AIA생명, 공인인증서 하나로 약관대출에 해약까지···제대로 '털렸다'

이글은 위키프레스 2012-08-17일자 기사 'AIA생명, 공인인증서 하나로 약관대출에 해약까지···제대로 '털렸다''를 퍼왔습니다.

AIA생명 "공인인증서 해킹은 관리못한 쪽 책임···불만있으면 소송해라"정부, 온라인 금융거래 보안관련 기본방침조차 마련하지 않아···보험사 본인인증 특히 허술

금감원 "본인인증 시스템은 개별 기업소관" 나몰라라

"이쯤되면 그냥 돈 다 가져가라는 것 아닌가요?" 

피해자 김 모씨(27·여)는 분개했다. 지난 8일 김 씨는 알 수 없는 경위로 공인인증서를 해킹 당했다. 범인들(다수로 추정)은 빼돌린 공인인증서로 각 보험사 홈페이지에 접속해 피해자가 AIA생명에 보험을 든 사실을 발견했다. 그리고 약관대출과 생명보험해약, 연금보험인출로 2,200여만 원을 빼갔다. 김 씨는 흥국화재, 교보생명, 금호생명(현KDB생명)에도 가입한 보험이 있었지만 오직 AIA생명보험만 털렸다. 다른 보험사는 온라인 금융거래와 관련한 강력한 보안시스템이 구축돼 있어 범인들이 손대지 못했던 것이다. 하지만 AIA 생명은 공인인증서만 있으면 홈페이지를 통해 모든 금융거래가 가능하다.

김 씨는 "요즘은 하다못해 택배하나 보내도 당사자와 연락이 오간다"면서 "진짜 문제는 공인인증서 해킹이 아니라, 해킹을 당했을 때를 대비한 다양한 안전장치"라며 목소리를 높였다. 

범인은 1시간 사이 김씨가 가입한 AIA 생명보험에서 약관대출과 해약을 해 모두 2,200여만 원을 가로챘다. 특히 ATM기의 1회출금한도를 피하기 위해 299만원 씩 찾아가는 치밀함도 보였다.

김 씨가 공인인증서 해킹 사실을 처음 알게 된 건 지난 8일 마트에서였다. 장을 본 후 김 씨는 늘 쓰던 체크카드로 계산하려 했으나 통장잔고 부족으로 결제할 수 없었다. 이상하게 여긴 그는 해당 은행 영업소를 찾아 통장내역을 뽑아 살폈다. 김 씨는 크게 놀랐다. 통장에 약관대출, 해약, 인출이라는 명목으로 총 2,280여만 원이 입금된 뒤 ATM 1회 출금 한도에 걸리지 않게 299만 원씩 8번, 잔고까지 모두 빠져나간 것이었다. 바로 전날 저녁에 발생한 거래였다. 돈이 입금 된 곳은 AIA생명.

당황한 김 씨는 AIA 생명 고객관리부서에 연락해 상황을 설명하고 자초지종을 물었다. 보험사 측은 "홈페이지를 통해 약관대출을 했고, 보험은 해약되어 미리 등록해둔 신한은행 계좌에 자동이체 됐다"고 설명했다. 이에 김 씨가 "어떻게 대출에 해약까지 했는데 왜 전화 한 통 없었느냐"고 따져묻자 사측은 "문자 메시지로 통보했는데 본인이 수신하지 못한 것"이라는 변명을 내놓았다. 

김 씨는 "무엇보다 허술한 보안체계에 문제가 있다"며 책임을 물었으나 담당자는 "관리를 못한 쪽의 책임"이라며 책임을 미루었다. 김씨가 다른 보험사의 강화된 보안시스템을 예로들자 "이러한 피해는 처음있는 일이고 구제사례도 없다"며 "소송을 하든지 마음대로 하라"고 잘라 말했다. 

이에 대해 사건을 담당한 수원경찰서 사이버 수사팀의 김현우 수사관은 이 사건을 '상당히 특이한 경우'라 규정하면서도 보험사의 허술한 보안체계에 대해 이해할 수 없다는 입장을 내비췄다. 

김 수사관은 본지와의 전화인터뷰에서 "범인이 공인인증서의 비밀번호 뿐 아니라, 자동이체된 신한은행 계좌 비밀번호까지 모두 해킹했다"면서 "보이스 피싱이 아니라 해킹으로 빼간 건 드문 일이라 자작극을 의심할 정도였다"고 말했다.

