[오태훈의 시사본부] “휴대전화 업데이트만 잘해도 해킹의 90% 예방됩니다”

입력 2020.06.25 (16:25)

읽어주기 기능은 크롬기반의
브라우저에서만 사용하실 수 있습니다.

- 카카오톡 등 메신저에서 가족, 친구 등 아는 사람 사칭해 돈 보내달라 요구
- 급하다고 거짓말 하며 지금 핸드폰 못하니 다른 사람 계좌로 보내달라는 경우 많아
- 가장 확실한 것은 메신지로 누군가 돈 요구하면, 거꾸로 전화 걸어서 확인하는 것
- 간편결제 시스템에서도 사고 발생... 예전 시스템에 비해 사고율 1500배 높아
- 간편송금 서비스, 은행과 정보 공유 되지 않고 가상계좌 기반이라 추적도 어려워
- 스마트폰은 이제 또 하나의 자신... 스마트폰 업데이트 공지 뜨면 바로 실행해야
- 업데이트 공지는 해커도 보고 있어... 기존 체제의 허점 파악하고 바로 공격 들어가
- SNS에 개인 정보 많이 올리지 말고, 각종 포털사이트의 이중 인증 서비스 이용해야


■ 프로그램명 : 오태훈의 시사본부
■ 코너명 : 시사본부 이슈
■ 방송시간 : 6월 25일(목요일) 12:20~14:00 KBS 1라디오
■ 출연자 : 김승주 교수(고려대학교 정보보호대학원)


▷ 오태훈 : 코로나19 상황에서 금융, 정보통신기술이 결합된 이른바 핀테크가 성행을 하자 악용 사례가 늘고 있다고 합니다. 올해는 특히 메신저 피싱이 급증했다고 하는데 막을 수 있는 대안 살펴보도록 하겠습니다. 고려대 정보보호대학원의 김승주 교수를 연결하겠습니다. 안녕하십니까?

▶ 김승주 : 안녕하십니까?

▷ 오태훈 : 메신저 피싱이 올해 들어서 급증했다고 하는데 이게 어떤 범죄입니까?

▶ 김승주 : 뭐 여기서 메신저라고 하는 건 그냥 쉽게 카카오톡 같은 거 생각하시면 되고요. 이제 보통 범인들이 꾸미는 것이 아, 내가 지금 스마트폰이 망가져서 PC로 지금 카카오톡에 접속해서 메시지를 보내는 거다. 돈이 필요하니까 이쪽으로 좀 빨리 보내달라. 이런 식으로 타인을 사칭하는 걸 이야기합니다. 보통 이제 스마트폰에서는 번호가 뜨니까 상관이 없는데 PC로 로그인을 해서 메신저를 쓸 경우에는 그 번호 같은 것들이 감춰지거든요. 그러다 보니까 이제 사기로 많이 이어지는 것 같습니다.

▷ 오태훈 : 그러니까 누군가 내가 아는 사람이 나에게 카카오톡을 보낸 것으로 착각할 수 있겠군요.

▶ 김승주 : 그렇죠, 타인을 사칭하는 거죠.

▷ 오태훈 : 하지만 그게 그 사람이 아닐 수도 있다.

▶ 김승주 : 그렇죠.

▷ 오태훈 : 그러면 거기에서 뭘 어떻게 요구를 하는 거예요?

▶ 김승주 : 그러니까 뭐 지금 금방 급하게 돈이 필요하다. 아니면 뭐 주변에 아는 사람이 어떤 일을 당해서 돈을 꿔줘야 한다, 이런 식으로 이제 거짓말을 하는 것이고요. 특히 타인을 사칭하는 거니까 지금 내가 주변에 인터넷뱅킹을 할 수 없어서 다른 사람 계좌로 넣어달라. 그러면 그 사람한테 내가 찾아달라고 요청할 테니까. 이런 식으로 또 타인 계좌로 돈을 이체시키도록 하는 게 특징이라고 할 수 있겠습니다.

▷ 오태훈 : 이런 피해를 당하는 사람, 사례라든가 아니면 액수가 꽤 큽니까?

▶ 김승주 : 요즈음 뭐 몇백만 원부터 시작해서 몇십만 원까지 꽤 다양하고요. 실제로 인터넷 조금만 검색해보셔도 이거 카카오톡 사기 당했어요, 이러면서 글들이 꽤 올라오는 걸 보실 수 있습니다. 왜냐하면 카카오톡 같은 경우에는 또 자기 얼굴 같은 거 사진으로 넣을 수 있는데 그 사진 같은 거는 인터넷상에서 또 쉽게 구할 수 있지 않습니까?

▷ 오태훈 : 그러네요.

▶ 김승주 : 그러니까 다른 사람 사진을 마치 나인 양 올려놓는 겁니다. 그러면서 그 사람을 사칭하는 것이죠.

▷ 오태훈 : 그런데 실제 가족인지 지인인지를 확인을 해야 될 것 같은데 그렇다고 항상 그 경우마다 그걸 확인을 요구하는 것도 좀 글쎄요, 마땅치 않아 보이기도 하고 어떻게 대응해야 할까요?

▶ 김승주 : 그렇죠. 그래서 보통 이제 가장 확실한 것은 메신저로 돈을 요구하면 반드시 거꾸로 전화를 걸어서 확인하라 뭐 이런 이야기를 사실 많이 합니다. 그런데 뭐 또 작정하고 요구를 하면 이런 것도 그렇게 쉽지 않습니다.

▷ 오태훈 : 이런 메신저 카카오톡 같은 걸 이용한 피싱 외에도 최근에 아무래도 코로나19 때문에 요즈음 택배도 비대면으로 받고 또 여러 가지 만나지 않는 금융 서비스 같은 것들이 많이 늘고 있지 않습니까? 간편결제라든가 이런 것도 있다고 하는데. 이것 때문에도 또 문제가 되고 있다면서요?

▶ 김승주 : 사실은 이제 은행도 잘 안 가고 하다 보니까 모든 걸 다 온라인으로 요새 다 처리하시죠. 그런데 이제 말 그대로 간편결제라고 하는 것은 우리가 기존에 인터넷뱅킹에서 계좌이체 하려고 그러면 공인인증서도 넣어야 하고 일회용 비밀번호도 넣어야 하고 되게 복잡하지 않았습니까?

