-보안카드 유출경로가 수사 쟁점
-농협, 경고했던 IP대역 차단 안해
-보안인력 규모, 외국의 1/4 불과
-집단소송 같은 극단조치 시급
■ 방송 : CBS 라디오 FM 98.1 (07:30~09:00)
■ 진행 : 박재홍 앵커
■ 대담 : 임종인 (고려대 정보보호대학원 원장)
지난 월요일 저희 뉴스쇼에서 농협 은행 통장에서 3일 만에 1억 2,000만 원이 빠져나갔던 피해자의 절절한 사연을 전해 드렸습니다. 급기야는 국회농해수위에서 내일인 27일에 농협의 긴급현안 보고를 받기로 했습니다. 하지만 아직까지 범죄조직의 범행 수법은 밝혀지지 않은 상황인데요. 이 시간에는 보안 전문가를 통해 예상되는 범행 수법과 관리상의 문제점은 무엇인지 들어보도록 하겠습니다. 고려대 정보보호대학원의 원장이시죠. 임종인 교수 연결돼 있습니다. 교수님, 안녕하십니까?
[박재홍의 뉴스쇼 전체듣기]◆ 임종인> 안녕하세요. 임종인입니다.
◇ 박재홍> 농협 해킹 사건을 접하셨을 텐데, 텔레뱅킹만 이용하던 피해자가 인터넷 뱅킹으로 1억 2,000만 원이 빠져나간 상황입니다. 지난번에 출연하신 전문가께선, 범죄조직이 휴대폰 키패드 소리로 보안카드 번호를 알아냈다는 말씀도 하셨는데..교수님은 어떻게 보십니까?
◆ 임종인> 저희도 진짜 오리무중입니다. 왜냐하면 텔레뱅킹 같은 경우에는 이런 사고가 처음이거든요. 현재 텔레뱅킹 같은 경우에는 보안카드를 사용하지 않으면 돈이 나갈 수가 없는 상황입니다. 그래서 문제는 ‘이 보안카드가 어떻게 유출됐느냐?’ 거기에 문제의 초점이 있는 것 같습니다. 수사에서도 피해자한테서 특별한 용의점을 발견하지 못했다고 하니까 지금 현재 재수사가 이루어지는 걸로 알고 있습니다.
◇ 박재홍> 그런데 피해자는 보안카드를 사진으로 찍어서 휴대전화에 보관했다거나 PC에 저장한 적도 없고 누군가에게 맡긴 적도 없었답니다. 그럼 이 보안카드가 어떻게 유출됐을까요?
◆ 임종인> 그러니까 사실은 가까이 있는 사람이 사진을 찍어서 유출하지 않았으면 사실은 은행 쪽을 의심해 보는 수밖에 없어요.
◇ 박재홍> 지인이 아니라면 은행이다?
◆ 임종인> 예. 그런데 은행에서 보통 유출되는 경우가 어떻게 되냐면, 요즘 뉴스보도에도 나오지만 주민등록증이 참 문제예요, 주민등록증을 가져다가 쉽게 복제할 수 있거든요. 그래서 ‘가짜 주민증 만드는 법’이 뉴스에도 나오고 그러는데요. 가짜 주민증을 하나 만들어서 사진 바꿔치기하고 은행에 가서 ‘나, 보안카드 잃어버렸다’하면 쉽게 보안카드를 재발급해 주거든요. 그래서 혹시 보안카드가 재발급된 건 아닌지도 한번 수사가 이루어져야 된다 생각합니다.
◇ 박재홍> 그러니까 은행에서 보안카드가 재발급 됐는지의 여부가 중요한 쟁점이 될 것이다?
◆ 임종인> 네, 왜 그러냐 하면 지금 농협이 제대로 사실을 안 밝히고 있어요. 범죄조직이 IP주소로 접근했을 때에 무슨 정보가 나갔는지 이런 여러 가지 사실을 속 시원하게 밝히지 않고 있으니까요. 아마 농협의 이런 부분에 대한 조사도 같이 이루어져야 된다고 생각합니다.
◇ 박재홍> 보안카드가 재발급된 것도 기록이 남나요?
◆ 임종인> 당연히 남죠. 그런데 지금 농협에서 하는 행동을 보면 굉장히 불편한 면이 많아요. 만약에 고객에게 과실이 있었다면 이렇게 경찰이 두 달간 수사했는데 수법이 안 나왔다든지 그럴 일은 없거든요. 왜냐하면 주변 사람이 보안카드를 가져갔거나 본인이 유출하지 않으면 이런 사고가 안 나오거든요. 주변 사람에 대한 조사도 당연히 했겠죠. 그런데 용의점이 안 나왔거든요. 그래서 아마 수사결과를 봐야겠지만 농협에 대한 수사도 같이 이루어져야 된다고 생각합니다.
위 사진은 기사와 관련이 없음 (사진=이미지비트 제공/자료사진)
◇ 박재홍> 경찰 수사가 더 진행되어야 될 것 같고요. 아까 IP주소를 말씀하셨는데 사건 직전에 은행 사이트에 접속했던 IP 주소가 있답니다. 그 주소 두 군데를 보니까 ‘119.50’으로 시작하는 IP주소였다고 하는데 이게 어디 주소인가요?
