AIA생명, 공인인증서 하나로 약관대출에 해약까지···제대로 '털렸다'

[스타밸리]

AIA생명, 공인인증서 하나로 약관대출에 해약까지···제대로 '털렸다'

   2012년08월17일 18시51분   조회수:20622

글자크기

AIA생명 "공인인증서 해킹은 관리못한 쪽 책임···불만있으면 소송해라"
정부, 온라인 금융거래 보안관련 기본방침조차 마련하지 않아···보험사 특히 허술

금감원 "본인인증 시스템은 개별 기업소관" 나몰라라

 

"이쯤되면 그냥 돈 다 가져가라는 것 아닌가요?" 

 

피해자 김 모씨(27·여)는 분개했다. 김 씨는 지난 8일 알 수 없는 경위로 공인인증서를 해킹 당했다. 범인들(다수로 추정)은 빼돌린 공인인증서로 각 보험사 홈페이지에 접속, 피해자가 AIA생명에 생명보험과 연금보험을 든 사실을 발견했다. 범인은 보험약관대출, 생명보험해약, 연금보험인출 등을 통해 모두 2,200여만 원을 빼갔다.

김 씨는 흥국화재, 교보생명, 금호생명(현KDB생명)에도 가입한 보험이 있었지만 오직 AIA생명의 보험만 털렸다. 다른 보험사는 온라인 금융거래와 관련한 다양한 보안시스템이 구축되어 있어 범인들이 손대지 못했던 것이다. 하지만 AIA 생명은 공인인증서 로그인만으로 온라인 대출에 해약까지 가능했던 것. 

 

김 씨는 "요즘은 하다못해 택배하나 보내도 당사자와 연락이 오간다"면서 "진짜 문제는 공인인증서 해킹이 아니라, 금융사고를 대비한 안전장치"라며 목소리를 높였다. 

범인은 1시간 사이 김씨가 가입한 AIA 생명보험에서 약관대출과 해약을 해 모두 2,200여만 원을 가로챘다. 범인은 특히 ATM기의 1회출금한도를 피하기 위해 299만원 씩 찾아가는 치밀함도 보였다.

김 씨가 공인인증서 해킹 사실을 처음 알게 된 곳은 마트에서였다. 장을 본 김 씨는 늘 쓰던 체크카드로 계산하려 했으나 통장잔고 부족으로 결제할 수 없었다. 이상하게 여긴 그는 해당 은행 영업소를 찾아 통장내역을 뽑아 살폈다. 김 씨는 크게 놀랐다. 통장에 총 2,280여만 원이 입금된 뒤 ATM 1회 출금 한도에 걸리지 않게 299만 원씩 8번, 잔고까지 모두 빠져나간 것이었다. 바로 전날 저녁에 발생한 거래였다. 돈이 입금 된 곳은 AIA생명.

 

당황한 김 씨는 AIA생명 고객관리부서에 연락해 상황을 설명하고 자초지종을 물었다. 보험사 측은 "홈페이지를 통해 약관대출을 했고, 보험은 해약되어 미리 등록해둔 신한은행 계좌에 자동이체 됐다"고 설명했다.

이에 김 씨가 허술한 보안체계에 대한 책임을 따져묻자 사측은 "공인인증서 관리를 못한 쪽의 책임"이라며 "이러한 피해는 처음있는 일이고 구제사례도 없으니 소송을 하든지 마음대로 하라"고 잘라 말했다.  

적반하장격의 대답에 화가난 김 씨는 "어떻게 대출에 해약까지 했는데 왜 문자 한 통 없었느냐"고 재차 따지자 사측은 "문자 메시지는 자동으로 갔는데 본인이 수신하지 못한 것"이라고 변명했다. 김 씨가 문자를 받지 못한 것은 당연했다. 범인들은 처음부터 AIA생명 홈페이지에서 개인정보변경을 한 후 해약을 했기 때문이다.  
 

이에 대해 사건을 담당한 수원경찰서 사이버 수사팀의 김현우 수사관은 이 사건을 '상당히 특이한 경우'라 규정하면서도 보험사의 허술한 보안체계는 이해할 수 없다는 입장을 내비췄다. 

 

김 수사관은 본지와의 전화인터뷰에서 "범인이 공인인증서의 비밀번호 뿐 아니라, 자동이체된 신한은행 계좌 비밀번호까지 모두 해킹했다"면서 "보이스 피싱이 아니라 해킹으로 빼간 건 드문 일이라 자작극을 의심할 정도였다"고 말했다.