▷ 오태훈 : 그 불편했어요.

▶ 김승주 : 그렇죠. 그런데 이제 우리가 보통 간편결제 대명사 그러면 미국에 있는 페이팔이라고 하는 회사죠. 보통 이런 것들은 아이디하고 비밀번호만 알면 바로 바로 계좌 송금도 할 수 있고 다 할 수 있습니다. 그런데 문제는 이게 이제 간편하게 만들었다 보니까 아무래도 이렇게 해킹 사고에서 완전히 자유로울 수는 없습니다. 그래서 해킹 사고율을 놓고 보면 부정거래율을 놓고 보면 기존에 우리가 공인인증서라든가 일회용 비밀번호를 썼던 것보다는 분명히 사고율이 높습니다.

▷ 오태훈 : 최근에 토스라는 거 있지 않습니까? 이거에서 고객 8명의 금액이 본인 모르게 온라인 가맹점에서 결제가 됐고 또 요즈음에 생체인증 방식 같은 것들 많이 나오고 있는데 이것 때문에 부정결제 한 사건들도 발생했다고 합니다. 이런 것들도 꽤 문제가 되나봐요?

▶ 김승주 : 그렇죠. 그러니까 아까 말씀드렸지만 간편결제 시스템이라는 것이 아무래도 간편하다 보니까 보안 수준은 약간 떨어질 수밖에 없습니다. 정확히 말씀드리면 예전에 우리가 좀 귀찮았지만 공인인증서나 일회용 비밀번호 이런 것을 쓰는 그런 결제 시스템에서 사고율은 저희가 2015년 기준으로 봤을 때 한 0.0002% 정도 됩니다. 그런데 우리가 간편결제 대명사 그러면 아까 말씀드렸듯이 페이팔이지 않습니까? 이 페이팔 같은 경우에는 사고율이 0.3% 정도 됩니다. 그러니까 사실 그 차이가 꽤 1,500배 정도 차이가 나는 거죠. 그래서 일단은 간편결제 쪽은 아무래도 해킹 위협에서 완전히 자유로울 수는 없다고 보셔야 할 것 같고요. 그래서 이제 보통 이야기하는 것이 보통 우리가 토스 이런 데에서 사고가 났으니까 너무 단순한 거 아니야? 이거 보안 수준을 올려야 하는 거 아니야? 뭐 이런 이야기를 또 많이 하세요. 그런데 사실은 보안 수준을 그렇게 끌어올려서 불편하게 만들면 더 이상 또 간편결제가 아니잖아요.

▷ 오태훈 : 그러네요

▶ 김승주 : 그렇죠. 그래서 보통 이런 토스라든가 아니면 이런 페이팔 이런 간편결제를 하는 업체들은 기술로 막을 수 있는 건 기술로 막되 그러니까 간단한 기술로는 막을 수 없다면 그러면 이제 직접 소비자한테 배상해주는 방식을 택합니다.

▷ 오태훈 : 그 업체에서 이 손해를 보상해준다는 말씀이시네요?

▶ 김승주 : 그렇죠. 그래서 이번에 토스 같은 경우도 사실은 토스의 고객은 1,400만 명, 1,500만 명이 넘었거든요. 그런데 그중에서 8명의 사고가 났었죠. 그런데 토스에서는 그걸 전액 배상을 했었고요. 이건 이제 외국의 결제 업체도 마찬가지입니다. 제가 아까 뭐 미국의 간편결제 업체 말씀을 드렸지만 작년을 기준으로 봤을 때 미국의 간편결제 업체가 부정 결제로 인해서 돈으로 물어준 금액이 11억 달러입니다.

▷ 오태훈 : 그렇게 많이 물어줬어요?

▶ 김승주 : 네. 그런데 실제로 매출액에 비교해보면 전체 매출액의 한 0.15% 정도 됩니다.

▷ 오태훈 : 그러니까 부정결제 책임을 업체가 보상을 해준다는 건 업체 스스로가 이 결제 시스템을 강화하고 편리함은 두고 하지만 안전성을 높이는 노력들을 할 것 같거든요.

▶ 김승주 : 그렇죠. 그러니까 이게 방식이 뭐냐 하면 우리 언론에서는 주로 이런 사고가 나면 업체가 자꾸 기술적 수준을 올려야 돼, 자꾸 이 이야기를 하시거든요. 그런데 사업을 하는 업체 입장에서는 기술의 수준을 올렸는데 그게 사용자를 불편하게 하면 그 기술을 그냥 채택 안 하는 겁니다. 그러느니 그냥 손해배상을 한다고 가는 겁니다. 그래서 페이팔도 보면 계속해서 작년에도 11억 달러를 손해배상 해줬고 그 전해에도 11억 달러를 손해배상을 해줬거든요. 그런데 매출액 대비 비율로 따지면 계속해서 줄고 있습니다. 왜냐하면 간편하니까 쓰는 사용자들은 점점 많아지는 거거든요.

▷ 오태훈 : 그렇겠죠.

▶ 김승주 : 그래서 2가지 정책을 다 한다고 보시면 됩니다. 기술적으로 막는 것과 손해배상을 하는 것과.

▷ 오태훈 : 그런데 당연한 것처럼 느껴지지만 방금 교수께서 그렇게 말씀하시는 걸 들어보니까 우리는 아직 업체 책임이 법제화 되지는 않은 모양이에요.

▶ 김승주 : 그거 자체가 사실은 예전보다는 많이 바뀌기는 했습니다. 뭐 문제가 있을 때 업체가 이렇게 배상을 해야 한다. 예전보다는 많이 바뀌었지만 그래도 이제 외국 수준에 비하면 아직도 이용자 과실률을 묻는 게 좀 많다고 볼 수 있겠고요. 그 부분들은 바뀌어야 할 것 같습니다. 외국 같은 경우는 일반 사용자들을 IT에 대해서는 상대적인 약자라고 인식을 합니다. 그래서 요새 해킹 기술이 워낙 발달했기 때문에 이용자들이 무슨 보이스피싱도 안 당하고 뭐 공인인증서 같은 것도 안전하게 관리하고 이런 것들이 쉽지 않다. 그래서 가급적 이용자의 책임을 묻지 않겠다는 어떤 원칙을 갖고 있거든요. 그런데 우리 같은 경우도 기본적으로 금융사가 배상을 해준다는 원칙은 갖고 있습니다만 우리가 약관에 보시면 이용자 중대과실 항목이라는 게 있습니다. 그래서 우리 보통 교통사고도 이용자 횡단보도 건너다 사고가 났다든가 이러면 보험 처리를 못 받지 않습니까? 그렇듯이 약관에 이용자 중과실 항목이 있는데 그런 부분들을 이용자 입장에서 이렇게 줄여줄 필요는 있어 보입니다.

