AIA생명, 공인인증서 하나로 약관대출에 해약까지···제대로 '털렸다'

이글은 위키프레스 2012-08-17일자 기사 'AIA생명, 공인인증서 하나로 약관대출에 해약까지···제대로 '털렸다''를 퍼왔습니다.

AIA생명 "공인인증서 해킹은 관리못한 쪽 책임···불만있으면 소송해라"정부, 온라인 금융거래 보안관련 기본방침조차 마련하지 않아···보험사 본인인증 특히 허술

금감원 "본인인증 시스템은 개별 기업소관" 나몰라라

"이쯤되면 그냥 돈 다 가져가라는 것 아닌가요?" 

피해자 김 모씨(27·여)는 분개했다. 지난 8일 김 씨는 알 수 없는 경위로 공인인증서를 해킹 당했다. 범인들(다수로 추정)은 빼돌린 공인인증서로 각 보험사 홈페이지에 접속해 피해자가 AIA생명에 보험을 든 사실을 발견했다. 그리고 약관대출과 생명보험해약, 연금보험인출로 2,200여만 원을 빼갔다. 김 씨는 흥국화재, 교보생명, 금호생명(현KDB생명)에도 가입한 보험이 있었지만 오직 AIA생명보험만 털렸다. 다른 보험사는 온라인 금융거래와 관련한 강력한 보안시스템이 구축돼 있어 범인들이 손대지 못했던 것이다. 하지만 AIA 생명은 공인인증서만 있으면 홈페이지를 통해 모든 금융거래가 가능하다.

김 씨는 "요즘은 하다못해 택배하나 보내도 당사자와 연락이 오간다"면서 "진짜 문제는 공인인증서 해킹이 아니라, 해킹을 당했을 때를 대비한 다양한 안전장치"라며 목소리를 높였다. 

범인은 1시간 사이 김씨가 가입한 AIA 생명보험에서 약관대출과 해약을 해 모두 2,200여만 원을 가로챘다. 특히 ATM기의 1회출금한도를 피하기 위해 299만원 씩 찾아가는 치밀함도 보였다.

김 씨가 공인인증서 해킹 사실을 처음 알게 된 건 지난 8일 마트에서였다. 장을 본 후 김 씨는 늘 쓰던 체크카드로 계산하려 했으나 통장잔고 부족으로 결제할 수 없었다. 이상하게 여긴 그는 해당 은행 영업소를 찾아 통장내역을 뽑아 살폈다. 김 씨는 크게 놀랐다. 통장에 약관대출, 해약, 인출이라는 명목으로 총 2,280여만 원이 입금된 뒤 ATM 1회 출금 한도에 걸리지 않게 299만 원씩 8번, 잔고까지 모두 빠져나간 것이었다. 바로 전날 저녁에 발생한 거래였다. 돈이 입금 된 곳은 AIA생명.

당황한 김 씨는 AIA 생명 고객관리부서에 연락해 상황을 설명하고 자초지종을 물었다. 보험사 측은 "홈페이지를 통해 약관대출을 했고, 보험은 해약되어 미리 등록해둔 신한은행 계좌에 자동이체 됐다"고 설명했다. 이에 김 씨가 "어떻게 대출에 해약까지 했는데 왜 전화 한 통 없었느냐"고 따져묻자 사측은 "문자 메시지로 통보했는데 본인이 수신하지 못한 것"이라는 변명을 내놓았다. 

김 씨는 "무엇보다 허술한 보안체계에 문제가 있다"며 책임을 물었으나 담당자는 "관리를 못한 쪽의 책임"이라며 책임을 미루었다. 김씨가 다른 보험사의 강화된 보안시스템을 예로들자 "이러한 피해는 처음있는 일이고 구제사례도 없다"며 "소송을 하든지 마음대로 하라"고 잘라 말했다. 

이에 대해 사건을 담당한 수원경찰서 사이버 수사팀의 김현우 수사관은 이 사건을 '상당히 특이한 경우'라 규정하면서도 보험사의 허술한 보안체계에 대해 이해할 수 없다는 입장을 내비췄다. 

