"금융거래, 휴대폰 인증 뿐 아니라 이중거래 구조"
"휴대폰 인증만 하는 소규모 금융사가 문제 소지"
금융보안원, 최근 회원 금융사에 대응방안 전파
[서울=뉴스핌] 김연순 기자 = "개인적으로 (SK텔레콤 해킹에 따른) 금융권에서 자산 탈취 가능성은 사실 거의 없다고 생각합니다. FDS(이상거래탐지시스템)가 잘 가동되면 됩니다"
SK텔레콤이 해킹에 의한 악성코드 공격으로 가입자 고유식별번호 등 유심(USIM) 관련 정보가 유출되면서 금융권 2차 피해 발생 우려가 제기되고 있다. 이와 관련해 국내 유일의 금융보안 전문기관인 금융보안원의 박상원 원장은 29일 뉴스핌과의 전화 인터뷰에서 FDS만 잘 작동되면 은행계좌 등을 통한 금융 자산 탈취 가능성은 거의 불가능하다고 전망했다. 대부분 금융회사들과 금융거래를 하기 위해서는 휴대폰 인증 뿐만 아니라 이중 인증으로 돼 있는 구조이기 때문이라는 설명이다.
박 원장은 "금융회사는 대부분 금융거래를 위한 인증이 휴대폰 인증 뿐만 아니라 이중 인증으로 돼 있다"며 "휴대폰이 복제된다고 해도 공인인증서 등 또 하나의 인증에서 걸리기 때문에 (유심 정보 유출로) 금융권을 통한 2차 피해로 이어질 가능성은 없을 것이다. 금융회사는 FDS 시스템이 잘 (가동)해야 한다"고 말했다. 그는 "휴대폰 기기가 바뀌면 금융회사도 (고객) 기기가 변경된 것에 대해 알 수 있다"면서 "이상징후가 감지될 경우 고객에게 인증이 맞는지 직접 확인을 하는 시스템이 작동돼야 한다"고 강조했다.
 |
| [서울=뉴스핌] 김연순 기자 = 박상원 금융보안원장 [사진=금융보안원 홈페이지] 2025.04.29 y2kid@newspim.com |
이번 SKT 유심 정보 유출 사태 이후 최근 금융회사들도 부정 접속 등을 확인하는 FDS를 강화하고 있다. 신한은행은 FDS 인증 방식과 거래 모니터링을 강화했다. 고객이 다른 휴대기기를 사용해 전자금융을 이용할 때 이상 유무 검증 방식을 ARS(자동응답시스템)에서 안면 인증 방식으로 강화했다.
KB금융은 SKT 얼굴인증 추가 등 전 계열사에 본인인증을 강화하도록 했다. 단말기 교체를 통한 부정거래 시도 등 이상거래 발생 시 FDS을 통해 전자금융 서비스를 차단하고 있다. 우리은행은 다른 휴대전화에서 금융거래를 하려면 안면인식 후 인증서를 재발급받도록 해왔다. 삼성카드, KB국민카드, 롯데카드, 삼성생명, 한화생명 등은 SK텔레콤 고객을 대상으로 주의를 당부하며 단문메시지서비스(SMS) 활용 인증 방식 대신 앱 기반 인증으로 변경할 것 등을 안내했다.
다만 박 원장은 "일부 소규모 금융회사의 경우 휴대폰 인증으로만 끝나는 데가 있어 문제될 소지가 있다"고 했다. 대형 금융회사들은 대부분 두가지 이상 인증을 실시하고 있지만 규모가 작은 금융회사들은 휴대폰 인증만 하는 경우들이 있기 때문이다.
앞서 금융보안원은 최근 SKT 유심정보 해킹 관련 금융권 영향 검토를 통해 대응방안을 회원 금융사(은행 보험 증권 카드사 등) 200여 곳에 전파했다.
금보원은 대응방안을 통해 모바일 금융서비스 중 휴대폰 본인 인증 만으로 인증이 완료되는 경우에는 앱 인증 등 추가 인증수단 적용을 고려하고 모니터링을 강화할 필요가 있다고 했다. 모바일 금융 앱의 경우 기기정보를 수집하고 있다면 심 스와핑 공격이 일어날 경우 기기변경으로 인한 기기정보 변경이 발생하기 때문에 기기정보 변경 고객에 대한 추가 인증이 필요하다는 설명이다.
이와 함께 금보원은 사용하는 휴대폰이 갑자기 동작하지 않을 경우에는 신속하게 통신사, 금융회사 등에 연락하도록 고객에게 안내하는 방안 등도 제안했다.
금보원은 "고객의 휴대폰 기기변경 등이 일어날 경우 금융회사들이 이를 감지할 수 있는 FDS를 가동하도록 했으며 두가지 이상 인증을 실시하도록 했다"고 밝혔다.
y2kid@newspim.com
