인터넷전문은행 카카오뱅크의 보안 시스템이 취약한 것 아니냐는 지적이 나오고 있다. 최근 자신도 모르게 카카오뱅크 계좌가 개설되고 대출까지 됐다는 신고가 여러 건 카카오뱅크 측에 접수됐다. 본인 인증이 쉽다는 장점의 이면에 타인이 대신 인증받기도 쉽다는 그늘이 드리워져 있는 것이다.
시중은행의 인터넷뱅킹 서비스를 이용하려면 공인인증서 및 여러 가지 보안 프로그램을 설치해야 한다. 계좌 개설은 더욱 복잡하다. 대포통장 관련 범죄가 늘어나면서 계좌 개설 절차가 복잡해졌기 때문. 1일 출금 한도 100만 원인 소액통장이 아니면 계좌 개설 시 은행에 따라 재직증명서나 소득증빙서류, 명함 등 다양한 서류를 준비해야 한다.
반면 카카오뱅크 계좌 개설에 필요한 것은 스마트폰, 신분증, 시중은행 계좌 세 가지뿐이다. 스마트폰과 신분증으로 본인 인증 절차를 마친 뒤 기존에 사용하던 시중은행 계좌를 입력하면 해당 계좌로 카카오뱅크가 1원을 입금한다. 이때 입금자 이름을 확인해 카카오뱅크 계좌 개설 창에 입력하면 계좌 개설이 완료되는 방식이다.
신분증과 계좌만 있어도 된다고?
시중은행은 인터넷뱅킹 송금 서비스를 이용하려 해도 공인인증서를 발급받고 보안 프로그램을 설치해야 하지만, 카카오뱅크는 처음 계좌 개설 인증이 끝난 뒤에는 스마트폰에 비밀번호, 패턴, 지문인식 등 간단한 인증 절차만 거치면 송금이나 계좌 조회가 가능하다.그런데 이 편리한 인증 절차에 문제가 생겼다. 카카오뱅크 출범 한 달 만에 10건의 명의도용 사례가 발생한 것. 피해 규모는 약 1000만 원으로 추산된다. 카카오뱅크 측에 따르면 신고 사례를 조사한 결과 대부분 배우자, 자녀, 손자가 각각 남편이나 아내, 부모, 조부모 이름으로 계좌를 만들거나 소액 대출을 받은 것으로 밝혀졌다.
카카오뱅크 대출상품 가운데 한도 300만 원인 ‘비상금대출’은 별도 소득증빙 없이도 대출이 가능하다. 스마트폰이나 계좌, 신분증에 접근이 용이한 가족이 다른 가족 명의로 계좌를 만들어 대출받을 수 있는 것. 계좌가 이미 있다면 스마트폰 잠금을 패턴으로 해제해 휴대전화 인증만으로도 대출이 가능하다. 카카오뱅크 피해 사례는 대부분 이 같은 명의도용 대출이었다.
일각에서는 카카오뱅크의 100% 비대면 본인 인증 방식을 보완해야 한다는 의견이 나온다. 편리성을 내세우다 보니 인증 절차를 너무 간소화했다는 것이다. 카카오뱅크 경쟁사인 케이뱅크의 경우 영상통화 인증 절차가 있다. 초기에는 케이뱅크의 본인 인증 절차가 불편하다는 의견이 있었지만, 최근엔 카카오뱅크에도 영상통화 인증 방식을 도입해야 하는 것이 아니냐는 주장도 제기된다. 실제로 케이뱅크에서는 아직 명의도용 사례가 없다.
“불편에 익숙해 편리함이 불안한 것”
인터넷전문은행 이용 시 가장 걱정되는 것이 바로 명의도용 대출 등 개인정보 유출에 따른 사고다. L.POINT 리서치 플랫폼 ‘라임’이 8월 3~17일 남녀 1만 명을 대상으로 ‘인터넷전문은행에 관한 우려점’을 설문조사한 결과 응답자의 절반가량(44.8%)이 ‘개인정보 유출 사고’를 걱정했다.하지만 카카오뱅크 측은 명의도용 사례가 고객 개인정보 유출에 의한 것이 아니라며 선을 그었다. 카카오뱅크 한 관계자는 “고객정보 보안 시스템의 문제가 아니다. 이번 사례는 스마트폰과 신분증, 계좌 관련 정보를 이미 알고 있는 가족이 명의도용을 한 것이지, 가족 외 제3자가 해킹 등으로 카카오뱅크 보안 솔루션을 무력화한 뒤 개인정보를 빼낸 것이 아니기 때문”이라고 밝혔다.
카카오뱅크는 기존 금융사들이 사용하던 공인인증서 대신 자체 개발한 사설인증서를 쓰고 있다. 이 사설인증서를 스마트폰에 저장해 사용하는 방식이다. 추가 보안 프로그램을 설치할 필요도 없다. 여기까지만 보면 보안 프로그램 없이 사설인증서를 사용하는 카카오뱅크가 해킹에 훨씬 취약한 것처럼 느껴진다.
하지만 전문가들은 카카오뱅크가 일반 인터넷뱅킹에 비해 해킹이 어렵다고 설명한다. 개인정보인 인증서가 저장되는 위치가 다르기 때문이다. 인터넷뱅킹에 사용되는 공인인증서는 스마트폰이나 개인용 컴퓨터(PC)의 보조기억장치 또는 USB 저장장치에 저장된다. 반면 카카오뱅크 인증서는 스마트폰 내 하드웨어 기반 보안칩(Secure Element·SE)에 저장된다. SE는 하드웨어 내 안전한 저장공간으로 지문 등 생체인식 정보를 담는 데 사용된다.
보안업계 한 관계자는 “기존 공인인증서는 인증서 자체의 보안 문제는 없으나 인증서가 저장된 장소를 해킹하기 쉬워 유출사고가 많이 발생했다. 하지만 카카오뱅크처럼 SE에 인증서를 저장하면 해킹으로 접근하는 것 자체가 어려워진다. 예를 들어 인터넷뱅킹의 경우 공인인증서가 집 거실에 놓여 있어 도둑이 쉽게 가져갈 수 있는 반면, 카카오뱅크에선 SE라는 비밀금고에 보관해 도난을 방지하는 식”이라고 설명했다.
카카오뱅크 보안 시스템을 자문했던 김승주 고려대 정보보호대학원 교수는 “이번 명의도용 사례는 카카오뱅크만이 아니라 인터넷전문은행 전체의 문제”라며 “향후 스마트폰에서 더 정교한 생체인식이 가능해지면 그 안에 저장된 인증서는 더 안전해진다”고 밝혔다.
금융위원회는 인터넷전문은행의 비대면 인증 절차 기준으로 △신분증 사본 및 사진 제시 △영상통화로 신분증 사진과 얼굴 대조 △현금카드 우편 전달 시 고객 확인 △기존 계좌에서 신규 계좌로 소액 이체 등을 제시했다. 은행은 이 중 두 가지 이상을 사용해야 한다.
한편 계좌 개설이 쉬운 만큼 일부 인터넷전문은행 계좌가 중고품 거래 사기에 이용돼 주의가 필요하다. 관련 사건을 담당한 경찰서 관계자에 따르면 시중은행에서는 사기 전과 등으로 계좌 개설이 안 되자 인터넷전문은행 계좌를 개설해 사기에 이용한 것으로 밝혀졌다. 사기 피해 정보공유 사이트 ‘더치트’의 집계에 따르면 7월까지 접수된 올해 중고품 거래 사기 사례 가운데 케이뱅크 계좌 이용은 280건, 카카오뱅크 계좌 이용은 120건이었다.