김 수사관은 본지와의 전화인터뷰에서 "범인이 공인인증서의 비밀번호 뿐 아니라, 자동이체된 신한은행 계좌 비밀번호까지 모두 해킹했다"면서 "보이스 피싱이 아니라 해킹으로 빼간 건 드문 일이라 자작극을 의심할 정도였다"고 말했다.

하지만 수사가 진행되면서 범행에 사용된 IP에 이어 4명의 명의로 된 농협 대포통장을 확보하며 자작극의 가능성은 사라졌다. 수사의 마지막은 어떻게 '해킹'으로 공인인증서와 은행 비밀번호를 빼갔는지 밝히는 것이다. 김 수사관은 "이것이 드러나면 신종 해킹 수법이 될 것"이라 전했다.

동시에 김 수사관은 AIA생명 홈페이지 보안에 대해서도 언급했다. 그는 "온라인 금융거래시 자체 보안카드 등록이나 휴대폰 인증 정도의 시스템만 갖췄어도, 아니 전화 한 통만 해줬어도 이렇게 쉽게 털리진 않았을 것"이라고 지적했다. 

이에 본지가 20개의 생보사를 대상으로 공인인증서 이외 보안장치 마련여부를 조사한 결과 AIA처럼 무방비 상태인 보험사가 속속 발견됐다. 

문제의 보험사는 AIA, 라이나, 동부, ACE, PCA, 우리아비바 등 모두 여섯 곳. 우리아비바생명은 은행권 보험사임에도 1천만 원이라는 1일 대출한도만 두었을 뿐 다른 보안장치는 없었다. 

반면 KB, 농협, 메트라이프 등은 공인인증서와 함께 본인명의의 핸드폰 인증을 필수적으로 거쳐야 홈페이지를 통한 대출 및 해약업무를 볼 수 있었다. 

삼성, 대한, 흥국, 교보, ING, 미래에셋, 알리안츠, 푸르덴셜, KDB, 현대라이프, 하나HSBC 등은 보험사 자체 보안카드를 필수적으로 만들어야 온라인 금융거래가 가능했다. 

안전장치가 잘 마련되어 있는 보험사는 이 뿐만 아니라 1일 출금 한도를 지정한다든지, 해약은 반드시 전화나 내방을 통해서만 할 수 있게 만들어 놓는 등 이중 삼중으로 금융사고방지책을 마련해 두었다. 

하지만 문제의 6개 보험사는 보안장치가 무엇이냐는 기자의 질문에 모두 "공인인증서 자체가 안전장치"라고 답했다. 행여나 문제가 생겨도 계약시 등록된 은행계좌로 자동 입금 되므로 은행 비밀번호를 모르면 돈을 빼갈 방법이다는 입장이다.

과연 그럴까. 보험사의 역할을 조금만 고려해보면 이들은 자신의 책임을 고객과 은행에 떠넘기고 있음을 알 수 있다. 보험계약자가 보험사와 계약을 하고 보험료를 납입하는 곳은 은행이 아니라 '보험사'다. 즉 고객의 자금을 관리할 첫 번째 책임은 보험사에게 있는 것이다. 

개별 보험사마다 보안 정도가 이렇게 천차만별인 이유는 무엇일까. 

답을 얻기 위해 금융감독위원회에 연락을 취했지만 서로 자기 부서 담당이 아니라며 책임을 돌렸다. 실제로 정부는 안전한 온라인 금융거래에 대해 특별한 방침을 마련해두지 않고 있었다. 

어렵사리 연결이 된 금감원의 한 관계자는 이와 관련해 "공인인증서는 국가 담보로 신분을 증명하는 도구인데, 이를 보완하는 안전장치가 전혀없든, 심지어 생체인증 수준으로 강화했든 개별 기업이 선택하기 나름"이라는 황당한 답변을 내놓았다. 

이에 대해 보험 소비자협회 김미숙 대표는 "해킹기술이 날로 발전하며 은행들은 경쟁적으로 보안장치를 구축하는데 보험사는 안전불감증"이라며 "이러한 기업을 감독하고 규제하기위해 금감원이 있는 것 아닌가"라고 꼬집었다. 