▷ 오태훈 : 그리고 간편송금 서비스가 범죄인들의 돈 세탁 창구가 되기도 한다는 이야기를 들었어요. 거래 추적이 쉽지 않다는 게 그 이유라면서요?

▶ 김승주 : 그게 일단 현재 법적으로는 은행끼리는 이렇게 사고가 나고 이러면 정보를 공유합니다. 그런데 현재 은행과 간편송금 업체 간에는 정보 공유가 의무하되어 있지는 않습니다.

▷ 오태훈 : 그렇습니까?

▶ 김승주 : 그리고 간편서비스 자체가 가상계좌 기반으로 운영되기 때문에 추적이 쉽지 않습니다.

▷ 오태훈 : 요즈음 대형포털에서도 이런 무슨 무슨 머니, 머니 이렇게 해서 많이 하잖아요.

▶ 김승주 : 그렇죠. 게다가 이제 그게 실제 돈이 아니라 돈을 가지고 충전을 하는 거죠. 그래서 충전금의 형태로 운영을 하기 때문에 보통 이제 보이스피싱이나 이런 해커들이 돈을 일단 받으면 그걸 다른 통장으로 계속해서 돌립니다. 쫓아가기 힘들게 하기 위해서. 그런데 그 중간에 간편송금 업체가 끼어버리면 계속 계좌로 돈이 이동하다가 이게 충전 금액으로 바뀌었다가 다시 통장으로 들어가기 때문에 연결고리가 끊어지는 겁니다. 그러다 보니까 이제 추적하기가 어려운 거죠.

▷ 오태훈 : 우리가 코로나19 이전과 이후의 삶은 다를 수밖에 없다는 이야기들을 많이 합니다. 그리고 비대면 거래라든가 비대면 결제 같은 것들 더욱더 늘게 되고 또 편리한 방식으로 포털에서 어떤 금액이라든가 돈 성격의 여러 가지 이런 장치들이 많이 늘고 있어요. 그런데 여기에 대해서 가끔씩 피해를 보거나 아니면 몰라서 아니면 누군가의 사기에 의해서 손해가 발생을 했을 때 경찰에 신고를 해도 이거를 새로운 범죄라고 해서 쉽게 경찰에서도 이걸 적극적으로 대응하기 쉽지 않다는 이야기를 들었습니다.

▶ 김승주 : 맞습니다. 요새 비대면 환경이 강조되면서 사실 기존에는 못 보던 서비스들이 굉장히 빠른 속도로 지금 만들어지고 있거든요. 그리고 그 모든 것들은 사실 비대면 환경에서 이루어집니다. 그런데 우리가 비대면으로 계좌 개설할 때도 보고 여러 가지를 보면 사실은 그 모든 것들이 공인인증서 아니면 휴대폰 본인확인 이 2가지 장치를 가지고 보통 비대면 확인이라는 걸 하거든요. 그 이야기는 뭐냐 하면 휴대폰이 해킹 당했다든가 공인인증서가 해킹을 당하면 기존에 비대면으로 했던 금융 시스템은 굉장히 큰 영향을 받을 수 있다는 이야기입니다.

▷ 오태훈 : 그러네요.

▶ 김승주 : 그러다 보니까 이제 경찰에서 요새 첨단 범죄들이 나오면 수사하는 데 시간도 오래 걸리고 인력도 지금 많이 필요로 하고 그러고 있는 것 같습니다.

▷ 오태훈 : 하지만 이걸 극복을 해야 할 것 같습니다.

▶ 김승주 : 그렇죠, 맞습니다.

▷ 오태훈 : 정부 차원에서 어떤 대책들을 마련할 필요가 있을까요?

▶ 김승주 : 일단 아까 간편송금 서비스 업체들은 사실은 법의 사각지대에 있었던 건 사실입니다. 그래서 정보공유도 안 되고 여러 가지 문제들이 있었거든요. 그래서 지금 금융위원회가 통신사기 피해환급법이라는 걸 개정할 예정입니다. 그래서 카카오페이나 토스 같은 간편송금 서비스 업체들도 법상 금융기관으로 규정을 하려고 하고 있습니다. 그래서 각종 금융 사기에 대비해서 금융사 수준의 어떤 예방책이나 아니면 환급의 의무 그다음에 자체 점검, 정보 공유 이런 것들에 대한 어떤 대책을 마련하려고 지금 준비하고 있습니다.

▷ 오태훈 : 그리고 그동안 말도 많았고 탈도 많았던 공인인증서 폐지법이 올 12월에 실시되잖아요. 그러면 이제 국가에서 그동안 2개 공인인증서 기관 여기만 인정을 했다가 이제는 사설 전자서명이 가능해지는 겁니다. 이거는 별 문제 없을까요?

▶ 김승주 : 지금 사실은 공인인증서 자체가 폐지되는 건 아니고요. 공인이라는 이름이 없어지는 겁니다.

▷ 오태훈 : 공인 이름 떼고 각자 그냥 경쟁하는 거죠?

▶ 김승주 : 그렇죠. A기관 인증서, B기관 인증서, C기관 인증서 이렇게 될 거고요. 그것들이 시장에서 경쟁을 할 겁니다. 그런데 뭐 이번에 개정안, 전자서명법을 개정한 이유도 시장경쟁을 치열하게 만들어서 성능 좋은 제품이 사용자의 선택을 받도록 하겠다는 거거든요. 그런데 이제 시장 경쟁이 치열해지면 초기 과도기 상태에서는 그다지 그렇게 안전하지도 않은데 과대 선점을 해서 막 소비자들을 현혹시키는 것들도 있거든요. 그래서 그런 것들에 대해서 현명하게 선택하는 그런 지혜는 필요해 보이고요. 정부도 사실은 시장에 제대로 된 정보가 주입되도록 공급되도록 이렇게 노력할 필요가 있을 것 같습니다.

