보안 구멍난 금융사 앱…계정도용 범죄에 '속수무책'

타 사이트서 빼낸 계정정보로 로그인 시도 때 방지책 미비
“간단한 이중인증 수단만 있어도 계정도용 범죄 예방 가능”

# 최근 휴대전화을 잃어버린 A씨는 본인의 금융정보를 확인하고 싶어 친한친구의 휴대전화를 빌려 확인을 시도했다. A씨가 이용하던 은행앱 K와 카드앱 S를 다운받아 로그인을 시도했더니 대부분 별도의 인증절차 없이 아이디와 비밀번호만으로 금융정보를 모두 확인할 수 있었다. A씨는 이러한 사실에 개인정보 유출의 위험성을 실감하게 됐다.

<대한금융신문=문지현 기자> 최근 유명 연예인의 사생활 유출 사건이 발생하면서 업계에 보안 우려가 확산하고 있다.

해당 사건은 기술적인 해킹이 아니라 타 사이트에서 유출된 계정정보를 도용해 발생한 사건으로 업계는 추정하고 있다. 통상 개인이 여러 인터넷·모바일 서비스에 같은 아이디와 비밀번호를 통일해 사용한다는 허점을 범죄자가 노린거다.

금융사 앱도 계정도용 범죄의 대상이 될 수 있다. 금융사 앱에는 카드 사용내역, 자산 내역 등 중요한 정보가 있지만, 이들 대부분은 별도의 이중인증 체계가 없다.

아이디, 비밀번호 등 계정정보를 일원화해서 사용하는 고객이라면 타 사이트에서 정보를 해킹당했을 경우 범죄자가 금융 앱에 접속해 정보를 탈취할 수 있다. 카드 승인내역을 악용해 스토킹 등 범죄에 활용할 수 있으며 유명인의 경우 재산내역이 전부 공개되는 일이 발생할 수 있다.

전업 카드사 7곳 모두 로그인 이중인증 체계 없어

7개 전업 카드사 앱은 아이디와 비밀번호 로그인 한 번으로 타 기기에서 카드 승인내역, 이용한도 등을 확인할 수 있다. — 7개 전업 카드사 앱은 타 기기에서 아이디와 비밀번호 로그인 한 번으로 카드 승인내역, 이용한도 등을 확인할 수 있는 것으로 나타났다.

본지 취재 결과 전업 카드사 7곳(신한·삼성·KB국민·현대·롯데·우리·하나카드) 모바일 앱의 경우 모두 이중인증 체계가 없어 타인의 아이디와 비밀번호만 알면 별도의 인증절차 없이 로그인 후 금융정보를 확인할 수 있었다. 타인의 해당 카드사 승인내역, 이용한도 등이 모두 확인 가능하다.

카드사 앱에선 전자금융거래가 일어나지 않아 은행과 같은 단말기 지정 서비스 등 보안 서비스도 미비했다.

또 타 기기에서 고객 본인 계정정보로 접속이 이뤄졌을 때, 고객 기기에 어떠한 알림 사항도 뜨지 않았다. 고객에게 다른 기기에서 접속했다는 알람 메시지를 띄워주는 곳은 현대카드뿐이었다.

우리·농협銀만 이중인증 필수 탑재…나머지는 선택적

일부 은행 앱은 아이디와 비밀번호 로그인 한 번으로 타 기기에서 계좌이체 내역, 카드 승인내역 등을 확인할 수 있다. — 일부 은행 앱도 타 기기에서 아이디와 비밀번호 로그인 한 번으로 계좌이체, 카드 이용내역 등을 확인할 수 있는 것으로 나타났다.

은행권의 경우 우리은행, 농협은행을 제외한 나머지 은행 모두 고객이 전자금융사기 예방 서비스를 가입했는지 여부에 따라 보안도가 달라졌다.

주요 국내은행인 신한·KB국민·우리·하나·NH농협의 금융 앱의 경우 단말기 지정 서비스 등 전자금융사기예방 서비스를 제공하고 있지만 고객이 선택적으로 가입해야 한다. 가입하면 모바일 앱을 사용할 기기를 미리 지정해 부정 접속과 거래를 막을 수 있다.

해당 서비스 가입 여부와 상관없이 이중인증 시스템을 도입한 곳은 우리은행과 농협은행이다. 우리은행은 아이디와 비밀번호로 로그인 시 계좌 비밀번호와 생년월일을 추가로 입력하게 했다. 농협은행도 아이디와 비밀번호 확인 이후 기기인증 혹은 별도의 인증서 로그인이 필요했다.

우리은행과 농협은행 외에 다른 시중은행 앱은 전자금융사기예방 서비스에 가입하지 않은 고객의 경우 아이디와 비밀번호만으로 타 기기에서 로그인이 가능했고, 계좌 상세정보를 확인할 수 있었다. 또 신한은행과 국민은행, 하나은행 앱은 카드사와 마찬가지로 타 기기 로그인 알림이 뜨지 않았다.

"간단한 이중인증 수단 도입해 부정접속 막아야"

정보보안 전문가들은 고객 스스로 비밀번호를 통일해 사용하지 않고 자주 변경하는 등 자발적인 노력이 필요하다고 말하면서도, 서비스 제공자가 먼저 이중인증 시스템을 갖추는 것 또한 중요하다고 입을 모은다.

금융권의 경우 고객 스스로 금융사 계정정보 관리의 중요성을 자각하기 어렵다는 이유에서다. 최근 대부분의 금융사는 모바일 앱에 얼굴인식, 간편 비밀번호 등 간편인증 서비스를 제공하고 있어 아이디와 비밀번호 정보를 로그인 때마다 활용하지 않는다.

한 시중은행 정보보안 관계자는 “계정 정보를 일원화해서 쓰는 고객의 경우 범죄 대상이 될 수 있다. 계좌 비밀번호나 문자인증 등 간단한 2차 인증수단만 탑재해도 계정정보 도용과 같은 범죄를 충분히 막을 수 있다”라며 “카카오톡처럼 타 기기에서 접속 시 접속내역을 알려주는 서비스를 보완할 필요가 있어 보인다”고 말했다.

다른 정보보안 관계자는 “금융사 모바일 앱은 간편 로그인을 지원해 로그인 때마다 계정정보가 필요 없기 때문에, 타 사이트와 다른 복잡한 조합의 비밀번호로 변경해둬야 유명 연예인의 정보 유출과 같은 사고를 막을 수 있다”라며 “지점에서 고객에게 모바일뱅킹 비밀번호를 자주 변경하라고 안내를 강화하는 등의 방안을 고려하겠다”고 말했다.