中공상은행 간편결제 보안비상

[2015-07-21, 17:51:01]
6월 중순부터 7월 초순 기간에 베이징 지역의 공상은행 고객들이 예금을 도난 당하는 사건이 발생했다고 중국경영보(中国经营报)가 보도했다.
 
이 사건들의 큰 공통점은 범인이 공상은행으로부터 휴대폰으로 인증번호를 받아 'e결제' 서비스를 신청했다는 점이다. 범인은 불법적인 경로를 통해 휴대폰 SMS인증을 받았고, 예금을 손쉽게 빼낼 수 있었다. 가장 문제 되는 점은 간편 결제의 경우 휴대폰 인증번호가 신분증 번호처럼 여겨지고, 휴대폰 인증번호는 손쉽게 빼낼 수 있다는 점으로 간편결제가 갖고 있는 위험성 중 하나이다. 휴대폰 인증을 통한 간편결제 승인은 은행 고객들에게는 편리함을 가져다 주었으나 불법의 빈틈을 노리는 범죄자들에게는 기회가 되었다.

 
 
 
“정말 생각지도 못하게 단 몇 분만에 은행의 잔고에서 2만위안 가까이 빠져나갔다.”
 
베이징에 사는 탄웨(覃岳. 가명)씨는 IT업계 종사자로 평소에 자신의 인터넷금융 안전에 매우 신경을 쓰는 사람이었다. 그러나 얼마 전에 그는 범죄자들을 의도치 않게 도우며 자신의 은행 잔고에서 돈이 빠져나가는 사고를 당했고, 여전히 놀란 가슴이 두근거린다.

7월8일 저녁 23시49분, 탄웨씨는 중국 이동통신사로부터 한 통의 문자를 받았고, 이 문자는 그가 '문자메시지 보관서비스'를 신청했다고 알렸다. 1분 후 그는 또 공상은행(95588)으로부터 'e결제' 서비스가 변경되었다는 문자를 받았다. 그리고 계속된 95588번으로부터 문자가 날아들었고, 이체 서비스 통지와 곧 9900위안이 이체된다는 문자와 인증번호가 도착했다.

그는 “이미 시간이 너무 늦었고, 아이가 자는데 깨우고 싶지 않은 마음에 일단 휴대폰을 매너모드로 바꾸었고, 그 문자들을 확인한 시간은 이미 23시55분이었다”라며 서둘러서 가장 먼저 공상은행 계좌의 거래내역을 살펴보았지만 이미 거래 내역에서 9900위안이 빠져 나간 사실을 알았다.

“곧 바로 공상은행으로 전화를 걸었어요. 하지만 고객센터가 바빠 바로 연결되지 않았죠. 2분 정도 기다린 후에 그냥 끊었습니다. 95588번호로 또 문자가 왔는데 현재 이체 진행 금액이 9950위안이라고 문자가 왔고, '의심되면 거래를 차단하세요'라고 보냈더라구요. 저는 바로 다시 거래내역을 조회했고 역시 9950위안이 빠져나갔어요.”

탄웨씨는 본인이 'e결제' 서비스를 신청한 적이 없고 사건 발생 후 조사과정에서 제 컴퓨터나 휴대폰이 바이러스도 없었다고 강조했다.

최근 공상은행 예금 절도사건의 피해자 40여명은 SNS상에 '피해자(受害人)'라는 커뮤니티를 만들었다.  그들 모두 누군가에 의해 'e결제' 서비스가 무단신청 되었고, 몇 분 만에 날개 없는 예금이 날아가 버렸다.

20여명의 피해자들과 인터뷰를 통해 바에 의하면 그들의 피해금액 합산은 총 25.68위안에 달하고, 그 중 가장 먼저 발생한 사건은 6월 13일 발생했고, 7월 9일에 마지막 사건이 발생했다. 가장 큰 피해액수는 4.2만위안이고 최소 피해액은 500위안이다.
이 사건 피해자들의 공통점은 공상은행 예금 고객이면서 중국이동통신을 사용 중이라는 것이다. 탄웨씨와 마찬가지로 그들 모두 중국이동통신의 '메시지 보관 서비스'가 무단 신청되었다.
 
'메시지 보관 서비스'는 고객이 보내고 받는 문자들이 저장되는 기능으로 범인들은 이 서비스를 개통시킨 후에, 인증번호를 받아 공상은행의 'e결제' 서비스를 신청한 것이다. 피해 고객들은 중국이동통신사의 '메시지 보관 서비스'와 이번 사고의 관련성에 대해 의심하고 있다.

중국이동통신 베이징 지점의 책임자는 누군가가 고객의 휴대폰번호와 이동통신 사이트 비밀번호로 접속해서 신청한 후에 저지른 일이고, 이동통신사의 사이트에는 어떠한 해킹이나 정보누출의 기미가 없었다고 밝혔다. 또한 이동통신의 “메시지 보관 서비스”는 금융영역에 문자가 응용되지 않았던 2009년에 만들어진 것이고, 이번 사건을 통해서 은행 발송 문자는 저장시키지 않는 것으로 하고 24시간 전의 문자만 열람 가능하게 하며 추가 비밀번호 인증 등을 통해 안전성을 높이는 조치를 진행하고 있다고 밝혔다.

정보를 보안할 때 통상적으로 3가지 방법으로 신분인증을 한다. 비밀번호나 문자메시지 인증이나 지문, 홍채 인식 등이다. 한 가지 인증 방법만으로는 안전을 보장하기 힘들고, 비밀번호나 문자메시지 인증의 경우 정보를 빼내기가 쉽고 지문, 홍채 인식만큼 안전하지는 않다. 지문 인식의 경우도 안전하긴 하지만 인식 오류로 인해 자신의 지문으로 자신의 휴대폰을 열 수 없는 일이 발생하기도 한다. 문자 메시지 인증의 경우 자본이 상대적으로 낮게 들고 채택률이 높아 광범위하게 응용되고 있다.

간편결제가 사람들의 소비생활에 큰 편리함을 가져다 주었고 현재 중국은 전세계상에서 무선결제시스템이 가장 발달한 국가이다. 만약 간편 결제 시스템의 보안을 높이기 위해 USB인증 사용 등을 추가 한다면 거래 속도는 느려질 수 밖에 없고 사용에 불편함을 가져올 수 밖에 없을 것이다. 모든 지불 방식에 위험이 존재할 수 밖에 없지만 이 위험을 고객에게 전가할 수만은 없으며 은행의 보안이 고객의 권리와 이익을 보장해야 한다고 한 은행 보안 전문가는 지적했다.

<중국경영보(中国经营报)>는 이 사건의 원인과 처리방법에 대해 공상은행에 취재를 요청했으나 현재 조사중인 사안이고 모든 정보를 공개하기는 어렵다고 답변했다고 전했다.

 
이혜미 기자
 
 

전체의견 수 0

  비밀댓글
등록