오랫만에 들러 인사드리면서..
이 게시판에 맞지 않는 성격의 글이라면 주인장께서 옮겨 주시길..
세상에 이런 일이... !!!
하지만 사실입니다.
공인인증서 관리, 철저히 해야 합니다.
PC 에 저장해 둔다면 정말 위험 !!!
저는 공인인증서는 전용USB(254Kb짜리, 아주 구닥다리.. ^^)에 담아 놓고 제가 가지고 있고,
실명확인 차단서비스를 Siren24 에 가입해 놓고 전번은 제 아내 전번으로 해놓아
이중으로 차단(?)한다고 해 놓고 사용중인데도,
전에 한 번 집사람 핸폰으로 이상한 메시지가 온 적이 있었습니다.
실명확인 차단 해제용 임시비번이 집사람에게로 날라온 것이지요.
집사람은 제가 또 어디 가입하느라 실명확인 차단 일시해제해 달라고 한 것인줄 알고
문자로 답신(실명확인 일시해제를 위한 siren24에서 온 임시비번)을 제게 보낸다는 것이
숫자 하나를 잘못 눌러 엉뚱한 곳으로 갔더군요..
제 전화는 017-ooo-oooo 인데,
집사람이 제게 보낸다고 입력한 번호는 010-ooo-oooo 였더군요.
임시비번은 Siren24에서 오니까 그 비번을 제게 알려주려면
천상 제 전번을 손으로 입력을 해야하는 거지요.
저는 실명확인 일시해제 해달라고 할 때는 반드시 전화로 얘기하지,
말 없이 문자로 집사람에게 보낸다든가 하지 않거든요.
금융거래 또는 회원가입 등으로 일시해제 했다가, 사용이 끝나면 즉시 다시 묶으라고 또 전화를 해주고요.
저는 실명확인차단 해놓았으니 제 명의로 핸폰 개통도 안되겠지요?
그러나,
정말,
조심 또 조심...!!!
-----------------------------
1. 1시간만에 보험사에서 2,200여만원 털려
* 출처 : http://www.wikipress.co.kr/detail.php?number=14530
AIA생명 "공인인증서 해킹은 관리못한 쪽 책임···불만있으면 소송해라"
정부, 온라인 금융거래 보안관련 기본방침조차 마련하지 않아···보험사 특히 허술
금감원 "본인인증 시스템은 개별 기업소관" 나몰라라
2012년08월17일 18시51분 조회수:22436
"이쯤 되면 그냥 돈 다 가져가라는 것 아닌가요?"
피해자 김 모씨(27·여)는 분개했다.
김 씨는 지난 8일 알 수 없는 경위로 공인인증서를 해킹 당했다.
범인들(다수로 추정)은 빼돌린 공인인증서로 각 보험사 홈페이지에 접속, 피해자가 AIA생명에 생명보험과 연금보험을 든 사실을 발견했다. 범인은 보험약관대출, 생명보험해약, 연금보험인출 등을 통해 모두 2,200여만 원을 빼갔다.
김 씨는 흥국화재, 교보생명, 금호생명(현KDB생명)에도 가입한 보험이 있었지만 오직 AIA생명의 보험만 털렸다. 다른 보험사는 온라인 금융거래와 관련한 다양한 보안시스템이 구축되어 있어 범인들이 손대지 못했던 것이다. 하지만 AIA 생명은 공인인증서 로그인만으로 온라인 대출에 해약까지 가능했던 것.
김 씨는 "요즘은 하다못해 택배를 보내도 당사자와 연락이 오간다"면서 "진짜 문제는 공인인증서 해킹이 아니라, 금융사고를 대비한 안전장치"라며 목소리를 높였다.
범인은 1시간 사이 김씨가 가입한 AIA 생명보험에서 약관대출과 해약을 해 모두 2,200여만 원을 가로챘다. 범인은 특히 ATM기의 1회출금한도를 피하기 위해 299만원 씩 찾아가는 치밀함도 보였다. |
|
김 씨가 공인인증서 해킹 사실을 처음 알게 된 것은 마트에서였다.
장을 본 김 씨는 늘 쓰던 체크카드로 계산하려 했으나 통장잔고 부족으로 결제할 수 없었다. 이상하게 여긴 그는 해당 은행 영업소를 찾아 통장내역을 뽑아 살폈다. 김 씨는 크게 놀랐다.