▷ 오태훈 : 그리고 내년이면 운전면허증도 휴대전화에 담을 수 있다는 이야기를 들었습니다. 그러니까 과거에는 누가 저 지금 전화가 없는데 휴대전화 잠깐만 빌려주세요라고 하면 빌려줬어요. 그런데 최근에는 이 휴대전화 안에 워낙 많은 정보들, 내용들, 결제시스템 같은 것들이 다 담겨 있어서 불안하기도 하거든요. 이런 안전성에 대해서 뭔가 담보할 수 있는 조치들도 필요할 것 같습니다.

▶ 김승주 : 지금 아주 중요한 말씀 해주셨는데 지금 스마트폰이 이제는 또 하나의 내 자신이 되어버렸습니다.

▷ 오태훈 : 그러니까요.

▶ 김승주 : 모든 정보가 다 들어가니까요. 그런데 아무리 스마트폰에 있는 앱을 잘 만든다고 하더라도 우리가 스마트폰 안에도 운영체제도 있고 다 있지 않습니까? 그래서 가끔 보시면 스마트폰을 빨리 업데이트 하라는 공지가 나오는 걸 보실 수 있습니다.

▷ 오태훈 : 귀찮아요, 그런데 그거.

▶ 김승주 : 그런데 보통 우리가 데이터 통화도 써야 하고 배터리도 다니까 업데이트를 즉각즉각 안 하세요. 그런데 스마트폰 업데이터 공지가 뜨면 그 공지는 해커도 봅니다.

▷ 오태훈 : 무슨 뜻인가요, 그게?

▶ 김승주 : 예를 들어 어떤 걸 업데이트, 하세요 그러면 그 업데이트 메시지를 해커도 볼 수 있거든요. 그러면 해커는 그걸 분석해서 업데이트 안 한 스마트폰에는 어디, 어디에서 문제가 있구나를 거꾸로 파악하게 되는 겁니다. 그러면서 하루, 이틀 안에 바로 공격이 들어가거든요. 그래서 업데이트 공지가 뜨면 즉각적으로 업데이트 하셔야 합니다.

▷ 오태훈 : 그것만으로는 괜찮아요, 그러면? 그것만 하면?

▶ 김승주 : 사실은 스마트폰에 있는 앱이나 프로그램만 최신버전으로 업데이트 하셔도 우리가 무슨 뭐 스미싱 문자가 오고 뭐 여러 가지가 있지만 해킹 위협으로부터 90% 가까이는 지키실 수 있습니다.

▷ 오태훈 : 새로운 거 알았습니다. 그러니까 업데이트 문자가 오거나 그러면 물론 이거는 기종에 따라서 달라질 수 있겠지만 믿을 수 있는 기관에서 오는 거겠죠.

▶ 김승주 : 그렇죠.

▷ 오태훈 : 그것만큼은 꼭 받아라.

▶ 김승주 : 항상 최신버전으로 갖고 계셔야 합니다.

▷ 오태훈 : 알겠습니다. 끝으로 코로나19 때문에 이제 이거는 일상이 되었어요. 우리가 적응을 해야 하는 겁니다. 하지만 개인정보 보호를 위해서 끝으로 노력할 수 있는 것들 이번에 업데이트 하는 거 말고도 어떤 노력들이 필요할지 정리해주세요.

▶ 김승주 : 일단 요새 SNS가 너무 많으니까 개인정보를 너무 많이 올리세요, 인터넷에. 그걸 일단 그 습관부터 줄이실 필요가 있고요. 너무 많은 개인정보가 지금 SNS를 통해서 나오고 있거든요.

▷ 오태훈 : 어떤 것들을.

▶ 김승주 : 아까 말씀드렸듯이 사진 정보가 너무 많이 올리면 그 사진을 도용해서 카카오톡이나 이런 메신저에서 나를 사칭할 수도 있고요. 또 뭐 여러 가지 SNS에서 나 어디 간다, 학교 어디 다닌다. 이런 게 노출되면 내가 메신저 서비스를 가지고 타인으로 사칭하기가 더 쉽잖아요. 그 사람에 대해서 많이 아니까. 그래서 일단 인터넷상에 자기 정보를 많이 올리는 걸 자제하실 필요가 있고요. 두 번째는 우리 보통 이중 인증이라고 하는 게 있습니다. 그러니까 보통 아이디하고 패스워드 치고 로그인을 하지만 그거 말고 휴대폰을 통해서 사용자 인증을 한 번 더 받는 걸 이중 인증이라고 하거든요.

▷ 오태훈 : 그거 얼굴로도 하고 지문으로도 하고 그런 거 말하는 건가요?

▶ 김승주 : 맞습니다. 그런데 그게 뭐 구글이나 페이스북 이런 트위터, 네이버, 카카오 이런 것들도 이중 인증 서비스를 제공합니다. 그래서 그걸 켜놓으시면, 그러니까 설정에 들어가서 이중 인증을 켜놓으시면 아이디하고 비밀번호 치고 로그인 하시면서 스마트폰 같은 걸로 문자메시지를 통해서 인증을 한 번 더 받게 됩니다. 그런데 사실은 이 이중 인증이 요새는 대세고요. 이것만 해놓으셔도 사실은 해킹은 상당수 막을 수 있습니다. 제가 항상 이렇게 인터뷰하면 조금 이렇게 책임지는 위치에 계시든가 아니면 이렇게 공적인 위치에 있든가 언론에 계신 분들은 반드시 이중 인증 켜두십시오. 그 이야기를 사실은 항상 드리고 있습니다.

▷ 오태훈 : 저도 하겠습니다. 지금 청취자 강유진 님께서 “꿀정보 감사합니다.”라고 보내주셨는데 글쎄요. 좀 노출이 될 수 있는 부분들 많이 줄여야 할 것 같고 여러 가지 보안 장치들 계속해서 업데이트 하고 이중으로 관리하는 노력들 해야 할 것 같습니다. 지금까지 고려대학교 정보보호대학원 김승주 교수와 함께 말씀 나눴습니다. 오늘 말씀 고맙습니다.

▶ 김승주 : 감사합니다.

■ 제보하기
▷ 카카오톡 : 'KBS제보' 검색, 채널 추가
▷ 전화 : 02-781-1234, 4444
▷ 이메일 : kbs1234@kbs.co.kr
▷ 유튜브, 네이버, 카카오에서도 KBS뉴스를 구독해주세요!


