​[금융보안 이대로 좋은가] 금융소비자 스스로 금융보안 강화하려면

아주경제 장윤정 기자 = #사례 1 주부A씨는 건망증이 심하다. A씨는 기억하기 쉽게 모든 통장, 카드, 인터넷 사이트의 비밀번호를 하나로 통일해서 쓴다.
금융거래를 위한 보안카드도 매번 인터넷뱅킹 때마다 꺼내 확인하기 귀찮아 PC 바탕화면에 저장해뒀다.
어느날 A씨는 컴퓨터를 켠 A씨는 금융감독원의 금융정보 보안업그레이드를 해야 한다는 팝업창이 나타난 것을 보고 지시대로 따라했다가 예금 천만원을 고스란히 파밍 악성코드에 도난당하는 악몽을 경험했다.

# 사례 2 회사원 B씨는 최근 사용하던 노트북의 운영체제인 윈도XP의 지원이 종료됨에 따라 윗 버전의 OS로 교체하라는 회사의 알림을 받았다.
하지만 OS를 교체하려면 기존 데이터를 모두 백업받아둬야 하는 것이 귀찮아 차일피일 미루고 말았다.
윈도XP를 그대로 사용하던 B씨는 어느날 PC가 멈추고 작성중이던 제안서가 모두 날아가고 발주했던 주문서의 결제 이체가 엉뚱한 계좌로 수행된 것을 발견했다. 윈도XP 취약성을 이용한 악성코드에 당한 것이었다. 복구파일로도 날아간 제안서를 되돌릴 수 없어 A씨는 황급히 OS 버전을 업그레이드했지만 이미 소잃고 외양간고치기가 되고 말았다.

올초부터 카드사에서 1억건이 넘는 개인정보 유출사고가 발생한 후 금융보안에 비상이 걸렸지만 의외로 비밀번호를 변경하거나 인터넷뱅킹, 모바일뱅킹 시 전보다 더 주의한다는 사용자가 적다.

위의 주부 A씨 사례나 회사원 B씨의 경우처럼 ‘귀찮아서’ ‘설마 나한테 사고가 나려고?’와 같은 안일한 대처가 금융보안 사고를 발생시킨다.

금융당국이 정책을 제대로 세우지 않아서, 금융사들이 보안투자를 하지 않아서 보안사고가 발생할까?

물론 금융당국도, 금융사에도 책임이 있다. 하지만 안전한 금융거래를 위해서는 소비자 스스로 보안에 주의를 기울이는 것이 일차적인 사고 예방법이다.

◆ 백신은 기본·자바 MS 패치 등 SW업그레이드 필수
전상훈 빛스캔 이사는 “최근 공격자들은 정해진 패턴의 악성코드를 배포하지 않기 때문에 백신만으로 악성코드를 막을 수 없다. 또 국내에서 주로 사용하는 백신의 활동을 일단 차단시키고 악성코드의 활동이 시작되는 경우가 대부분이다”고 말했다.

이어 그는 “따라서 백신은 기본으로 사용하돼 MS 패치, 자바·어도비 등 각종 프로그램의 최신 패치를 반드시 제때 업그레이드해 PC의 취약성을 제거해야한다”고 말했다.

공격자들의 목표는 결국 ‘금전’이기 때문에 금융자산을 지키기 위한 노력은 반드시 필요하다.

카스퍼스키랩의 조사에 따르면 ‘피싱 공격의 3분의 1은 돈을 훔치는 것이 목표’다.

카스퍼스키랩(Kaspersky Lab)의 연구 보고서인 ‘2013년 사이버 금융 위협(Financial Cyber Threats in 2013)’에 따르면, 사이버 범죄자들은 과거 어느 때보다 금융 기관을 사칭한 가짜 사이트를 만들어 사용자의 비밀 정보를 빼내고, 은행 계좌에서 돈을 훔치는 데 열중하는 것으로 나타났다.

2013년 한 해 동안 유수 은행, 온라인 상점, 전자 결제 시스템을 사칭한 피싱 공격의 비율은 31.45%로 2012년보다 8.5% 증가했다. 이러한 추세는 시간이 지날수록 더욱 심화될 전망이다.

특히 최근 윈도XP의 지원이 종료됨에 따라 보안위험이 더욱 커지고 있다. 윈도XP 지원이 종료됐다는 것은 더 이상 보안 패치 등이 제공되지 않는다는 의미로 윈도XP를 계속 사용할 경우 취약성을 노린 금융 파밍 공격 등 각종 위험에 노출될 수 있다.

상위 버전으로의 업그레이드 등을 통해 근본적으로 취약점을 제거하거나 PC사용에 전보다 더욱 주의를 기울여야한다.

또한 인터넷뱅킹 등 온라인거래에서 반드시 사용되는 공인인증서의 안전한 사용과 보관도 중요하다.

남에게 빌려주거나 이메일 혹은 웹하드에 저장할 경우 사고에 쉽게 노출될 수 있기 때문에 주의를 기울여야한다.

◆ 전자금융사기 예방 보안수칙 준수해야
보안전문가들은 공인인증서를 PC에 저장하는 것 보다는 별도의 USB나 HSM(Hardware Security Module)에 보관하는 것을 권장하고 있다. 공용 PC 등 여러 사람이 사용하는 컴퓨터에서 공인인증서를 이용한 금융거래를 하는 것도 금물이다.

미리 설치된 악성코드를 통해 공인인증서와 비밀번호 등이 유출될 가능성이 있기 때문이다. 또한 공인인증서를 쓸 때 사용하는 비밀번호는 추측이 어렵게 만들고 자주 변경해야 한다.

각종 스미싱 문자도 주의해야한다.

PC만이 아니라 휴대폰 문자 메시지로도 ‘[NH농협]000님 설치 후 전자금융 예방서비스 가입 완료하세요. http://j**.**/y**’ 등가과 같은 문구와 인터넷 주소가 포함돼 있는 문자가 사용자를 유혹한다. URL을 클릭하는 순간 전자금융사기에 걸리는 것은 물론이다.

관련 전문가들은 “내 금융자산을 지키는 것은 결국 나 자신이기 때문에 전자금융 사기 예방 보안수칙 등을 엄수, 다소 귀찮더라도 보안을 생활화하는 자세가 필요하다”고 당부했다.

<전자금융 사기 예방 보안수칙>

첫째, 전자금융사기를 막기 위해 PC와 스마트폰 보안점검을 생활화해야 한다.
둘째, 백신 프로그램을 항상 최신으로 업데이트하고 악성코드 탐지 및 제거를 주기적으로 수행해야 한다.
셋째, 출처가 불분명한 파일을 다운로드 하거나 이메일 주소를 절대 열어보지 않는다
넷째, 휴대폰 문자에 포함된 출처가 불분명한 링크주소를 절대 클릭하지 않는다.
다섯째, 무료(할인)쿠폰, 돌잔치ㆍ청첩장 초대, 도로교통법 위반, 법원출두명령 등으로 전송된 문자는 클릭 시 인증번호를 가로채는 악성앱이 설치될 수 있으므로 주의해야 한다.
여섯째, 컴퓨터나 이메일 등에 공인인증서, 보안카드 사진, 비밀번호 등을 저장하지 않는다.