또 "관련 당국은 이러한 문제를 이미 인식하고 예전부터 안전장치 강제규정지침을 마련한다는 입장을 밝혔지만 아직까지 아무런 결과가 없다"며 "하루빨리 대안을 마련해야 할 것"이라고 지적했다. 

박성제 (park@wikipress.co.kr) 기자 

AIA생명, 공인인증서 하나로 약관대출에 해약까지···제대로 '털렸다'

이글은 위키프레스 2012-08-17일자 기사 'AIA생명, 공인인증서 하나로 약관대출에 해약까지···제대로 '털렸다''를 퍼왔습니다.

AIA생명 "공인인증서 해킹은 관리못한 쪽 책임···불만있으면 소송해라"정부, 온라인 금융거래 보안관련 기본방침조차 마련하지 않아···보험사 본인인증 특히 허술

금감원 "본인인증 시스템은 개별 기업소관" 나몰라라

"이쯤되면 그냥 돈 다 가져가라는 것 아닌가요?" 

피해자 김 모씨(27·여)는 분개했다. 지난 8일 김 씨는 알 수 없는 경위로 공인인증서를 해킹 당했다. 범인들(다수로 추정)은 빼돌린 공인인증서로 각 보험사 홈페이지에 접속해 피해자가 AIA생명에 보험을 든 사실을 발견했다. 그리고 약관대출과 생명보험해약, 연금보험인출로 2,200여만 원을 빼갔다. 김 씨는 흥국화재, 교보생명, 금호생명(현KDB생명)에도 가입한 보험이 있었지만 오직 AIA생명보험만 털렸다. 다른 보험사는 온라인 금융거래와 관련한 강력한 보안시스템이 구축돼 있어 범인들이 손대지 못했던 것이다. 하지만 AIA 생명은 공인인증서만 있으면 홈페이지를 통해 모든 금융거래가 가능하다.

김 씨는 "요즘은 하다못해 택배하나 보내도 당사자와 연락이 오간다"면서 "진짜 문제는 공인인증서 해킹이 아니라, 해킹을 당했을 때를 대비한 다양한 안전장치"라며 목소리를 높였다. 

범인은 1시간 사이 김씨가 가입한 AIA 생명보험에서 약관대출과 해약을 해 모두 2,200여만 원을 가로챘다. 특히 ATM기의 1회출금한도를 피하기 위해 299만원 씩 찾아가는 치밀함도 보였다.

김 씨가 공인인증서 해킹 사실을 처음 알게 된 건 지난 8일 마트에서였다. 장을 본 후 김 씨는 늘 쓰던 체크카드로 계산하려 했으나 통장잔고 부족으로 결제할 수 없었다. 이상하게 여긴 그는 해당 은행 영업소를 찾아 통장내역을 뽑아 살폈다. 김 씨는 크게 놀랐다. 통장에 약관대출, 해약, 인출이라는 명목으로 총 2,280여만 원이 입금된 뒤 ATM 1회 출금 한도에 걸리지 않게 299만 원씩 8번, 잔고까지 모두 빠져나간 것이었다. 바로 전날 저녁에 발생한 거래였다. 돈이 입금 된 곳은 AIA생명.

당황한 김 씨는 AIA 생명 고객관리부서에 연락해 상황을 설명하고 자초지종을 물었다. 보험사 측은 "홈페이지를 통해 약관대출을 했고, 보험은 해약되어 미리 등록해둔 신한은행 계좌에 자동이체 됐다"고 설명했다. 이에 김 씨가 "어떻게 대출에 해약까지 했는데 왜 전화 한 통 없었느냐"고 따져묻자 사측은 "문자 메시지로 통보했는데 본인이 수신하지 못한 것"이라는 변명을 내놓았다. 

김 씨는 "무엇보다 허술한 보안체계에 문제가 있다"며 책임을 물었으나 담당자는 "관리를 못한 쪽의 책임"이라며 책임을 미루었다. 김씨가 다른 보험사의 강화된 보안시스템을 예로들자 "이러한 피해는 처음있는 일이고 구제사례도 없다"며 "소송을 하든지 마음대로 하라"고 잘라 말했다. 