  • [오태훈의 시사본부] “휴대전화 업데이트만 잘해도 해킹의 90% 예방됩니다”
    • 입력 2020-06-25 16:25:38
    최영일의 시사본부
- 카카오톡 등 메신저에서 가족, 친구 등 아는 사람 사칭해 돈 보내달라 요구
- 급하다고 거짓말 하며 지금 핸드폰 못하니 다른 사람 계좌로 보내달라는 경우 많아
- 가장 확실한 것은 메신지로 누군가 돈 요구하면, 거꾸로 전화 걸어서 확인하는 것
- 간편결제 시스템에서도 사고 발생... 예전 시스템에 비해 사고율 1500배 높아
- 간편송금 서비스, 은행과 정보 공유 되지 않고 가상계좌 기반이라 추적도 어려워
- 스마트폰은 이제 또 하나의 자신... 스마트폰 업데이트 공지 뜨면 바로 실행해야
- 업데이트 공지는 해커도 보고 있어... 기존 체제의 허점 파악하고 바로 공격 들어가
- SNS에 개인 정보 많이 올리지 말고, 각종 포털사이트의 이중 인증 서비스 이용해야


■ 프로그램명 : 오태훈의 시사본부
■ 코너명 : 시사본부 이슈
■ 방송시간 : 6월 25일(목요일) 12:20~14:00 KBS 1라디오
■ 출연자 : 김승주 교수(고려대학교 정보보호대학원)


▷ 오태훈 : 코로나19 상황에서 금융, 정보통신기술이 결합된 이른바 핀테크가 성행을 하자 악용 사례가 늘고 있다고 합니다. 올해는 특히 메신저 피싱이 급증했다고 하는데 막을 수 있는 대안 살펴보도록 하겠습니다. 고려대 정보보호대학원의 김승주 교수를 연결하겠습니다. 안녕하십니까?

▶ 김승주 : 안녕하십니까?

▷ 오태훈 : 메신저 피싱이 올해 들어서 급증했다고 하는데 이게 어떤 범죄입니까?

▶ 김승주 : 뭐 여기서 메신저라고 하는 건 그냥 쉽게 카카오톡 같은 거 생각하시면 되고요. 이제 보통 범인들이 꾸미는 것이 아, 내가 지금 스마트폰이 망가져서 PC로 지금 카카오톡에 접속해서 메시지를 보내는 거다. 돈이 필요하니까 이쪽으로 좀 빨리 보내달라. 이런 식으로 타인을 사칭하는 걸 이야기합니다. 보통 이제 스마트폰에서는 번호가 뜨니까 상관이 없는데 PC로 로그인을 해서 메신저를 쓸 경우에는 그 번호 같은 것들이 감춰지거든요. 그러다 보니까 이제 사기로 많이 이어지는 것 같습니다.

▷ 오태훈 : 그러니까 누군가 내가 아는 사람이 나에게 카카오톡을 보낸 것으로 착각할 수 있겠군요.

▶ 김승주 : 그렇죠, 타인을 사칭하는 거죠.

▷ 오태훈 : 하지만 그게 그 사람이 아닐 수도 있다.

▶ 김승주 : 그렇죠.

▷ 오태훈 : 그러면 거기에서 뭘 어떻게 요구를 하는 거예요?

▶ 김승주 : 그러니까 뭐 지금 금방 급하게 돈이 필요하다. 아니면 뭐 주변에 아는 사람이 어떤 일을 당해서 돈을 꿔줘야 한다, 이런 식으로 이제 거짓말을 하는 것이고요. 특히 타인을 사칭하는 거니까 지금 내가 주변에 인터넷뱅킹을 할 수 없어서 다른 사람 계좌로 넣어달라. 그러면 그 사람한테 내가 찾아달라고 요청할 테니까. 이런 식으로 또 타인 계좌로 돈을 이체시키도록 하는 게 특징이라고 할 수 있겠습니다.

▷ 오태훈 : 이런 피해를 당하는 사람, 사례라든가 아니면 액수가 꽤 큽니까?

▶ 김승주 : 요즈음 뭐 몇백만 원부터 시작해서 몇십만 원까지 꽤 다양하고요. 실제로 인터넷 조금만 검색해보셔도 이거 카카오톡 사기 당했어요, 이러면서 글들이 꽤 올라오는 걸 보실 수 있습니다. 왜냐하면 카카오톡 같은 경우에는 또 자기 얼굴 같은 거 사진으로 넣을 수 있는데 그 사진 같은 거는 인터넷상에서 또 쉽게 구할 수 있지 않습니까?

▷ 오태훈 : 그러네요.

▶ 김승주 : 그러니까 다른 사람 사진을 마치 나인 양 올려놓는 겁니다. 그러면서 그 사람을 사칭하는 것이죠.

▷ 오태훈 : 그런데 실제 가족인지 지인인지를 확인을 해야 될 것 같은데 그렇다고 항상 그 경우마다 그걸 확인을 요구하는 것도 좀 글쎄요, 마땅치 않아 보이기도 하고 어떻게 대응해야 할까요?

▶ 김승주 : 그렇죠. 그래서 보통 이제 가장 확실한 것은 메신저로 돈을 요구하면 반드시 거꾸로 전화를 걸어서 확인하라 뭐 이런 이야기를 사실 많이 합니다. 그런데 뭐 또 작정하고 요구를 하면 이런 것도 그렇게 쉽지 않습니다.

▷ 오태훈 : 이런 메신저 카카오톡 같은 걸 이용한 피싱 외에도 최근에 아무래도 코로나19 때문에 요즈음 택배도 비대면으로 받고 또 여러 가지 만나지 않는 금융 서비스 같은 것들이 많이 늘고 있지 않습니까? 간편결제라든가 이런 것도 있다고 하는데. 이것 때문에도 또 문제가 되고 있다면서요?

▶ 김승주 : 사실은 이제 은행도 잘 안 가고 하다 보니까 모든 걸 다 온라인으로 요새 다 처리하시죠. 그런데 이제 말 그대로 간편결제라고 하는 것은 우리가 기존에 인터넷뱅킹에서 계좌이체 하려고 그러면 공인인증서도 넣어야 하고 일회용 비밀번호도 넣어야 하고 되게 복잡하지 않았습니까?

