지난 22일에는 '**카드 일시불 32만원 정상결제완료! 확인요망'이라는 문자로 이용자들을 현혹하는 스미싱 문자도 배포됐다. 특히 설치파일을 카카오톡 제작사 '카카오'로 위장한 점도 눈길을 끌고 있다.

문종현 잉카인터넷 팀장은 "안드로이드 스마트폰 이용자들은 의심스러운 문자메시지를 무심코 클릭하거나 접속하지 않도록 해야 한다"며 "관심사가 높은 사회적 이슈를 사이버 범죄자들이 매우 적극적으로 활용하고 있기 때문에 스마트폰 사용자들의 보다 각별한 주의가 요구된다"고 밝혔다.

 

 

<1.21> 카드 겸용 전자신분증 밀어붙이더니… 공무원 100만명 개인정보도 털렸다

 (국민일보  2014년 01월 21일   view 277)

 

정부가 2008년 도입한 전자공무원증 때문에 이번 카드사 금융정보 유출 사건에서 공무원 약 100만명의 개인정보가 새나간 것으로 알려졌다. 경찰·기무사 등 보안이 생명인 국가기관 공무원도 대거 포함됐다. 유출된 정보가 국내외 브로커 등에게 넘어갔을 경우 단순 보안사고를 넘어 심각한 2차 범죄로 이어질 가능성도 배제할 수 없다.

 

복수의 은행 및 카드업계 관계자들은 20일 현금카드·신용카드 기능이 삽입된 전자공무원증을 발급받기 위해 국민카드나 농협과 거래한 공무원들의 개인정보도 이번 사건에서 대거 유출됐다고 전했다. 유출 사고가 발생한 카드사 관계자는 “전자공무원증 발급을 위해 거래한 공무원들도 대부분 유출 범위에 포함된다”고 말했다.

 

정부는 2008년 쉽게 복제되던 기존 공무원증의 단점을 보완해 보안을 강화한다는 취지로 전자공무원증을 도입했다. 전자공무원증에는 소속 기관·부서, 주민등록번호, 혈액형, 지문, 공인인증서 등의 공무 관련 정보와 함께 시중은행 계좌와 연계해 현금·신용카드 기능을 할 수 있게 IC칩을 삽입했다.

 

문제는 이번에 정보가 대거 유출된 KB국민은행과 NH농협은행에 전자공무원증용 계좌를 만든 공무원이 많다는 점이다. 두 은행에 공무원 거래가 몰린 것은 각 공공기관이 계좌를 몰아줬기 때문이다. 공공기관들은 장당 1만5000원 정도인 전자공무원증 발급 비용을 은행 측이 부담하는 조건으로 국민은행·농협과 계약하고 직원 계좌를 몰아줬다.

 

일부 기관은 “내 개인정보가 은행에 넘어가는 것 아니냐”고 항의하는 직원들에게 “지금 계좌를 개설하지 않으면 나중에 최대 3만원을 직접 내고 만들어야 한다”고 통보했다. 이에 공무원들은 어쩔 수 없이 새 계좌를 만들었다. 지금까지 전자공무원증을 만든 사람은 국가·지방공무원 100만명이 넘는 것으로 추정된다.

 

이 공무원들의 정보도 이번에 한꺼번에 유출됐다. 전문가들은 유출 정보 항목이 20개가 넘을 정도로 상세해 어떤 2차 범죄가 일어날지 헤아리기조차 어렵다고 말했다. 고려대 정보보호대학원 임종인 교수는 “단순히 유출된 정보만 가지고 해킹을 시도할 수도 있고, 나아가 정보를 도용해 피싱이나 사기 등에 사용할 수도 있다”며 “대출기록으로 공무원을 협박하거나 뒷조사하는 방식도 얼마든지 등장할 수 있다”고 말했다.

 

전자공무원증은 도입 당시부터 정보 유출 우려가 나왔다. 이미 사용하는 신용카드들이 있는데 굳이 공무원증에까지 금융거래 기능을 도입할 필요가 있느냐는 문제제기도 많았다. 그러나 정부는 ‘신용카드+공무원증’의 전자공무원증 도입을 강행했고 결국 화근이 됐다. 보안 강화는커녕 중요 정보가 신분과 함께 한꺼번에 털리는 빌미를 제공한 셈이다.

 

금융기관들은 “검찰이 유출 사실을 일찍 파악해 외부로 나가지는 않았을 것”이라고 주장하지만 개인정보를 일찌감치 빼돌렸을 가능성도 배제할 수 없는 상황이다.

 

[사설] 고객 정보 유출에 이어 인터넷 뱅킹도 뚫렸다니

 (조선일보 2014.01.25 03:01)

 

경찰청 사이버테러대응센터는 인터넷 뱅킹의 계좌 이체(移替) 정보를 바꿔치기해 81명으로부터 9000만원을 가로챈 해킹 조직을 적발했다. 이들은 악성코드(바이러스)로 컴퓨터 메모리에 있는 데이터를 위·변조하는 '메모리 해킹' 수법으로 인터넷 뱅킹 이용자 계좌에서 돈을 빼냈다. PC 화면에는 계좌 이체가 정상적으로 이뤄진 것처럼 나오지만 실제로는 범인들이 만든 '대포 통장'으로 돈이 빠져나가도록 조작한 것이다.

우리나라 인터넷 뱅킹 시스템은 전 세계에서 가장 엄격하고 복잡하다. 계좌 이체를 할 때는 보안 프로그램을 깔고 계좌 비밀번호, 공인인증서 비밀번호, 이체 비밀번호에 더해 보안카드 또는 일회용 비밀번호를 입력해야 한다.고액을 송금할 때는 휴대전화를 통한 인증 번호도 있어야 한다. 그런데도 악성코드를 퍼뜨리는 방식이 갈수록 교묘해지고 있어 인터넷 뱅킹 사고가 끊이지 않는다.

그러지 않아도 사상 최악의 카드 회사 고객 정보 유출 사건으로 금융회사들의 신뢰가 위협받고 있다. 검찰은 카드사에서 유출된 정보가 추가 유통되지 않았다고 했지만 시중에선 이미 고객 정보가 나돌고 있다는 보도가 나왔다. 지난 2년 동안 개인 신상 정보가 1만건 이상 유출된 사고가 드러난 사례만 20건에 이른다. 얼마나 많은 개인 신상 정보가 떠돌아다니며 악용(惡用)되고 있는지 짐작하기조차 힘들다. 이런 상황에서 '철벽 보안'이라는 인터넷 뱅킹 시스템에도 구멍이 뚫렸다면 국민은 은행 계좌에 들어있는 예금이 무사할지 불안할 수밖에 없다.

인터넷 뱅킹은 고객과 은행 모두 시간과 비용을 아낄 수 있는 편리한 시스템이다. 창구 거래보다 인터넷 뱅킹의 비중이 커지는 흐름을 되돌릴 수는 없다. 그러나 해킹 때문에 인터넷 뱅킹의 위험도가 높아지면 고객은 인터넷 거래를 기피할 것이다. 고객들도 PC가 바이러스에 감염돼 있지 않은지 자주 검사를 해야겠지만 금융회사들이 국민이 안심하고 사이버 거래를 할 수 있도록 보안 투자를 대폭 늘려야 한다. 이참에 우리 사회의 정보 보호·보안 시스템에 대한 근본적 재점검이 있어야 한다.