해커도 당황한 '이모티콘 인증'…'계좌 피싱' 대란 피했다

日라쿠텐증권, 5월 이후 ‘계좌 피싱 0건' 만들어준 ‘이것’
이모티콘 인증 신규 도입후 피싱 피해 '제로'
“실시간 타인 전달 어려워”…‘게임체인저’ 주목

[이데일리 방성훈 기자] 올해 상반기(1~6월) 일본에선 개인 증권 계좌를 불법 탈취해 시세조종에 악용하는 신종 피싱 범죄가 업계를 강타했다. 라쿠텐증권, SBI증권 등 내로라하는 증권사 10곳에서 무려 1만 2000건의 피해가 발생했다. 최소 100종목 이상에서 부정 매매가 이뤄졌고, 피해 금액만 약 5700억엔(약 5조 3524억원)에 달했다.

범죄는 고객에게 은행·증권사를 사칭한 피싱 메일·문자 발송한 뒤 아이디와 비밀번호 등 로그인 정보 및 인증번호를 탈취하는 방식으로 진행됐다. 해커는 계좌에 담겼던 자산을 전부 매도해 현금을 확보한 뒤 작전 종목을 매집해 주가 인위적으로 부양시켰다. 이후 자신이 갖고 있던 주식을 팔아치워 이익을 챙겼다. 작전 종목은 듣도 보도 못한 중국 소형주가 대부분이었다.

최대 피해자 중 한 곳인 라쿠텐증권은 새로운 보안·인증 체계를 도입해 예방에 나섰고, 그 결과 5월 이후로는 피해가 단 한 건도 발생하지 않아 눈길을 끌고 있다. 히라야마 시노부 라쿠텐증권 부사장은 5일 니혼게이자(닛케이)신문과의 인터뷰에서 ‘이모티콘’(그림문자) 인증을 포함한 다중 인증 체계가 효과를 보고 있다고 밝혔다.

(사진=AFP)

라쿠텐증권은 3~4월 대규모 피해가 발생한 뒤 기존의 아이디·패스워드(1단계)뿐 아니라 이메일을 통한 2단계 인증에 더해, 이모티콘을 조합한 인증 방식을 ‘반드시’ 거치도록 절차를 변경했다. 로그인시 등록된 이메일로 전송된 특정 이모티콘을 선택해 추가 인증 절차를 거치도록 보안 체계를 대폭 강화한 것이다.

숫자·문자 기반 인증은 실시간 피싱에 뚫릴 가능성이 높지만, 이모티콘은 짧은 시간 동안 다른 사람에게 전달(묘사)하기 쉽지 않아 도용이 어렵다. 즉 이모티콘은 사람은 기억하기 쉽지만, 해커는 뚫기 어려운 방식으로 평가받고 있다고 닛케이는 설명했다.

히라야마 부사장은 “이모티콘 인증과 다중인증 방식의 효과는 실제 피해 제로 사례로 입증됐다”며 “내부 정보보안도 업계 최상 수준으로 강화했고, 피싱 이메일 감지 후 1시간 내로 관련 사이트 삭제, 24시간 모니터링 등도 실시하고 있다”고 강조했다. 이어 “기존 보안 대책만으로는 한계가 있다는 점을 뼈저리게 느꼈다. 올해 1월 더 빠르게 대책을 강화하지 못한 점이 아쉽다”고 토로했다.

라쿠텐증권은 올 가을에는 생체인증을 결합하는 ‘패스키’ 방식도 추가 도입할 예정이다. 히라야마 부사장은 “기술이 다양화될수록 1가지 인증 방식만으론 (피싱 피해를) 막기 어렵다”며 다중 인증 및 지속적 시스템 개선의 필요성을 강조했다. 다만 “고객 입장에선 불편한 측면이 있다. 그러한 대응을 필수화하는 경우 고객지원센터에서 문의나 불만이 빗발칠 우려가 있다”고 덧붙였다.

닛케이는 라쿠텐증권의 추가적인 대응은 아이디·패스워드 기반 피싱이 여전히 다수 발생하고 있는 일본 온라인 증권업계에서 ‘인증 혁신’이 실제 범죄 예방에 미치는 파급효과를 여실히 보여준 사례라고 평가했다. 그러면서 라쿠텐증권의 뒤를 이어 증권업계에서 다양한 인증 방식을 결합한 보안 강화 논의가 확산하고 있다고 전했다.

방성훈 (bang@edaily.co.kr)