역대최대 해킹… 폐기 처분

금융결제원이 해킹이 의심되는 공인인증서 461개를 한꺼번에 폐기했다. 금융결제원이 직접 나서서 공인인증서 수백 개를 없앤 건 처음이다.

11일 금융권에 따르면 금융결제원은 최근 파밍(pharming) 사이트를 감시하다가 해킹을 통해 수집된 것으로 추정되는 공인인증서 목록 뭉치를 발견했다. 파밍이란 피해자 컴퓨터를 악성코드에 감염시켜 진짜 사이트 주소를 넣어도 가짜 사이트에 접속돼 개인 정보가 빠져나가는 진화된 피싱 수법이다.

신한·국민·우리·하나·씨티·농협·스탠다드차타드(SC) 등 주요 시중은행에서 발급한 공인인증서가 대거 포함됐다. 금융결제원은 유출된 공인인증서 700개 가운데 유효기간 종료 등 사용이 제한된 인증서를 제외한 461개를 일괄 폐기한 뒤 지난 4일 이 사실을 해당 은행 정보기술(IT) 관련 부서에 통보했다.

경찰이 아닌 금융결제원이 해킹된 공인인증서 수백 개를 자체적으로 폐기한 사례는 처음이다. 2010년 경찰 요청으로 인증서를 일괄 폐기했지만 이때는 36개에 불과했다. 금융결제원이 직접 폐기라는 초강수를 둔 것은 공인인증서 특성상 시간을 지체하다가 대형 금융사고가 터질 수 있다는 우려에서다. 은행들은 해당 고객에게 전화로 개인정보 유출 사실을 긴급 공지하고 재발급이 제한됐으니 가까운 영업점을 방문해 발급 제한을 해제하라고 요청했다.

그러나 홈페이지 등에 이 사실을 공지한 은행은 씨티은행 한 곳밖에 없어 은행권의 보안 불감증이 여전하다는 비판을 받고 있다. 금감원 역시 금융결제원이 이미 은행에 관련 사실을 통보하고서 사흘이 지난 7일에야 피해 고객에게 인증서 폐기 사실을 알릴 것을 은행권에 주문했다. 다행히 이번 공인인증서 해킹에 따른 금전적인 피해는 아직 없는 것으로 전해졌다.

이성원 기자 lsw1469@seoul.co.kr