◆ 임종인> 중국 길림성쪽이라고 알려져 있는데요. ‘119.50’ 뒤에 붙는 것까지 하면 한 6만 5,000개의 IP가 있는데요. 이쪽에서 여러 번 불법해킹 시도가 있어서 금융결제원에서 이 지역은 조심하라고 경고령을 내렸거든요. 그래서 많은 은행들이 그쪽 IP 대역 전체를 막아버렸어요. 그런데 농협은 불편하다는 이유로 차단조치를 취하지 않았는데, 이 IP로 접근을 해서 무슨 정보가 나갔는지 조사해 봐야 합니다. 현재 농협이 그 IP로 특별한 건 나간 건 없다는 식으로 밝히고 있어서 불투명한 부분이 있거든요. 그런 게 있어서 한번 더 살펴봐야 된다고 생각합니다.
◇ 박재홍> 금융결제원에서 지금까지 이런 IP가 문제가 되니까 90차례 가깝게 금융계에 경고를 했는데 그러니까 농협은 별다른 조치를 안 한 거 아니에요?
◆ 임종인> 농협이 좀 문제입니다. 이렇게 여러 번 사고를 당했으면서도 지금 일하는 거 보면 정말 이 은행이 사고를 당한 회사가 맞는지 의심스러울 정도로 대응이 한심해요. 그래서 여기에 대해서는 특단의 조치가 필요하다고 생각합니다.
◇ 박재홍> 특단의 조치라면 어떤 걸 말씀하시나요?
◆ 임종인> 그러니까 2011년에 농협해킹 사건이 있지 않았습니까? 그때도 회장이라는 분이 나오셔서 나는 여기 상근회장도 아니니까 모르겠다는 식으로 발뺌해서 국민들의 분노를 자아냈지 않았습니까? 적어도 제1금융권, 제2금융권에 있는 농협이라는 거대은행이 농심(農心)을 앞세워서 자꾸 자기네들의 이득만 보호하고 책임은 다하지 않고 있습니다. 정말 금융기관으로서 여러 가지 권리를 제한하는 그런 조치도 필요하다고 생각합니다.
◇ 박재홍> 그야말로 서민들의 돈을 가장 많이 갖고 있는 그러한 금융기관인데 정말 관리감독을 소홀히 하고 있다는 인상을 지울 수가 없고요. 그런데 여기서 문제제기 되고 있는 것이 ‘관리감독하고 있는 인원 수가 턱없이 부족하다’는 것이고, 그래서 일부 전문가들이 말에 따르면 ‘5명 정도가 인터넷보안을 관리하고 있다’ 이런 말이거든요, 사실입니까?
◆ 임종인> 사실은 2011년에 사고가 났을 때 그때도 대부분의 업무를 다 아웃소싱 하고 자체전담 직원은 한 자리수라고 해서 말썽이 났거든요. 그 후에 투자도 많이 했다고는 하는데 지금 하고 있는 행동을 보면 그것이 과연 지켜졌는지, 그리고 지켜졌다고 해도 질적 보완이라는게 있지 않습니까? 숫자만 많은 게 중요한 게 아니라 얼마나 우수한 사람을 많이 썼느냐 그 문제입니다. 하지만 다른 은행들에 비해서 확실히 보안수준에 문제가 있는 것 같습니다.
◇ 박재홍> 외국은행과 비교해 보면 어느 정도 부족합니까?{RELNEWS:right}
◆ 임종인> 우리나라 같은 경우에는 전담보안 인력은 한 50명 정도 있고요. 나머지는 아웃소싱을 합니다. 그런데 외국 같은 경우에는 보통 그거보다 몇 배는 많아서 200~300명 정도 수준이 됩니다. 사실 사고가 발생하면 우리와 외국의 차이가 큽니다. 우리나라의 올 초에 카드정보 유출사건이 있었을 때 사장들이 나와서 잘못했다고 고개 숙이고, 카드 일부 재발급 해 주고 원한다면 소송 걸어라 이런 식 아닙니까? 그런데 그 당시에 같은 사고가 났던 미국의 대형 유통체인인 타겟사 같은 경우를 보면 사장이 사과하고 물러난 건 물론이고 현재 집단소송이 걸려 있습니다. 집단소송이 우리나라하고는 다르죠. 피해를 입은 모든 사람이 소송에 참여하지 않아도 같이 배상을 받을 수 있어요, 그리고 또 징벌적 배상이 있어서 타깃이 현 소송에서 질 가능성이 큰데, 소송에 진다면 우리 돈으로 18조를 물어내야 한다고 합니다.
◇ 박재홍> 관리를 할 수밖에 없는 그런 상황이네요.
◆ 임종인> 그렇죠. 은행을 포함한 모든 기업이 정보유출 사건이 나면 소위 말하는 돌연사를 하게 되니까 그것을 막기 위해서 최선의 노력을 다해야 하는 거고, 나중에 책임이 있다고 해도 최선의 노력을 다한 것이 일부 경감 받을 수 있는 요인이 될 텐데요. 우리나라는 ‘뭐 정 그러면 너네 소송해’라는 식입니다. 이번에 농협도 사실 전자금융거래법에 의해서 자기들이 1차적으로 책임을 져야 하는 데도 ‘우리는 모른다. 모르니까 돈 못 내주고 필요하면 소송해라’는 식이니까 정말 무책임의 극치라고 할 수 있습니다.
◇ 박재홍> 정말 무책임한 국내금융기관들. 이번 기회를 통해서 보완되어야 될 그런 사안인 것 같습니다. 여기까지 듣겠습니다. 고맙습니다.
◆ 임종인> 고맙습니다.
◇ 박재홍> 고려대 정보보호대학원의 임종인 원장이었습니다.
[박재홍의 뉴스쇼 프로그램 홈 바로가기]