국민銀 폰뱅킹 사고…금감원 “보안의식 허술, 피해 10배로 키운 셈”

국민은행의 폰뱅킹 불법 계좌인출 사건과 관련, 금융감독원은 통합 이후 OTP(One Time Password:일회용 비밀번호) 적용 범위를 상향 조정하는 등 은행의 보안 의식에 문제가 있다고 판단, 이에 따른 지도 방안을 내놓을 방침이다.

또한 전 금융기관을 대상으로 폰뱅킹 사용시 OTP 적용 여부와 범위를 조사해 보안성을 강화하도록 조치할 계획이다.

29일 금감원 관계자는 “옛 주택은행은 폰뱅킹에서 300만원 이상 이체하거나 인출하면 OTP적용 보안카드를 이용해야 했는데 통합 이후 옛 국민은행 기준인 3000만원으로 상향 조정해 보안의식이 허술함을 드러냈다”며 “옛 국민은행 고객이 훨씬 많아 혼란을 줄이기 위해 범위를 그렇게 정했을 것으로 추측하지만 사고 가능성을 생각하면 결과적으로 피해금액을 10배 정도 키울 수 있는 소지를 남겨둔 셈”이라고 말했다.
이 관계자는 “이번 국민은행 폰뱅킹 사건의 쟁점은 비밀번호 유출 여부”라며 “지난해 대우증권 사고 이후 각 금융기관에 보안관련 지침을 통보한 것이 잘 지켜지고 있는지 점검하고 있다”고 밝혔다.

금감원에 따르면 각 금융기관은 자체적으로 정한 기준에 따라 폰뱅킹 이용시 OTP를 활용하도록 하고 있다.

일반적으로 약 30개의 비밀번호가 기록된 보안카드를 OTP 수단으로 제공하며 일부 기업고객들에게는 OTP발생기를 지원한다. OTP발생기는 만보기와 같은 작은 기계에서 매번 다른 비밀번호를 알려준다. 일부 할부금융사 등에서는 핸드폰 SMS(단문 메시지 서비스)를 통해 비밀번호를 통보하기도 한다.

한편 국민은행은 이번 폰뱅킹 사건을 자체적으로 조사한 결과 계좌비밀번호, 사용자 암호, 계좌이체 승인암호는 암호화돼 기록돼 있고 창구 단말기나 직원 단말기를 통해 조회할 수 없다고 발표했다.

암호 복호화 프로그램은 업무팀이 아닌 보안팀에서 보관, 관리하는데다 사고 발생 시점 이전인 2002년 12월 이후 사용한 바 없어 내부 직원은 이번 사건과 관련이 없다고 발표했다.


김미선 기자 una@fntimes.com