주메뉴바로가기 본문바로가기
전체메뉴
HOME > Target@Biz > 이슈

휴대전화 털리면 계좌까지…스미싱에 이용 '모바일 OTP' 안전성 문제없나

폰에 저장된 신분증 사진으로도 인증 가능…AI로 사본 판별 기술 도입 "100% 걸러내긴 어려워"

2023.08.31(Thu) 15:22:58

[비즈한국] 문자 메시지 내 인터넷 주소(URL)를 누르면 악성코드가 설치돼 소액결제 피해가 발생하거나 개인·금융정보가 빠져나가는 ‘스미싱 범죄’ 주의보가 내려졌다. 최근 부산에서 택배주소 정정을 요구하는 문자 메시지를 보고 URL을 눌렀다가 4억 원이 인출되는 일이 발생했다. 경찰 조사에 따르면 피해자 A 씨가 URL을 누르자 원격제어 애플리케이션 2개가 설치됐고, 이틀 뒤 휴대전화가 먹통이 된 사이를 틈타 범인은 A 씨의 정기예금 계좌 3개를 해지해 계좌 20여 곳으로 거액을 빼돌렸다. 범인이 A 씨의 개인정보를 이용해 모바일 일회용 비밀번호 생성기(OTP)를 발급 받았을 가능성에 무게가 실리면서 ‘비대면 실명확인제’의 안전성에 대한 우려의 목소리가 높아지고 있다.

 

#악성 앱 설치·명의 도용 시 다중 확인 절차 ‘무력’

 

모바일 OTP는 전자금융거래 정보와 연계해 1회용 비밀번호를 생성하고 자동 인증하는 디지털 방식의 거래연동 OTP다. 실물 OTP는 은행을 직접 방문해야 발급이 되는 데다 배터리 소진 시 기기를 새로 교체해야 한다. 반면 모바일 OTP는 애플리케이션(앱)에 기반해 본인 확인 절차만으로 발급이 가능하다. 발급 자체가 어렵지 않다 보니 타행에서 이용할 수 없다는 번거로움에도 모바일 OTP의 인지도는 높은 편이다. 4대 시중은행 가운데에는 2017년 하나은행을 시작으로 신한(2018년)·우리(2020년)·KB국민(2021년) 순으로 모바일 OTP 서비스를 도입했다. 

 

금융위원회 가이드라인에 따라 발급은 신분증 사본 제출·영상통화·접근매체 전달 과정에서 확인·기존계좌 활용(1원 송금)·기타 이에 준하는 방법(생체인증 등) 가운데 2개 이상(의무), 타 기관 확인 결과 활용(인증서, I-Pin, 휴대전화 인증 등)·다수의 고객정보 검증(전화번호, 주소, 이메일 등) 가운데 1개 이상(권고) 등의 절차를 거쳐 이뤄진다. 앱에 접속해 보니 4대 은행은 신분증 사본 제출 방식을 공통으로 채택하고 있었다. 은행별로 살펴보면 하나(계좌 인증·신분증 확인), 신한(신분증 확인·계좌 인증 또는 영상통화·ARS 인증), 우리(휴대전화 인증·신분증 확인·계좌 인증), 국민(신분증 확인·​​계좌 인증)으로 확인된다. 앱 로그인을 하지 않은 경우에는 단계가 추가된다. 

 

그러나 악성 앱이 설치되거나 명의가 도용되는 등 본인 명의 휴대전화에 대한 통제권이 상실된 경우에는 다중 확인 절차가 소용없다. 금융위원회 가이드라인이 제시하는 인증수단 가운데 영상통화가 가장 정확도가 높지만, 다른 수단에 비해 비교적 시간이 소요되는 데다 일부 은행은 영상통화 전용 앱을 설치하게 해 사실상 활용되는 경우가 드물다. 이를 노리는 금융범죄는 나날이 늘어나고 있다. 정희용 국민의힘 의원실이 경찰청으로부터 받은 최근 4년간(2018~2021년) 스미싱 발생 현황에 따르면 피해액은 2018년 2억 3520만 원에서 2021년 49억 8550만 원으로 21.2배 증가했으며, 피해 인원 또한 2018년 187명에서 2021년 1321명으로 7.1배 늘었다. 

 

#신분증 사본으로도 인증 가능 ‘빈틈’

 

신분증 사본을 판별할 수 없는 점 역시 비대면 실명확인제의 문제로 꼽힌다. 시중은행 모두 금융결제원의 비대면 신분증 진위 확인 시스템을 활용하는데, 이 시스템으로는 신분증의 진위만 확인이 가능하다. 신분증 실물이 아닌 사본으로도 인증이 가능하다. 기자가 일부 은행 앱에서 직접 시도해보니 AI 기술 등을 추가로 활용하는 은행을 제외하고는 신분증 사본으로 모두 인증이 됐다. 현재 권고에 그치는 신분증 사본 판별 시스템 도입을 가볍게 여길 수 없는 이유는 일상생활에서 가장 흔하게 사용되는 인증 수단이 신분증인 만큼 사본 유출의 가능성이 높기 때문이다. 스미싱 범죄 등으로 신분증이 도용된다면 비대면으로 이뤄지는 실명 확인의 문턱은 매우 낮아지게 된다. 