 

하지만 수사가 진행되면서 범행에 사용된 IP에 이어 4명의 명의로 된 농협 대포통장을 확보하며 자작극의 가능성은 사라졌다. 수사의 마지막은 어떻게 '해킹'으로 공인인증서와 은행 비밀번호를 빼갔는지 밝히는 것이다. 김 수사관은 "이것이 드러나면 신종 해킹 수법이 될 것"이라 전했다.

 

동시에 김 수사관은 AIA생명 홈페이지 보안에 대해서도 언급했다. 그는 "온라인 금융거래시 자체 보안카드 등록이나 휴대폰 인증 정도의 시스템만 갖췄어도, 아니 본인확인을 위해 전화 한 통만 했어도 이렇게 쉽게 털리진 않았을 것"이라고 지적했다. 

 

이에 본지는 20개의 생보사를 대상으로 공인인증서 이외 보안장치 마련여부를 조사했다. 결과는 크게 갈렸다. AIA처럼 무방비 상태인 보험사가 속속 발견된 반면 시중은행 이상의 보안 시스템을 구축한 곳도 있었다.

안전장치가 잘 마련되어 있는 보험사들은 보안카드 등록, 본인명의의 핸드폰 및 신용카드 인증에 더해 출금 한도를 지정한다든지, 방문을 통한 해약 등 이중 삼중으로 금융사고방지책을 마련해 두었다.

KB, 농협, 메트라이프 등은 공인인증서 로그인 이외 본인명의의 핸드폰 인증을 필수적으로 거쳐야 홈페이지를 통한 대출 및 해약업무를 볼 수 있었다. 

 

또 삼성, 대한, 흥국, 교보, ING, 미래에셋, 알리안츠, 푸르덴셜, KDB, 현대라이프, 하나HSBC 등으로 자체 보안카드를 만들어야만 온라인 금융거래가 가능했다.

반면 자체 보안 시스템이 없는 보험사는 AIA, 라이나, 동부, ACE, PCA, 우리아비바 등 여섯 곳으로 모두 공인인증서만으로 온라인 금융거래가 가능했다. 우리아비바생명은 은행권 보험사임에도 실효성 없는 1일 대출한도만 두었을 뿐 다른 보안장치는 없었다. ACE 생명은 심지어 공인인증서 하나로 자동이체 계좌까지 바꿀 수 있었다. 왜 이렇게 허술한 채로 두었을까.

조사결과 문제의 6개 보험사는 공인인증서 자체가 안전한 본인인증 시스템이라는 입장이었다. 행여나 공인인증서가 해킹당해도 계약시 등록된 은행계좌로 자동 입금 되므로 은행 비밀번호를 모르면 돈을 빼갈 방법이 없으므로 안전하다는 주장이다.   
 

그러나 보험사의 이러한 주장은 자신들의 책임을 은행에 전가하고 있다. 이는 보험사의 역할을 조금만 고려해보면 확실해진다. 보험계약자가 보험계약을 맺고 보험료를 납입하는 곳은 은행이 아닌 '보험사'다. 즉 고객이 낸 보험료를 관리할 첫 번째 책임은 보험사에게 있는 것이다. 

이에 대해 보험소비자협회 김미숙 대표는 "이번 사건이 겉으로는 해킹을 통한 치밀한 범죄 같지만 공인인증서 이외 어떤 보안장치도 없었다는 것은 AIA 생명 스스로가 범인에게 고객의 계좌를 내어준 셈 "이라고 꼬집었다. 

 

이렇게 개별 보험사마다 보안 정도가 천차만별인 이유는 무엇일까. 

 

답을 얻기 위해 금융감독위원회에 연락을 취했지만 어떤 부서에서도 명확한 답을 하는 곳은 없었다. 어렵사리 연결이 된 금감원의 한 관계자는 이와 관련해 "공인인증서는 국가 담보로 신분을 증명하는 도구인데, 이를 보완하는 안전장치가 전혀없든, 심지어 생체인증 수준으로 강화했든 개별 기업이 선택하기 나름"이라는 황당한 답변을 내놓았다. 실제로 정부는 온라인 금융거래 보안정치에 대한 특별한 방침을 마련해두지 않고 있다. 

 

이에 대해 김미숙 대표는 "금융범죄가 갈수록 교묘해져 온갖 보안장치를 구축하는 시중은행도 털리는 요즘, 보험사는 두손놓고 있다"며 "이러한 기업들을 감독하고 규제하기위해 금감원이 있는 것 아닌가"라고 말했다..

 

또 "관련 당국은 이러한 문제를 이미 인식하고 예전부터 안전장치 강제규정지침을 마련한다는 입장을 밝혔지만 아직까지 아무런 결과가 없다"며 "하루빨리 대안을 마련해야 할 것"이라고 지적했다.