▷ 오태훈 : 그 불편했어요.

▶ 김승주 : 그렇죠. 그런데 이제 우리가 보통 간편결제 대명사 그러면 미국에 있는 페이팔이라고 하는 회사죠. 보통 이런 것들은 아이디하고 비밀번호만 알면 바로 바로 계좌 송금도 할 수 있고 다 할 수 있습니다. 그런데 문제는 이게 이제 간편하게 만들었다 보니까 아무래도 이렇게 해킹 사고에서 완전히 자유로울 수는 없습니다. 그래서 해킹 사고율을 놓고 보면 부정거래율을 놓고 보면 기존에 우리가 공인인증서라든가 일회용 비밀번호를 썼던 것보다는 분명히 사고율이 높습니다.

▷ 오태훈 : 최근에 토스라는 거 있지 않습니까? 이거에서 고객 8명의 금액이 본인 모르게 온라인 가맹점에서 결제가 됐고 또 요즈음에 생체인증 방식 같은 것들 많이 나오고 있는데 이것 때문에 부정결제 한 사건들도 발생했다고 합니다. 이런 것들도 꽤 문제가 되나봐요?

▶ 김승주 : 그렇죠. 그러니까 아까 말씀드렸지만 간편결제 시스템이라는 것이 아무래도 간편하다 보니까 보안 수준은 약간 떨어질 수밖에 없습니다. 정확히 말씀드리면 예전에 우리가 좀 귀찮았지만 공인인증서나 일회용 비밀번호 이런 것을 쓰는 그런 결제 시스템에서 사고율은 저희가 2015년 기준으로 봤을 때 한 0.0002% 정도 됩니다. 그런데 우리가 간편결제 대명사 그러면 아까 말씀드렸듯이 페이팔이지 않습니까? 이 페이팔 같은 경우에는 사고율이 0.3% 정도 됩니다. 그러니까 사실 그 차이가 꽤 1,500배 정도 차이가 나는 거죠. 그래서 일단은 간편결제 쪽은 아무래도 해킹 위협에서 완전히 자유로울 수는 없다고 보셔야 할 것 같고요. 그래서 이제 보통 이야기하는 것이 보통 우리가 토스 이런 데에서 사고가 났으니까 너무 단순한 거 아니야? 이거 보안 수준을 올려야 하는 거 아니야? 뭐 이런 이야기를 또 많이 하세요. 그런데 사실은 보안 수준을 그렇게 끌어올려서 불편하게 만들면 더 이상 또 간편결제가 아니잖아요.

▷ 오태훈 : 그러네요

▶ 김승주 : 그렇죠. 그래서 보통 이런 토스라든가 아니면 이런 페이팔 이런 간편결제를 하는 업체들은 기술로 막을 수 있는 건 기술로 막되 그러니까 간단한 기술로는 막을 수 없다면 그러면 이제 직접 소비자한테 배상해주는 방식을 택합니다.

▷ 오태훈 : 그 업체에서 이 손해를 보상해준다는 말씀이시네요?

▶ 김승주 : 그렇죠. 그래서 이번에 토스 같은 경우도 사실은 토스의 고객은 1,400만 명, 1,500만 명이 넘었거든요. 그런데 그중에서 8명의 사고가 났었죠. 그런데 토스에서는 그걸 전액 배상을 했었고요. 이건 이제 외국의 결제 업체도 마찬가지입니다. 제가 아까 뭐 미국의 간편결제 업체 말씀을 드렸지만 작년을 기준으로 봤을 때 미국의 간편결제 업체가 부정 결제로 인해서 돈으로 물어준 금액이 11억 달러입니다.

▷ 오태훈 : 그렇게 많이 물어줬어요?

▶ 김승주 : 네. 그런데 실제로 매출액에 비교해보면 전체 매출액의 한 0.15% 정도 됩니다.

▷ 오태훈 : 그러니까 부정결제 책임을 업체가 보상을 해준다는 건 업체 스스로가 이 결제 시스템을 강화하고 편리함은 두고 하지만 안전성을 높이는 노력들을 할 것 같거든요.

▶ 김승주 : 그렇죠. 그러니까 이게 방식이 뭐냐 하면 우리 언론에서는 주로 이런 사고가 나면 업체가 자꾸 기술적 수준을 올려야 돼, 자꾸 이 이야기를 하시거든요. 그런데 사업을 하는 업체 입장에서는 기술의 수준을 올렸는데 그게 사용자를 불편하게 하면 그 기술을 그냥 채택 안 하는 겁니다. 그러느니 그냥 손해배상을 한다고 가는 겁니다. 그래서 페이팔도 보면 계속해서 작년에도 11억 달러를 손해배상 해줬고 그 전해에도 11억 달러를 손해배상을 해줬거든요. 그런데 매출액 대비 비율로 따지면 계속해서 줄고 있습니다. 왜냐하면 간편하니까 쓰는 사용자들은 점점 많아지는 거거든요.

▷ 오태훈 : 그렇겠죠.

▶ 김승주 : 그래서 2가지 정책을 다 한다고 보시면 됩니다. 기술적으로 막는 것과 손해배상을 하는 것과.

▷ 오태훈 : 그런데 당연한 것처럼 느껴지지만 방금 교수께서 그렇게 말씀하시는 걸 들어보니까 우리는 아직 업체 책임이 법제화 되지는 않은 모양이에요.

▶ 김승주 : 그거 자체가 사실은 예전보다는 많이 바뀌기는 했습니다. 뭐 문제가 있을 때 업체가 이렇게 배상을 해야 한다. 예전보다는 많이 바뀌었지만 그래도 이제 외국 수준에 비하면 아직도 이용자 과실률을 묻는 게 좀 많다고 볼 수 있겠고요. 그 부분들은 바뀌어야 할 것 같습니다. 외국 같은 경우는 일반 사용자들을 IT에 대해서는 상대적인 약자라고 인식을 합니다. 그래서 요새 해킹 기술이 워낙 발달했기 때문에 이용자들이 무슨 보이스피싱도 안 당하고 뭐 공인인증서 같은 것도 안전하게 관리하고 이런 것들이 쉽지 않다. 그래서 가급적 이용자의 책임을 묻지 않겠다는 어떤 원칙을 갖고 있거든요. 그런데 우리 같은 경우도 기본적으로 금융사가 배상을 해준다는 원칙은 갖고 있습니다만 우리가 약관에 보시면 이용자 중대과실 항목이라는 게 있습니다. 그래서 우리 보통 교통사고도 이용자 횡단보도 건너다 사고가 났다든가 이러면 보험 처리를 못 받지 않습니까? 그렇듯이 약관에 이용자 중과실 항목이 있는데 그런 부분들을 이용자 입장에서 이렇게 줄여줄 필요는 있어 보입니다.