이에 대해 사건을 담당한 수원경찰서 사이버 수사팀의 김현우 수사관은 이 사건을 '상당히 특이한 경우'라 규정하면서도 보험사의 허술한 보안체계에 대해 이해할 수 없다는 입장을 내비췄다. 

김 수사관은 본지와의 전화인터뷰에서 "범인이 공인인증서의 비밀번호 뿐 아니라, 자동이체된 신한은행 계좌 비밀번호까지 모두 해킹했다"면서 "보이스 피싱이 아니라 해킹으로 빼간 건 드문 일이라 자작극을 의심할 정도였다"고 말했다.

하지만 수사가 진행되면서 범행에 사용된 IP에 이어 4명의 명의로 된 농협 대포통장을 확보하며 자작극의 가능성은 사라졌다. 수사의 마지막은 어떻게 '해킹'으로 공인인증서와 은행 비밀번호를 빼갔는지 밝히는 것이다. 김 수사관은 "이것이 드러나면 신종 해킹 수법이 될 것"이라 전했다.

동시에 김 수사관은 AIA생명 홈페이지 보안에 대해서도 언급했다. 그는 "온라인 금융거래시 자체 보안카드 등록이나 휴대폰 인증 정도의 시스템만 갖췄어도, 아니 전화 한 통만 해줬어도 이렇게 쉽게 털리진 않았을 것"이라고 지적했다. 

이에 본지가 20개의 생보사를 대상으로 공인인증서 이외 보안장치 마련여부를 조사한 결과 AIA처럼 무방비 상태인 보험사가 속속 발견됐다. 

문제의 보험사는 AIA, 라이나, 동부, ACE, PCA, 우리아비바 등 모두 여섯 곳. 우리아비바생명은 은행권 보험사임에도 1천만 원이라는 1일 대출한도만 두었을 뿐 다른 보안장치는 없었다. 

반면 KB, 농협, 메트라이프 등은 공인인증서와 함께 본인명의의 핸드폰 인증을 필수적으로 거쳐야 홈페이지를 통한 대출 및 해약업무를 볼 수 있었다. 

삼성, 대한, 흥국, 교보, ING, 미래에셋, 알리안츠, 푸르덴셜, KDB, 현대라이프, 하나HSBC 등은 보험사 자체 보안카드를 필수적으로 만들어야 온라인 금융거래가 가능했다. 

안전장치가 잘 마련되어 있는 보험사는 이 뿐만 아니라 1일 출금 한도를 지정한다든지, 해약은 반드시 전화나 내방을 통해서만 할 수 있게 만들어 놓는 등 이중 삼중으로 금융사고방지책을 마련해 두었다. 

하지만 문제의 6개 보험사는 보안장치가 무엇이냐는 기자의 질문에 모두 "공인인증서 자체가 안전장치"라고 답했다. 행여나 문제가 생겨도 계약시 등록된 은행계좌로 자동 입금 되므로 은행 비밀번호를 모르면 돈을 빼갈 방법이다는 입장이다.

과연 그럴까. 보험사의 역할을 조금만 고려해보면 이들은 자신의 책임을 고객과 은행에 떠넘기고 있음을 알 수 있다. 보험계약자가 보험사와 계약을 하고 보험료를 납입하는 곳은 은행이 아니라 '보험사'다. 즉 고객의 자금을 관리할 첫 번째 책임은 보험사에게 있는 것이다. 

개별 보험사마다 보안 정도가 이렇게 천차만별인 이유는 무엇일까. 

답을 얻기 위해 금융감독위원회에 연락을 취했지만 서로 자기 부서 담당이 아니라며 책임을 돌렸다. 실제로 정부는 안전한 온라인 금융거래에 대해 특별한 방침을 마련해두지 않고 있었다. 

어렵사리 연결이 된 금감원의 한 관계자는 이와 관련해 "공인인증서는 국가 담보로 신분을 증명하는 도구인데, 이를 보완하는 안전장치가 전혀없든, 심지어 생체인증 수준으로 강화했든 개별 기업이 선택하기 나름"이라는 황당한 답변을 내놓았다. 

