공인인증서의 득과 실

어제(2014년 4월 9일) 서울 강북경찰서는 은행에서 유출된 개인정보를 이용한 보다 위력적인 보이스피싱 사례를 처음으로 적발했습니다(관련 기사). 금융권의 대규모 개인정보 유출사고와 관련해서 “2차 피해는 없다고 확신한다”던 금융위원장의 말은 터무니없습니다. 앞으로 본격적인 유사 피해 사례가 줄을 이을 것으로 보입니다.

보이스피싱과 공인인증서는 아주 긴밀한 관계에 있습니다. 공인인증서가 과연 누구에게 이득이 되고, 누구에게 해로운 것인지 한번 볼까요? 몇가지 사실(facts)을 소개하겠습니다.

1. 공인인증서는 온라인상으로 비교적 수월하게 “재발급” 받을 수 있고, 공인인증제도의 이런 취약점(허술함)을 이용해서 이루어지는 공격이 바로 보이스피싱입니다. 공인인증서 발급 및 재발급 과정은 은행이 맡아서 하고 있으므로 재발급을 허술하게 관리할 것이냐, 엄격하게 관리할 것이냐는 사실 은행 맘입니다.

매년 약6,000명이 보이스피싱을 당하고, 매년 600억 가량의 피해가 발생합니다(1인당 피해액 평균 약1,000만원). 2006년1월 – 2012년8월까지의 누적 피해액은 4,000억원이 넘습니다.
voice-phishing-table
위 수치는 2012년9월26일 금융감독원이 경찰청 통계를 인용하면서 보도자료로 배포한 것입니다.

2. 사고거래일 위험이 “심각”하다는 점을 은행은 인식하면서도 이체를 그대로 실행합니다.

국내 어느 은행(“OO은행”)이 법원에 제출한 은행 내부 로그 자료를 볼까요? 은행들은 각각 수백명의 보이스피싱 피해자들이 제기한 소송 사건의 피고로 되어 있으며, 이런 사정은 국내 은행들 대부분 비슷합니다. 아래 검게 칠한 부분은 제가 가린 것입니다. (그림을 클릭하면 크게 보실 수 있습니다)
bank-log-hide

위 로그 기록은 2011년 11월2일부터 11월19일까지 피해자의 이름으로 이루어진 은행거래에 대하여 OO은행이 알고 있던 내용을 보여줍니다. 11월2일부터 11월14일까지 이루어진 거래는 서울에 위치한 IP주소(“Web IP” 59.xxx.xxx.113)에서 이루어졌고, 이 이용자는 VPN망을 사용하지도 않았습니다(VPN망은 공격자나 범법자들이 자신의 IP주소를 숨기고 다른 IP주소에서 접속하는 듯한 외관을 만들어내기 위하여 흔히 동원됩니다). OO은행 스스로도 이 표에 나타나는11월2일 부터 14일까지의 거래는 “정상”이라고 평가하고 있었고, 실제로도 정상 거래였습니다.

그러나, 11월19일에 이루어진 3건의 거래는 중국 샨동성(山東省) 지난시(济南市)에 위치한 IP주소(112.224.2.109)에서 네트워크에 접속한 어떤 자가 VPN망을 이용해서 마치 서울에 위치한 IP주소(115.141.144.182)에서 OO은행에 접속하는 것처럼 가장하려 하였으나, OO은행은 이 자가 VPN망을 이용해서 이런 행위를 하고 있음을 이미 훤히 알고 있었고, 그자가 네트워크 접속에 사용한 하드웨어 고유 번호(00-53-45-00-00-00) 역시 실제로는 존재하지 않는 ‘가짜번호’라는 점도 즉시 파악 가능한 것이므로, OO은행 스스로도 이런 점을 종합하여 이 거래는 “심각”한 위험이 있는 거래라고 실시간으로 인식하고 있었습니다.

그러나 은행은 그대로 이체해버립니다. 왜 그럴까요?