▷ 오태훈 : 그리고 간편송금 서비스가 범죄인들의 돈 세탁 창구가 되기도 한다는 이야기를 들었어요. 거래 추적이 쉽지 않다는 게 그 이유라면서요?

▶ 김승주 : 그게 일단 현재 법적으로는 은행끼리는 이렇게 사고가 나고 이러면 정보를 공유합니다. 그런데 현재 은행과 간편송금 업체 간에는 정보 공유가 의무하되어 있지는 않습니다.

▷ 오태훈 : 그렇습니까?

▶ 김승주 : 그리고 간편서비스 자체가 가상계좌 기반으로 운영되기 때문에 추적이 쉽지 않습니다.

▷ 오태훈 : 요즈음 대형포털에서도 이런 무슨 무슨 머니, 머니 이렇게 해서 많이 하잖아요.

▶ 김승주 : 그렇죠. 게다가 이제 그게 실제 돈이 아니라 돈을 가지고 충전을 하는 거죠. 그래서 충전금의 형태로 운영을 하기 때문에 보통 이제 보이스피싱이나 이런 해커들이 돈을 일단 받으면 그걸 다른 통장으로 계속해서 돌립니다. 쫓아가기 힘들게 하기 위해서. 그런데 그 중간에 간편송금 업체가 끼어버리면 계속 계좌로 돈이 이동하다가 이게 충전 금액으로 바뀌었다가 다시 통장으로 들어가기 때문에 연결고리가 끊어지는 겁니다. 그러다 보니까 이제 추적하기가 어려운 거죠.

▷ 오태훈 : 우리가 코로나19 이전과 이후의 삶은 다를 수밖에 없다는 이야기들을 많이 합니다. 그리고 비대면 거래라든가 비대면 결제 같은 것들 더욱더 늘게 되고 또 편리한 방식으로 포털에서 어떤 금액이라든가 돈 성격의 여러 가지 이런 장치들이 많이 늘고 있어요. 그런데 여기에 대해서 가끔씩 피해를 보거나 아니면 몰라서 아니면 누군가의 사기에 의해서 손해가 발생을 했을 때 경찰에 신고를 해도 이거를 새로운 범죄라고 해서 쉽게 경찰에서도 이걸 적극적으로 대응하기 쉽지 않다는 이야기를 들었습니다.

▶ 김승주 : 맞습니다. 요새 비대면 환경이 강조되면서 사실 기존에는 못 보던 서비스들이 굉장히 빠른 속도로 지금 만들어지고 있거든요. 그리고 그 모든 것들은 사실 비대면 환경에서 이루어집니다. 그런데 우리가 비대면으로 계좌 개설할 때도 보고 여러 가지를 보면 사실은 그 모든 것들이 공인인증서 아니면 휴대폰 본인확인 이 2가지 장치를 가지고 보통 비대면 확인이라는 걸 하거든요. 그 이야기는 뭐냐 하면 휴대폰이 해킹 당했다든가 공인인증서가 해킹을 당하면 기존에 비대면으로 했던 금융 시스템은 굉장히 큰 영향을 받을 수 있다는 이야기입니다.

▷ 오태훈 : 그러네요.

▶ 김승주 : 그러다 보니까 이제 경찰에서 요새 첨단 범죄들이 나오면 수사하는 데 시간도 오래 걸리고 인력도 지금 많이 필요로 하고 그러고 있는 것 같습니다.

▷ 오태훈 : 하지만 이걸 극복을 해야 할 것 같습니다.

▶ 김승주 : 그렇죠, 맞습니다.

▷ 오태훈 : 정부 차원에서 어떤 대책들을 마련할 필요가 있을까요?

▶ 김승주 : 일단 아까 간편송금 서비스 업체들은 사실은 법의 사각지대에 있었던 건 사실입니다. 그래서 정보공유도 안 되고 여러 가지 문제들이 있었거든요. 그래서 지금 금융위원회가 통신사기 피해환급법이라는 걸 개정할 예정입니다. 그래서 카카오페이나 토스 같은 간편송금 서비스 업체들도 법상 금융기관으로 규정을 하려고 하고 있습니다. 그래서 각종 금융 사기에 대비해서 금융사 수준의 어떤 예방책이나 아니면 환급의 의무 그다음에 자체 점검, 정보 공유 이런 것들에 대한 어떤 대책을 마련하려고 지금 준비하고 있습니다.

▷ 오태훈 : 그리고 그동안 말도 많았고 탈도 많았던 공인인증서 폐지법이 올 12월에 실시되잖아요. 그러면 이제 국가에서 그동안 2개 공인인증서 기관 여기만 인정을 했다가 이제는 사설 전자서명이 가능해지는 겁니다. 이거는 별 문제 없을까요?

▶ 김승주 : 지금 사실은 공인인증서 자체가 폐지되는 건 아니고요. 공인이라는 이름이 없어지는 겁니다.

▷ 오태훈 : 공인 이름 떼고 각자 그냥 경쟁하는 거죠?

▶ 김승주 : 그렇죠. A기관 인증서, B기관 인증서, C기관 인증서 이렇게 될 거고요. 그것들이 시장에서 경쟁을 할 겁니다. 그런데 뭐 이번에 개정안, 전자서명법을 개정한 이유도 시장경쟁을 치열하게 만들어서 성능 좋은 제품이 사용자의 선택을 받도록 하겠다는 거거든요. 그런데 이제 시장 경쟁이 치열해지면 초기 과도기 상태에서는 그다지 그렇게 안전하지도 않은데 과대 선점을 해서 막 소비자들을 현혹시키는 것들도 있거든요. 그래서 그런 것들에 대해서 현명하게 선택하는 그런 지혜는 필요해 보이고요. 정부도 사실은 시장에 제대로 된 정보가 주입되도록 공급되도록 이렇게 노력할 필요가 있을 것 같습니다.