이에 대해 보험 소비자협회 김미숙 대표는 "해킹기술이 날로 발전하며 은행들은 경쟁적으로 보안장치를 구축하는데 보험사는 안전불감증"이라며 "이러한 기업을 감독하고 규제하기위해 금감원이 있는 것 아닌가"라고 꼬집었다. 

또 "관련 당국은 이러한 문제를 이미 인식하고 예전부터 안전장치 강제규정지침을 마련한다는 입장을 밝혔지만 아직까지 아무런 결과가 없다"며 "하루빨리 대안을 마련해야 할 것"이라고 지적했다. 

박성제 (park@wikipress.co.kr) 기자 

아프니까 장애인이다? 사회가 손상을 장애로 만든다

이글은 미디어오늘 2012-08-05일자 기사 '아프니까 장애인이다? 사회가 손상을 장애로 만든다'를 퍼왔습니다.

[리뷰] 당신은 장애를 아는가 "자본주의 시스템에서 배제된 일할 수 없는 몸"

대다수 선진국의 ‘장애’ 규정에 준거가 되는 세계보건기구(World Health Organization)의 국제장애분류기준에 비추어 볼 때 장애에 대한 한국의 법적 정의는 한참 뒤떨어져 있다. 세계보건기구는 장애를 의학적이거나 생물학적 기능장애로 보지 않고, 장애의 사회적 모습을 고려한다(ICF takes into account the social aspects of disability and does not see disability only as a ‘medical’ or ‘biological’ dysfunction.). 세계보건기구는 1997년부터 여러 차례 장애에 대한 정의를 수정하면서 상황적(contextual)·환경적(environmental) 요인을 추가했다.

그러나 는 보건기구의 정의 또한 “주류적 정의”라고 평가하며 “‘의료 모델’에 기초해 있다”고 지적한다. 현재 한국의 장애인복지법은 장애인을 “신체적·정신적 장애로 오랫동안 일상생활이나 사회생활에서 상당한 제약을 받는 자”로 본다. 보건기구의 정의에도 미치지 못할뿐더러 ‘상당한 제약’의 근거로 개인의 ‘신체적·정신적 장애’를 든다.

책을 쓴 김도현은 “‘손상→기능제약→사회적 불리’라는 3단계 도식에서 장애의 본질과 원인은 결국 개인이 몸에 지니는 손상에 있으며, 따라서 장애 문제 역시 이러한 손상을 잘 치료하거나, 치료하다가 안 되면 재활을 통해 소위 잔존 능력을 강화시켜 해결하고자 한다”며 장애에 대한 주류적 정의와 인식에 근본적인 한계가 있음을 밝힌다.

그는 한국 사회에서 장애인에 대한 명칭이 어떻게 변화해왔는지 추적하면서 정치적 함의를 찾는다. 그에 따르면 1970년대까지 한국에서는 불구자나 폐질자라는 용어가 쓰였다. 폐질은 고질(고칠 수 없는 병)을 뜻하며 고려 때부터 장애인을 지칭하는 용어로 문헌에 등장한다. “이러한 용어법은 장애를 질병과 구분하지 않았다는 점에서 역시 의료적 관점에 굳게 기초해 있지만, 그 의미상 더 이상 치료나 재활을 도모하지 않았다는 점에서 근대의 장애 개념보다 나은 것일지도 모르겠다”고 덧붙인다.

1981년 심신장애자복지법이 제정되고 장애라는 표현이 공식화된다. 이 법은 1990년에 장애인복지법으로 개정되고 장애인이라는 용어가 등장한다. 김도현은 이를 영어 disability를 번역한 일본어 ‘장해자’를 참고해 옮긴 것이라고 지적한다.

정치권을 비롯해 일부 장애인단체에서는 여전히 ‘장애우’라는 말을 쓴다. 이에 대해 김도현은 “장애인이 자기 자신을 주체적으로 나타내는 1인칭의 표현일 수는 없다”고 지적한다. 그의 말대로 “나는 장애우입니다”라는 표현은 성립할 수 없다. 이는 “비장애인과의 관계에서 불평등한 권력 관계가 반영돼 있다”고 할 수 있다.

