콘텐츠 바로가기
홈으로

블로킹

전체기사

‘큐싱’ 등 신종범죄 나와도…은행권 대비는 ‘부실’

팍스넷뉴스 2019.01.15 11:23 댓글 0

[QR코드진단] ③ “주력 비즈니스 아닌데”…알고도 ‘쉬쉬’



[팍스넷뉴스 공도윤, 김병윤 기자] 제로페이를 중심으로 국내에서도 QR(큐알)코드결제가 확산되고 있다. 국내 금융사들도 큐알코드결제 서비스 확대를 위해 마케팅에 주력하고 있다. 문제는 큐알코드결제가 늘어나는 만큼 관련 범죄의 수도 늘어난다는 것이다. 이에 대한 금융사의 보안대책은 여전히 허술하다는 지적이다.

큐알코드에는 개인정보나 결제정보 등 각종 정보가 들어가는 만큼, 개인정보를 빼가거나 정보를 조작해 범죄에 이용 할 수 있다.
큐알코드 결제 방식은 URL 생성과 코드 방식이 있는데, 전문가들은 대체로 URL 생성 방식이 큐싱과 같은 범죄에 이용되기 쉽다고 말한다. 국내 은행의 경우 NH농협은행은 코드방식을 채택, 대부분의 은행은 보안이 강화된 형태의 URL 방식을 채택하고 있다.

큐알코드를 이용한 피싱이라고 해서 ‘큐싱’이라는 용어도 생겼다. 큐알코드에 악성 코드를 감염시켜, 가짜 금융 사이트로 유도한 후 개인정보를 빼내는 수법이다. 문자 수신을 방해하거나 착신 전화 서비스 설정을 조작해 소액결제, 자금이체 등을 유발하기도 한다.

다소 위안인 것은 금감위가 큐알코드 결제표준을 제정해 공표하며 제로페이 및 국내은행들은 큐싱에 대한 보안을 강화했다.
신한은행 관계자는 “대부분 모바일 앱에서 서비스를 제공하고 있어, 자체 보안책을 강화해 적용하고 있다”고 설명했다.
우리은행은 “QR코드 사용시 마다 바뀌는 원타임토큰 방식을 적용해 보안을 강화하고 있다”고 말했다.

하지만 큐알코드의 태생적 허점을 찌른 금융 범죄 발생은 여전히 막지 못하는 것으로 확인됐다. 중국에서는 최근 큐알코드 위에 조작한 큐알코드를 올려 개인 계좌로 상품 결제액을 채가는 사건이 왕왕 발생하고 있다. 이러한 범죄 발생 가능성은 국내 은행들도 인지하고 있다.

KB국민은행 관계자는 “특수필름을 붙이면 그 위에 다른 QR코드 붙여 위변조하는 것을 방지할 수 있다”며 “내부적으로도 방지책이 더 있다”고 설명했다.

하지만 IT 전문가는 이런 방안으로는 범죄를 막을 수 없다고 지적했다. 실제 팍스넷뉴스가 중국에서 발생한 범죄와 동일하게 국내에서 테스트한 결과 동일하게 보안이 뚫렸다. 상점에서 사용되는 큐알코드에 다른 계좌 정보를 넣은 작은 큐알코드를 붙이는 것만으로도 엄한 곳으로 결제액이 흘러갔다.

IT업계 관계자는 “은행사나 카드사의 경우 제로페이 출시로 큐알코드결제 서비스를 시작했지만, 주력 비즈니스가 아니다보니 전담부서가 따로 있는 것이 아니다”라며 “아무래도 보안에 대한 니즈도 낮고, 책임을 미루는 경향이 높을 수밖에 없다”고 지적했다.

해킹 등의 시스템 오류나 범죄로 인해 피해가 발생할 경우 책임 소재에 대한 기준도 모호하다. 큐알코드 결제는 중간결제자가 없이 쌍방간에 이뤄지는 거래로 양쪽다 피해를 입고도 보상을 받지 못하는 억울한 사례가 발생할 수 있다.

또 제로페이 출시로 국내은행이 다같이 참여한 만큼, 보안 사고 발생시 공동의 피해가 발생할 수 있다. 제로페이 주체는 수많은 간편결제 사업자가 되고 정산과 서비스 실행은 허브시스템에서 이뤄진다. 큐싱 등 보안 사고가 단 한 건이라도 발생하면 소비자와 가맹점 정보가 한꺼번에 노출될 가능성이 있다.

큐싱 등 신종 범죄가 늘고 있지만 보안 교육도 전무하다. 금융감독원이 공개한 자료에 따르면 지난해 1월부터 10월말까지 보이스피싱 범죄사건 발생건수는 5만4973건, 피해액은 40억원으로 역대 최고 수준을 기록했다. 피싱에 대한 소비자의 인식이 많이 높아졌음에도 불구하고 카카오톡 등의 메신저와 간편송금 앱 등 신종 기법을 활용한 피싱이 늘고 있다.

이에 반해 큐알코드 결제 관련 범죄에 대한 인식은 여전히 낮다. 큐알코드 결제를 주로 사용하는 상점이나 고객 대상관련 교육은 아직 이뤄지지 않고 있다. 전문가들은 큐알코드를 스캔하기 전까지 어떤 정보가 들어있는지 알 수 없고, 모바일 활용이 능숙한 젊은 연령층을 노린 수법으로 피해 범위가 다양하고 넓을 수 있다고 경고한다.

은행 관계자는 “직원을 대상으로 금융사기 교육은 정기적으로 이뤄지고 있지만 큐알코드결제 등 특정 사례별 교육이 따로 시행되는 것은 아니다”라고 전했다.




공도윤 기자 dygong@paxnetnews.com
김병윤 기자 bykim@paxnetnews.com
<ⓒ새로운 눈으로 시장을 바라봅니다, 팍스넷뉴스 무단전재 배포금지>

목록