▷ 오태훈 : 그리고 내년이면 운전면허증도 휴대전화에 담을 수 있다는 이야기를 들었습니다. 그러니까 과거에는 누가 저 지금 전화가 없는데 휴대전화 잠깐만 빌려주세요라고 하면 빌려줬어요. 그런데 최근에는 이 휴대전화 안에 워낙 많은 정보들, 내용들, 결제시스템 같은 것들이 다 담겨 있어서 불안하기도 하거든요. 이런 안전성에 대해서 뭔가 담보할 수 있는 조치들도 필요할 것 같습니다.

▶ 김승주 : 지금 아주 중요한 말씀 해주셨는데 지금 스마트폰이 이제는 또 하나의 내 자신이 되어버렸습니다.

▷ 오태훈 : 그러니까요.

▶ 김승주 : 모든 정보가 다 들어가니까요. 그런데 아무리 스마트폰에 있는 앱을 잘 만든다고 하더라도 우리가 스마트폰 안에도 운영체제도 있고 다 있지 않습니까? 그래서 가끔 보시면 스마트폰을 빨리 업데이트 하라는 공지가 나오는 걸 보실 수 있습니다.

▷ 오태훈 : 귀찮아요, 그런데 그거.

▶ 김승주 : 그런데 보통 우리가 데이터 통화도 써야 하고 배터리도 다니까 업데이트를 즉각즉각 안 하세요. 그런데 스마트폰 업데이터 공지가 뜨면 그 공지는 해커도 봅니다.

▷ 오태훈 : 무슨 뜻인가요, 그게?

▶ 김승주 : 예를 들어 어떤 걸 업데이트, 하세요 그러면 그 업데이트 메시지를 해커도 볼 수 있거든요. 그러면 해커는 그걸 분석해서 업데이트 안 한 스마트폰에는 어디, 어디에서 문제가 있구나를 거꾸로 파악하게 되는 겁니다. 그러면서 하루, 이틀 안에 바로 공격이 들어가거든요. 그래서 업데이트 공지가 뜨면 즉각적으로 업데이트 하셔야 합니다.

▷ 오태훈 : 그것만으로는 괜찮아요, 그러면? 그것만 하면?

▶ 김승주 : 사실은 스마트폰에 있는 앱이나 프로그램만 최신버전으로 업데이트 하셔도 우리가 무슨 뭐 스미싱 문자가 오고 뭐 여러 가지가 있지만 해킹 위협으로부터 90% 가까이는 지키실 수 있습니다.

▷ 오태훈 : 새로운 거 알았습니다. 그러니까 업데이트 문자가 오거나 그러면 물론 이거는 기종에 따라서 달라질 수 있겠지만 믿을 수 있는 기관에서 오는 거겠죠.

▶ 김승주 : 그렇죠.

▷ 오태훈 : 그것만큼은 꼭 받아라.

▶ 김승주 : 항상 최신버전으로 갖고 계셔야 합니다.

▷ 오태훈 : 알겠습니다. 끝으로 코로나19 때문에 이제 이거는 일상이 되었어요. 우리가 적응을 해야 하는 겁니다. 하지만 개인정보 보호를 위해서 끝으로 노력할 수 있는 것들 이번에 업데이트 하는 거 말고도 어떤 노력들이 필요할지 정리해주세요.

▶ 김승주 : 일단 요새 SNS가 너무 많으니까 개인정보를 너무 많이 올리세요, 인터넷에. 그걸 일단 그 습관부터 줄이실 필요가 있고요. 너무 많은 개인정보가 지금 SNS를 통해서 나오고 있거든요.

▷ 오태훈 : 어떤 것들을.

▶ 김승주 : 아까 말씀드렸듯이 사진 정보가 너무 많이 올리면 그 사진을 도용해서 카카오톡이나 이런 메신저에서 나를 사칭할 수도 있고요. 또 뭐 여러 가지 SNS에서 나 어디 간다, 학교 어디 다닌다. 이런 게 노출되면 내가 메신저 서비스를 가지고 타인으로 사칭하기가 더 쉽잖아요. 그 사람에 대해서 많이 아니까. 그래서 일단 인터넷상에 자기 정보를 많이 올리는 걸 자제하실 필요가 있고요. 두 번째는 우리 보통 이중 인증이라고 하는 게 있습니다. 그러니까 보통 아이디하고 패스워드 치고 로그인을 하지만 그거 말고 휴대폰을 통해서 사용자 인증을 한 번 더 받는 걸 이중 인증이라고 하거든요.

▷ 오태훈 : 그거 얼굴로도 하고 지문으로도 하고 그런 거 말하는 건가요?

▶ 김승주 : 맞습니다. 그런데 그게 뭐 구글이나 페이스북 이런 트위터, 네이버, 카카오 이런 것들도 이중 인증 서비스를 제공합니다. 그래서 그걸 켜놓으시면, 그러니까 설정에 들어가서 이중 인증을 켜놓으시면 아이디하고 비밀번호 치고 로그인 하시면서 스마트폰 같은 걸로 문자메시지를 통해서 인증을 한 번 더 받게 됩니다. 그런데 사실은 이 이중 인증이 요새는 대세고요. 이것만 해놓으셔도 사실은 해킹은 상당수 막을 수 있습니다. 제가 항상 이렇게 인터뷰하면 조금 이렇게 책임지는 위치에 계시든가 아니면 이렇게 공적인 위치에 있든가 언론에 계신 분들은 반드시 이중 인증 켜두십시오. 그 이야기를 사실은 항상 드리고 있습니다.

▷ 오태훈 : 저도 하겠습니다. 지금 청취자 강유진 님께서 “꿀정보 감사합니다.”라고 보내주셨는데 글쎄요. 좀 노출이 될 수 있는 부분들 많이 줄여야 할 것 같고 여러 가지 보안 장치들 계속해서 업데이트 하고 이중으로 관리하는 노력들 해야 할 것 같습니다. 지금까지 고려대학교 정보보호대학원 김승주 교수와 함께 말씀 나눴습니다. 오늘 말씀 고맙습니다.

▶ 김승주 : 감사합니다.

이 기사가 좋으셨다면

오늘의 핫 클릭

실시간 뜨거운 관심을 받고 있는 뉴스

이 기사에 대한 의견을 남겨주세요.

수신료 수신료

많이 본 뉴스