몇 가지 사례를 들어보자. 김도현은 미국 뉴잉글랜드 지방의 마서즈 비니어드에서 농인(소리를 듣지 못하는 사람)은 장애인이 아니라는 얘기를 한다. 왜냐면 섬의 모든 사람들이 영어와 수화를 공용어로 사용하는 바이링귀스트(bilinguist)이기 때문이다.

사회가 장애를 만드는 사례를 찾는 것은 어렵지 않다. 10대 중 1대만 저상버스인 한국의 대중교통은 나머지 9대를 이용하는 사람들 중 일부에게 ‘장애’를 느끼게 한다. 휠체어 이용 시민은 저상버스에서 장애를 느끼지 않는다. 2011년 기준 전국의 저상버스 도입 비율은 12%고, 서울의 경우 24%다.

텔레비전 시청도 마찬가지. 수화 비율이 10%에도 미치지 못하기 때문에 농인은 텔레비전 앞에서 장애인이 되고, 드라마 생방송에 화면해설이 거의 나오지 않기 때문에 맹인은 장애인이 된다.

이 같은 사례는 특정한 ‘손상’이 바로 ‘장애’가 되는 경우가 아니다. 사회가 장애를 만드는 경우다. 마치 사고로 깁스를 한 사람에게 버스와 지하철을 타고 내리는 데 힘든 것처럼 장애는 손상을 차별하는 사회가 원인이라는 시각이다.

김도현은 ‘장애’가 자본주의의 자본-임금노동 관계에서 생겨난 개념이라며 “일을 할 수 있는 몸(the able bodied)를 선별하기 위해 일을 할 수 없는 몸(the disabled bodies)를 명확히 규정하고자 했다”고 지적한다. 테일러·포드주의 시스템 등 엄격한 노동규율과 표준화된 동작을 요구하는 시스템은 장애인을 노동에서 배제했다.

이를 단적으로 보여주는 예는 ‘최저임금법’이다. 한국에서 최저임금법 적용의 예외 대상은 유일하게 ‘정신장애나 신체장애로 근로능력이 현저히 낮은 자’다. 장애인을 노동에서 배제하는 이러한 시각은 북유럽 복지국가에서도 찾아볼 수 있다. 김도현은 “스웨덴의 경우에도 장애인은 ‘신체적 결손, 정신적 결손, 사회적 장애(알코올·약물중독, 언어장애가 있는 이민자)로 인해 취업이나 직장유지가 곤란한 자’로 정의하고 있다”고 소개했다.

▲ 당신은 장애를 아는가

김도현은 장애인을 비정상인으로 보는 비뚤어진 시각이 우생학의 유령을 되살아나게 했다고 지적한다. 그는 황우석 사태를 예로 들며 ‘척수 장애인을 번쩍 일어나 걷게 만들겠다’는 황우석의 발언은 장애인을 ‘제거되어야 할 대상’으로 보고 있다고 덧붙인다. 현재도 모자보건법은 ‘우생학적 또는 유전학적 정신장애나 신체질환’을 근거로 장애여성에 대한 임신중절 수술을 합법적·예외적으로 허용하고 있다.

김도현은 장애인운동의 근본적 과제로 통합이 아닌 변혁을 든다. 그는 “우리의 신체성 자체가 자본주의를 부정하고 있다”는 1960년대 일본의 급진적 장애인 운동의 구호를 소개하면서 진보적 장애운동이 자본주의 사회와 양립할 수 없다고 주장한다.

그는 “단순히 배제만이 문제라면 장애인들을 현재의 사회에 통합시키면 된다”면서 “그러나 기존의 사회 자체가 장애인의 실존 자체와 충돌한다면 그러한 통합은 새로운 체제, 새로운 문명으로의 전환을 전제로 하지 않고는 불가능한 것”이라고 비판한다.

당신은 장애를 아는가/ 김도현 지음/ 메이데이/ 2007년 4월

박장준 기자 | weshe@mediatoday.co.kr