 

신분증 사본만으로 비대면 실명 확인이 이뤄지는 것은 아니지만, 스미싱으로 개인·금융 정보가 조금이라도 탈취된다면 쉽게 실명확인 절차를 건널 수 있는 곳도 있다. 하나은행·​​국민은행의 경우 계좌 인증과 신분증 확인만 거치는데, 스미싱 범죄로 가장 많이 도용되는 정보가 계좌 정보와 신분증 사본이다. 추가 ARS 인증, 앱 아이디 등을 입력해야 하는 타 은행에 비해 실명 확인이 쉬웠다. 앱에서 자동 로그인 기능을 사용한다면 도용은 더 쉬워진다.

 

비대면 실명확인제를 두고 논란이 불거진 건 이번이 처음이 아니다. 스미싱 범죄가 발생할 때마다 금융당국이 비대면 실명확인에 대한 가이드라인을 개편했지만 개인·금융정보 도용은 막지 못하고 있다. 경제정의실천시민연합(경실련)이 지난해 1월부터 집계한 신분증 사본 인증 피해자는 모두 570여 명에 달한다. 시중은행 관계자들은 “현행 인증 시스템에 한계가 있음을 인지하고 내부에서 시스템을 마련하고 있다”고 밝혔다. 

 

현재 신분증 사본 판별 시스템을 활용하는 시중은행은 하나·국민은행이다. 하나은행은 지난해 12월 은행권 최초로 딥러닝 기술을 활용한 사본 판별 기술을 도입했다. 국민은행은 올해 4월부터 인공지능(AI)을 활용한 사본 판별 기술을 사용하고 있다. 신한은행 관계자는 “올해 연말까지 신분증 사본 판별 시스템 강화를 마칠 예정”이라고 밝혔다. 우리은행은 “판별 절차와 관련해 기능 개선을 계획하고 있다”고 말했다.

 

다만 별도의 신분증 사본 판별 시스템 도입도 금융범죄를 모두 막지는 못한다는 목소리도 나온다. 한 시중은행 관계자는 “추가로 기술을 도입하더라도 엄밀히 말하면 100% 판별해낸다고 보기는 어렵다. 게다가 금융범죄 사례를 살펴보면 비대면으로 본인 행세를 하려는 이들은 대개 피해자의 모든 정보를 얻은 상태에서 범행을 저지르기 때문에 강력한 인증 절차가 있더라도 피해는 생길 수 있다고 본다”고 말했다. 

 

#금융당국 “생체 정보 활용해 비대면 금융거래 지원”

 

금융당국은 생체 정보를 활용한 비대면 금융거래를 지원해 금융범죄를 근절하겠다는 계획이다. 지난해 기준 본인 인증을 위한 금융권 생체 정보 등록자 수는 626만 명으로 비대면 거래 이용자 1억 9950만 명(19개 시중은행·인터넷은행 및 우체국 기준)의 3%에 불과하다. 분실이나 유출 위험이 적지만 투입되는 비용이 만만치 않아 현재 일부 은행 및 대면 거래에서만 생체 정보를 활용하고 있다.

 

당국은 금융권 태스크포스를 통해 올해 말까지 비대면 금융거래에 대한 금융권 생체인증 인프라를 구축하는 등 생체정보 인증 활성화를 추진한다. 휴대전화로 인식할 수 있는 안면 정보 등을 활용하고, 은행이 시스템 개발 부담을 줄일 수 있도록 금융결제원을 중심으로 생체 정보를 처리 및 관리하는 금융권 공동시스템을 구축한다는 내용이다. 외부 보안성 검토 의무화 등도 담겼다. 시중은행은 당국과 발을 맞춰 생체인증 기술 활용을 준비 중이다.

 

김승주 고려대 정보보호대학원 교수는 “금융당국이 생체정보 등 다양한 인증수단을 허용하겠다는 방안은 바람직하다고 생각한다. 시장에서 자유롭게 경쟁하다 보면 간편하면서도 안전한 인증수단이 나올 수 있다. 다만 보안 기술은 조금이라도 잘못 만들어지면 만들기 전보다 못한 상황이 발생할 수 있다. 당국의 취지가 살아나려면 업체들의 세심한 고민이 필요하다”고 말했다. 

김초영 기자

choyoung@bizhankook.com

[핫클릭]

· 삼성전자·LG엔솔·네이버·기아 탄소중립 역행…30대 기업 온실가스 배출량 살펴보니
· 붕괴사고 낸 GS건설 '영업정지 10개월' 둘러싸고 실효성 논란
· "머리하러 갔다가 바가지 썼네" 일부 미용실 '양심불량'에 '가격 사전고지제' 무색
· '논란'의 다크앤다크 품은 크래프톤, 엔씨 사건이 겹쳐 보이는 이유
· 10년 쌓은 DX코리아 버리고 KADEX 2024로…그 앞에 드리운 장애물 셋


<저작권자 ⓒ 비즈한국 무단전재 및 재배포 금지>