통장에 총 2,280여만 원이 입금된 후 ATM기 1회 출금 한도에 걸리지 않게 299만 원씩 8번, 잔고까지 모두 빠져나간 것이었다. 바로 전날 저녁에 발생한 거래였다. 돈이 입금 된 곳은 AIA생명.
당황한 김 씨는 AIA생명 고객관리부서에 연락해 상황을 설명하고 자초지종을 물었다. 보험사 측은 "홈페이지를 통해 약관대출을 했고, 보험은 해약되어 미리 등록해둔 신한은행 계좌에 자동이체 됐다"고 설명했다.
이에 김 씨가 허술한 보안체계에 대한 책임을 따져묻자 사측은 "공인인증서 관리를 못한 쪽의 책임"이라며 "이러한 피해는 처음있는 일이고 구제사례도 없으니 소송을 하든지 마음대로 하라"고 잘라 말했다.
적반하장격의 대답에 화가 난 김 씨는 "대출에 해약까지 됐는데 왜 문자 한 통 없었냐"고 재차 따지자 사측은 "문자 메시지는 자동으로 갔는데 본인이 받지 못 한 것"이라고 말했다. 김 씨가 문자를 못 받은 것은 당연했다. 범인들은 처음부터 AIA생명 홈페이지에서 개인정보변경을 한 후 범행을 저질렀기 때문이다.
이에 대해 사건을 담당한 수원경찰서 사이버 수사팀의 김현우 수사관은 이 사건을 '상당히 특이한 경우'라 규정하면서도 보험사의 허술한 보안체계는 이해할 수 없다는 입장을 내비쳤다.
김 수사관은 위키프레스와의 통화에서 "범인이 공인인증서의 비밀번호 뿐 아니라, 자동이체된 신한은행 계좌 비밀번호까지 모두 해킹했다"면서 "보이스 피싱이 아니라 해킹으로 빼간 건 드문 일이라 자작극을 의심할 정도였다"고 말했다.
하지만 수사가 진행되면서 범행에 사용된 IP에 이어 4명의 명의로 된 농협 대포통장을 확보하며 자작극의 가능성은 사라졌다. 수사의 마지막은 어떻게 '해킹'으로 공인인증서와 은행 비밀번호를 빼갔는지 밝히는 것이다. 김 수사관은 "이것이 드러나면 신종 해킹 수법이 될 것"이라 전했다.
동시에 김 수사관은 AIA생명 홈페이지 보안에 대해서도 일침했다. 그는 "자체 보안카드 등록이나 휴대폰 인증 정도의 시스템만 갖췄어도 이렇게 쉬이 범행에 성공하지는 못 했을 것"이라고 지적했다.
이에 본지는 20개의 보험사를 대상으로 공인인증서 이외 보안장치 마련여부를 조사했다. 결과는 크게 갈렸다. 시중은행 이상의 보안 시스템을 구축한 곳이 있는가 하면 AIA처럼 무방비 상태인 보험사도 속속 발견됐다.
안전장치가 잘 마련되어 있는 보험사들은 자체 보안카드 등록, 혹은 본인명의의 핸드폰 및 신용카드 인증에 더해 출금 한도를 지정한다든지, 해약은 방문을 통해야 한다는 등 이중 삼중으로 금융사고방지책을 마련해 두었다.
KB, 농협, 메트라이프 등은 공인인증서 로그인 이외 본인명의의 핸드폰 인증을 필수적으로 거쳐야 홈페이지를 통한 대출 및 해약업무를 볼 수 있었다.
또 삼성, 대한, 흥국, 교보, ING, 미래에셋, 알리안츠, 푸르덴셜, KDB, 현대라이프, 하나HSBC 등은 자체 보안카드를 만들어야만 온라인 금융거래가 가능했다.
반면 AIA, 라이나, 동부, ACE, PCA, 우리아비바 등의 보험사는 공인인증서만으로 온라인 금융거래가 가능했다. 우리아비바생명은 은행권 보험사임에도 1일 대출한도만 두었을 뿐 다른 보안장치는 없었다. ACE 생명은 심지어 공인인증서로 자동이체 계좌까지 바꿀 수 있었다. 왜 이렇게 허술한 채로 두었을까.
문제의 6개 보험사와의 전화인터뷰 결과, 이들은 공인인증서 자체가 안전한 본인인증 시스템이라는 입장이었다. 행여나 공인인증서가 해킹당해도 계약시 등록된 은행계좌로 자동 입금 되므로 은행 비밀번호를 모르면 돈을 빼갈 방법이 없어 안전하다는 주장이다.
