[디지털데일리 이민형기자] 최근 악성 애플리케이션 배포로 인한 스미싱(Smishing) 피해가 속출하고 있다. 이동통신사, 수사당국, 금융당국 등이 스미싱 주의 경보를 내리고 대처에 나서고 있으나 피해를 막기엔 역부족이란 지적이다.
스미싱은 문자메시지(SMS)와 피싱(phishing)의 합성어다. 쿠폰 제공 등의 문자로 위장한 메시지를 클릭할 경우 사용자 휴대폰에 악성코드가 설치되고 이를 통해 소액결제 인증번호를 빼내는 신종 사기 수법이다.
해커들이 빼낸 소액결제 인증번호는 대부분 온라인게임 아이템 구입에 사용되는 것으로 나타났다. 이는 음지에서 운영되는 작업장, 환전장 등이 지금도 여전히 성행하고 있어 해커의 입장에서 가장 높은 이득을 취할 수 있기 때문이다.
이러한 추세가 발견되자 금융위원회는 온라인게임 상 소액결제에 대한 ‘규제’를 더욱 강화하는 방안을 추진하고 있다. 일부 언론에서 보도된 것처럼 공인인증서, 비밀번호 인증 등을 고려하고 있다고 금융위 관계자는 설명했다.
금융위 관계자는 “소액결제 관련 사용자의 피해를 최소화할 수 있는 방안을 마련 중이다. 온라인게임 상 공인인증서 사용은 그 대책 중 하나”라며 “이달 말 ‘온라인 결제방식 보안강화 대책’을 발표하고 시행에 나설 것”이라고 말했다.
이와 관련 업계에서는 공인인증서 인증을 추가하는 방법과 휴대전화 인증 외에 핀(암호) 인증을 추가로 탑재하는 방법 두 가지의 형태가 나올 것으로 예상하고 있다.
우려스러운 부분은 공인인증서 인증이 강화될 경우다. 인증절차를 추가해 해커가 개입할 수 있는 경로를 복잡하게 만든다는 점은 일반적인 보안시스템 고도화와 크게 다르지 않다. 그러나 이러한 방법은 근본적인 해결책이 되지 못할뿐더러, 자칫하다간 대량의 공인인증서 탈취 사고가 발생할 수 있는 위험성도 커지게 된다.
새로운 인증수단으로 인해 기존의 방법으로 금전적인 이득을 얻지 못한다면 새 인증수단을 뚫으려고 할 가능성이 농후하다.
이런 이유로 공인인증서 인증을 도입한다고 결정되더라도, 이를 어떻게 구현할 것인지도 고민해 봐야 한다. 현재 인터넷서비스에서 활용되는 대부분의 인증체제는 액티브엑스(Active-X)와 같은 플러그인 기저에 삼고 있다.
액티브엑스 방식은 사용자들에게 불편함을 줌과 동시에 보안상 위협도 잔재하고 있다. 또한 국내에서도 액티브엑스를 걷어내고자 하는 사용자들의 요구가 많아지고 있는 시점임을 금융당국은 인지해야 할 것이다.
‘땜빵’을 위한 대책이 아닌 미래 지향적인, 근본적인 문제를 해결할 수 있는 대책이 나오길 기대해 본다.