하지만 수사가 진행되면서 범행에 사용된 IP에 이어 4명의 명의로 된 농협 대포통장을 확보하며 자작극의 가능성은 사라졌다. 수사의 마지막은 어떻게 '해킹'으로 공인인증서와 은행 비밀번호를 빼갔는지 밝히는 것이다. 김 수사관은 "이것이 드러나면 신종 해킹 수법이 될 것"이라 전했다.

동시에 김 수사관은 AIA생명 홈페이지 보안에 대해서도 언급했다. 그는 "온라인 금융거래시 자체 보안카드 등록이나 휴대폰 인증 정도의 시스템만 갖췄어도, 아니 전화 한 통만 해줬어도 이렇게 쉽게 털리진 않았을 것"이라고 지적했다. 

이에 본지가 20개의 생보사를 대상으로 공인인증서 이외 보안장치 마련여부를 조사한 결과 AIA처럼 무방비 상태인 보험사가 속속 발견됐다. 

문제의 보험사는 AIA, 라이나, 동부, ACE, PCA, 우리아비바 등 모두 여섯 곳. 우리아비바생명은 은행권 보험사임에도 1천만 원이라는 1일 대출한도만 두었을 뿐 다른 보안장치는 없었다. 

반면 KB, 농협, 메트라이프 등은 공인인증서와 함께 본인명의의 핸드폰 인증을 필수적으로 거쳐야 홈페이지를 통한 대출 및 해약업무를 볼 수 있었다. 

삼성, 대한, 흥국, 교보, ING, 미래에셋, 알리안츠, 푸르덴셜, KDB, 현대라이프, 하나HSBC 등은 보험사 자체 보안카드를 필수적으로 만들어야 온라인 금융거래가 가능했다. 

안전장치가 잘 마련되어 있는 보험사는 이 뿐만 아니라 1일 출금 한도를 지정한다든지, 해약은 반드시 전화나 내방을 통해서만 할 수 있게 만들어 놓는 등 이중 삼중으로 금융사고방지책을 마련해 두었다. 

하지만 문제의 6개 보험사는 보안장치가 무엇이냐는 기자의 질문에 모두 "공인인증서 자체가 안전장치"라고 답했다. 행여나 문제가 생겨도 계약시 등록된 은행계좌로 자동 입금 되므로 은행 비밀번호를 모르면 돈을 빼갈 방법이다는 입장이다.

과연 그럴까. 보험사의 역할을 조금만 고려해보면 이들은 자신의 책임을 고객과 은행에 떠넘기고 있음을 알 수 있다. 보험계약자가 보험사와 계약을 하고 보험료를 납입하는 곳은 은행이 아니라 '보험사'다. 즉 고객의 자금을 관리할 첫 번째 책임은 보험사에게 있는 것이다. 

개별 보험사마다 보안 정도가 이렇게 천차만별인 이유는 무엇일까. 

답을 얻기 위해 금융감독위원회에 연락을 취했지만 서로 자기 부서 담당이 아니라며 책임을 돌렸다. 실제로 정부는 안전한 온라인 금융거래에 대해 특별한 방침을 마련해두지 않고 있었다. 

어렵사리 연결이 된 금감원의 한 관계자는 이와 관련해 "공인인증서는 국가 담보로 신분을 증명하는 도구인데, 이를 보완하는 안전장치가 전혀없든, 심지어 생체인증 수준으로 강화했든 개별 기업이 선택하기 나름"이라는 황당한 답변을 내놓았다. 

이에 대해 보험 소비자협회 김미숙 대표는 "해킹기술이 날로 발전하며 은행들은 경쟁적으로 보안장치를 구축하는데 보험사는 안전불감증"이라며 "이러한 기업을 감독하고 규제하기위해 금감원이 있는 것 아닌가"라고 꼬집었다. 

또 "관련 당국은 이러한 문제를 이미 인식하고 예전부터 안전장치 강제규정지침을 마련한다는 입장을 밝혔지만 아직까지 아무런 결과가 없다"며 "하루빨리 대안을 마련해야 할 것"이라고 지적했다. 

박성제 (park@wikipress.co.kr) 기자