이에 대해 보험소비자협회 김미숙 대표는 "보험계약자가 계약을 맺고 보험료를 납입하는 곳은 은행이 아닌 보험사인데 이토록 무책임한 생각을 하고 있을 줄은 몰랐다"며 강한 어조로 비난했다.
이렇게 개별 보험사마다 보안상태가 천차만별인 이유는 어디에 있을까.
답을 얻기 위해 금융감독위원회에 연락을 취했지만 어떤 부서에서도 명확한 답을 주지 못했다. 어렵게 연결 된 금감원의 한 관계자는 "공인인증서는 국가 담보로 신분을 증명하는 도구인데, 이를 보완하는 안전장치가 전혀 없든, 심지어 생체인증 수준으로 강화했든 개별 기업이 선택하기 나름"이라는 황당한 답변을 내놓았다. 실제로 정부는 온라인 금융거래 보안정치에 대한 특별한 방침을 마련해두지 않고 있다.
이에 대해 김미숙 대표는 "금융범죄가 갈수록 교묘해져 온갖 보안장치를 구축하는 시중은행도 위험한 요즘, 보험사는 두 손 놓고 있다"며 "이러한 기업들을 감독하고 규제하기위해 금감원이 있는 것 아닌가"라고 꼬집었다.
또 "당국은 이러한 문제를 이미 인식하고 예전부터 관련규정을 마련한다는 입장을 밝혔지만 아직까지 아무런 결과가 없다"며 "하루빨리 대안을 마련해야 할 것"이라고 지적했다.
2. 보험소비자협회 운영자가 말한다
* 출처 : http://cafe.daum.net/bosohub/6YDD/954
[단독] AIA생명, 공인인증서 하나로 약관대출에 해약까지···제대로 '털렸다'
기사 보기 클릭!!
http://www.wikipress.co.kr/detail.php?number=14530
보험가입자 공인인증서 분실(?)로 AIA생명보험사 계좌를 AIA생명 스스로가 털리게 한 셈.
금융감독원 왈 보험사 예금계좌 안전관리는 개별 기업 선택 사항?
AIA생명 "공인인증서 해킹은 관리못한 쪽 책임···불만있으면 소송해라"
정부(금융위원회), 온라인 금융거래 보안관련 기본방침조차 마련하지 않아···보험사 본인인증 특히 허술
금감원 "본인인증 시스템은 개별 기업소관" 나몰라라
AIA생명 보험회사 홈페이지에서 공인인증서로 보험거래(보험계약대출, 해지(해약)) 등을 하려면
(1) 우선 AIA생명 보험회사 공인인증서 비밀번호와 다른 홈페이지 로그인 아이디 및 비밀번호가 있어야 하고,
(2) 공인인증서 최초 사용시 AIA생명 보험회사에 직접 방문해 '전자거래이용신청'을 접수 받아 이에 동의한다는 AIA생명 보험회사의 의사표시로 '보안카드 등'을 제공하고,
(3) 보험가입자가 AIA생명 보험회사에
1)홈페이지 로그인 및 비밀번호, 2) 공인인증서 비밀번호, 3) 보험회사 보안카드 비밀번호 등을 제공하면,
(4) AIA생명 보험회사가 이를 확인 후,
(5) AIA생명 예금계좌에서 보험가입자 보험료 입금 거래 계좌로 '이체'를 시켜야 하는데도,
(6) 가입자 공인인증서 분실(?)로 AIA생명보험사 계좌를 AIA생명 스스로가 털리게 한 셈.
이에 대해 금융감독원 왈, 보험사 예금계좌 안전관리는 개별 기업이 선택 사항?
영리보험회사가 보험가입자의 계약 관리를 제대로 하지 않고 있음을 타인을 통해 알려 줬으면, 놀란 토끼눈이 되어서 잘못했다고, 검토해서 재발되지 않도록 하겠다고 해야 금융감독원이지, 돈(어차피 보험가입자 돈이겠지만) 들여 안전장치를 마련하든 말든 보험사 맘대로라고? 그럼 금융감독원이 있어야 할 이유가 사라진 것? 그냥 퇴출하는 것이 '순리'겠다.
관련 기사 꼭 읽어보셈.
2012. 8. 18. (토)
보험소비자협회 김미숙.
첫댓글 참,대단들 하네요.잘 숙지 하겠습니다........감사합니다.