3. “은행은 한푼도 배상 안해줘도 된다”고 법원이 계속 판결하고 있습니다.

법원은 보이스피싱에 속아 넘어가서 공인인증서 재발급에 필요한 정보를 입력해준 피해자에게 “중대한 과실”이 있다고 보고, “은행은 배상 책임이 없다”고 계속 판결하고 있습니다. 물론, 이런 판결을 내리는 법관 자신은 대단히 똑똑해서 보이스피싱 따위에 속아 넘어가지는 않을 것입니다.

사고거래일 위험성이 “심각”하게 높은 거래라는 점을 뻔히 알면서 이체거래를 그냥해줘버리는 은행의 “잘못”은 법관의 눈에는 안보이는 모양입니다. 매년 6000-8000명의 피해자를 양산하는 낙후된 보안 기술을 15년째 그대로 걸어두고 있는 은행의 도덕적 해이는 “사업적 필요”라면서 후하게 봐주고, 고객의 어리석음은 “중대한 과실”이라면서 엄하게 단죄하는 법관들 덕분에, 공인인증서는 은행에게 완벽한 면죄부로 작용합니다.

그동안 하급심(항소심) 판결에서 은행이 계속 승소해왔고, 마침내 올해 초(2014.1.29)에 대법원마저도 보이스피싱 피해자에게 은행은 “한 푼도 물어주지 않아도 된다”고 결론을 내렸습니다(2013다86489 판결). 은행은 잔치판입니다.

4. 은행/공인인증기관/금융위원회/금융감독원은 공인인증서를 원합니다.

최근 우리은행 산하의 어떤 연구소는 공인인증서가 “안전하고 신뢰성 있는 수단”이라면서, 공인인증서 계속 사용을 주장하는 글을 발표하고 있습니다. “누구에게” 안전한 수단인가요? 은행에게 안전한 수단이라는 점은 분명한데, 고객에게도 안전한 수단인지는…

공인인증기관은 언제나 같은 주장을 반복해왔습니다. “보이스피싱은 공인인증서 잘못이 아니라, 고객 잘못 때문에 생기는 것”이라는 거죠(대법원이 바로 이분들 손을 들어준 것임). 공인인증서가 허술하게 재발급되는 것도, 공인인증서 잘못은 아니고, 그것을 관리하는 사람들 잘못이고, 공인인증서 암호가 40초만에 뚫리는 것도 공인인증서 잘못은 아니고, 짧은 암호(8자리)를 선택한 사람 잘못이라는 것입니다. 유저가 20자리 암호를 선택해 두었으면, 절대로 안전하다는 것이지요. 이분들은 어떤 경우에도 공인인증서가 잘못된 것은 아니라는 입장입니다.

은행은 자꾸 “공인인증서를 대체할 대안이 없다”고 합니다. 그말은 “사고를 내고도 피해고객에게 한푼도 안물어줘도 되는 공인인증서와 같은 대안은 존재하지 않는다”는 뜻입니다.

공인인증서 재발급의 허술함을 이용해서 벌어지는 보이스피싱으로 6년동안 대략 40,000여명이 4,000억원 넘게 피해를 보았지만, 이들이 한푼도 배상 받지 못한다는 사실을 금융위/금감원도 잘 알고 있습니다. 그러나 금융위/금감원은 여전히 은행거래에는 공인인증서를 반드시 사용해야 한다는 입장입니다.

공인인증서 안쓰는 나라에서는 개인고객이 사고거래로 피해를 입으면 은행/카드사가 배상하도록 하고 있습니다. 따라서 사고를 줄이기 위해 은행/카드사들이 보안에 투자를 하는 구조인거죠. 한국은 사고를 줄이기 위해 은행이 보안에 투자하는 것이 아니라, 개인들에게 “조심하라” “당하면 너 손해다”라고 하는 구조입니다.

공인인증서, 누구에게 득이고, 누구에게 손해인가요?

금융위/금감원은 과연 누구 편일까요?
opennet-keechang-kim150x123

Print Friendly, PDF & Email