[매일일보 강수지 기자] 금융 당국이 시중은행의 공인인증서를 일괄 폐기한 것으로 확인됐다. 해킹 등으로 7000여개의 공인인증서가 유출됐기 때문이다.

12일 금융권에 따르면 한국인터넷진흥원은 피싱‧파밍 사이트 모니터링 중 악성코드로 수집된 공인인증서 유출 목록 6900건을 발견하고 추가적인 전자금융사고 예방을 위해 금융결제원 등 5개 인증기관에 통보, 해당 공인인증서를 모두 없앴다.

한국인터넷진흥원은 “국내 악성코드 경유지로 악용되는 홈페이지를 탐지하면서 공인인증서를 유출하는 악성코드가 발견돼 신속히 차단했으며 유출된 공인인증서에 대해서는 신속히 가입자에게 유출 사실을 안내하고 공인인증서 폐지 등의 조치를 했다”고 밝혔다.

금융 당국 관계자는 “시중은행의 공인인증서 유출이 의심돼 일괄 폐기한 것으로 알고 있다”고 말하기도 했다.

폐기된 공인인증서는 우리은행과 국민은행 등이 포함된 시중은행의 인증서로 드러났다.

이에 우리은행은 공인인증서 유출로 의심되는 고객의 인터넷뱅킹 이용을 잠시 중단했다. 고객은 인터넷뱅킹을 다시 이용하기 위해선 가까운 영업점을 방문해 다시 신고해야 한다.

앞서 한국인터넷진흥원도 지난해 5월 은행 고객 컴퓨터에서 유출된 공인인증서 파일 약 212개가 모여 있는 국외 서버를 발견, 금융결제원에 통보해 폐기한 바 있다.

또 지난해 2월에는 해커들이 신한은행 등 시중은행이 발급한 공인인증서를 빼내가자 금융결제원이 461개의 인증서를 일괄적으로 없애기도 했다.

이번 공인인증서의 유출과 관련, 해커들의 수법으로는 현재 파밍이 추정되고 있다.

파밍은 가짜 사이트를 미리 개설한 뒤 피해자의 컴퓨터에 악성코드를 감염시켜 진짜 사이트 주소를 넣어도 가짜 사이트에 접속되도록 해 개인정보를 빼내는 한층 진화된 피싱 수법이다.

인터넷뱅킹 악성코드를 이용한 공인인증서 유출 사례가 최근 급증하고 있는 가운데 IT 보안업계에서는 “피싱으로 유출된 공인인증서가 수만 건에 달할 것”이라고 추정했다.

지난 5월 초 삼성카드는 스마트폰 스미싱(문자메시지와 피싱의 합성어)으로 최근 자사 앱카드를 이용하는 고객 53명이 금전 피해를 봤다는 신고 300건이 접수돼 경찰청과 금융감독원에 자진 신고하기도 했다.

이 같은 사고가 반복되자 금융당국은 공인인증서 유출을 막기 위해 고객의 각별한 주의를 당부했다.

공인인증서는 PC 하드디스크나 이메일 또는 웹하드에 보관하지 말며, 공인인증서의 비밀번호는 인터넷 포털사이트 등의 비밀번호와 다르게 설정하고 주기적으로 변경해야 한다고 밝혔다.

특히 공공장소의 공용 PC에서는 공인인증서를 사용하면 안 되며 성인‧도박 사이트 등에서도 절대 공인인증서를 이용하면 안 된다고 강조했다.

공인인증서와 개인정보 유출이 의심될 때는 즉시 금감원 등에 신고하고 공인인증서를 폐기한 뒤 보안카드보다 안전한 일회용비밀번호(OTP) 발생기를 사용해야 한다.

현재까지 유출된 공인인증서에 따른 피해 사례는 나오지 않았다. 하지만 금융당국은 피해 방지를 위해 사용 중인 컴퓨터의 백신 소프트웨어와 보안 업데이트는 최신으로 유지해야 한다고 당부했다.