금융사·당국 근본 차단책 없어…"공인인증서 비밀번호·보안카드 자주 바꿔야"
최근 파밍 금융 사기로 수 천건의 금융정보가 유출됐다. 그럼에도 금융사와 당국은 이를 근본적으로 막을 방안이 없다. 개인 스스로 조심해야 한다는 것.
파밍(Pharming)은 사용자 PC를 악성코드로 감염시켜 금융정보를 빼내는 수법이다. 개인 PC를 악성코드에 감염시켜 공인인증서를 유출한다. 감염된 PC에서는 정상 금융사 홈페이지에 접속해도 가짜 사이트로 유도된다. 이를 통해 개인 금융 정보를 빼간다. 계좌의 돈이 범행 계좌로 불법 이체된다.
이 같은 수법으로 지난 2월과 3월 두차례에 걸쳐 5005건의 개인 금융정보가 홍콩에 서버를 둔 조직으로 넘어갔다. 서울지방경찰청 사이버수사대는 농협 1700여건, 국민은행 1300여건, 신한은행 900여건, 우리은행 700건 등 17개 시중은행 고객의 개인정보가 유출 됐다고 밝혔다. 2014년 10월에도 400여건의 개인 금융 정보가 파밍 수법으로 유출됐다.
이에 따른 실제 피해자도 발생했다. 언론 보도에 따르면 지난해 12월 파밍 수법에 의해 한 피해자 계좌에서 4000만원이 빠져나갔다.
장병완 미래창조과학방송통신위원회 의원에 따르면 2012년 110건에 불과했던 파밍 차단건수는 지난해 7월 기준 5956건으로 50배 늘었다. 파밍으로 인한 피해금액도 2013년 164억원에서 2014년 256억원으로 늘었다.
특히 현재 악성코드에 감염된 개인 컴퓨터가 7만여대에 달한다는 의견도 나왔다. 문일준 빛스캔 대표는 "파밍 관련 악성코드에 감염된 개인 PC가 7만여대에 달하는 것으로 본다"며 "이 컴퓨터의 사용자들은 언제든지 파밍 등 금융 사기의 피해자가 될 가능성이 있다. 문제가 크다"고 말했다.
문제는 개인이 파밍 수법에 당하기 쉽다는 것. 사이버수사대에 따르면 개인이 인터넷 웹서핑만 해도 악성코드에 감염된다. 공격자들은 언론사 홈페이지의 광고 서버 등에 파밍용 악성코드를 심는다. 사용자들이 해당 언론사 홈페이지 등에 접속하면 드라이브 바이 다운로드 방식으로 악성코드에 감염된다. 드라이브 바이 다운로드는 사용자 모르게 전송·실행되는 악성 프로그램을 말한다.
그럼에도 금융사와 당국은 파밍 사기를 근본적으로 막을 대안이 없다. 개인 스스로 조심해야 한다는 의견이다.
한 시중은행 관계자는 "웹서핑 중 파밍에 감염되는 것을 금융사가 자사 홈페이지에서 개인 정보 유출을 막을 수 없다"고 말했다.
다른 시중은행 관계자도 "은행 사이트에 파밍차단 프로그램이 있지만 100% 막을 순 없다"며 "계속 우회적인 파밍 수법이 나오기 때문"이라고 말했다. 이어 "결국 사용자 스스로 파밍에 주의해야 한다"며 "주기적으로 공인인증서 비밀번호와 보안카드를 바꿔줘야 한다. 개인 컴퓨터악성코드 백신도 주기적으로 업데이트 해야 한다"고 밝혔다.
금융보안원도 마찬가지다. 금융보안원 관계자는 "파밍은 소매치기와 같다. 근본적으로 막을 수 있는 시스템을 만들기 어렵다"며 "이에 파밍 피해는 계속 발생할 것"이라고 말했다.
피해는 개인이 책임져야 하는 상황이다. 지난해 9월 서울고등법원은 파밍 사기 피해자 민 모 씨 등 36명이 신한은행과 국민은행 등을 상대로 낸 소송에서 민 씨 등의 패소로 판결했다. 피해자들이 가짜 사이트에 보안카드 번호 전체를 입력한 것이 중대한 과실이라고 판단했다.