수시로 거액을 거래하는 '법인계좌'가 해킹 등 전자금융사기의 표적이 되고 있어 이용자들의 각별한 주의가 요구된다. 특히 법인계좌는 한번 해킹에 성공할 경우 훔쳐낼 수 있는 금액 단위가 크고 은행의 '이상거래탐지시스템(FDS)'마저 우회할 수 있어 최근 해커의 집중 표적이 되는 것으로 나타났다.
27일 금융권과 보안전문가에 따르면 스미싱과 파밍, 메모리해킹에 보이스피싱까지 현존하는 각종 금융해킹 방식을 총동원한 복합전자금융사기가 발생했다.
피해자는 하나은행을 통해 법인계좌를 개설, 이용하고 있었으며 가장 안전하다고 알려진 온라인뱅킹 거래인증 수단인 '일회용비밀번호생성기(OTP)'까지 이용하고 있었지만 결국 해킹 피해를 당했다.
사진=하나은행
최근 이 피해자는 하나은행 법인계좌에서 거래를 하기 위해 인터넷뱅킹을 이용하던 중 PC가 갑작스런 거래 장애를 일으켜 은행 측에 문의했다.
잠시 후 은행이라는 곳에서 전화가 걸려왔고 이용자의 OTP 암호를 요구해 이를 한차례 알려줬다.
그러나 암호를 알려준 이후 30여초만에 14차례에 걸쳐 4000여만원이 인출되는 사기를 당했다. 뒤늦게 알아채고 경찰에 신고했지만 4000여만원의 현금은 이미 해커의 수중에 넘어간 뒤였다.
금융보안 전문가들은 이같은 피해사실에 대해 '복합전자금융사기'라고 진단했다.
한 금융보안 전문가는 "최근의 전자금융사기는 피싱이나 파밍, 메모리해킹 등 한가지 수법만 가지고 진행되는 것이 아니라 파밍과 메모리해킹, 보이스피싱, 보이스피싱을 하기 위한 휴대폰 감염까지 주도면밀하게 해킹하는 복합사기 형태로 나타나고 있다"면서 "이번 피해자의 경우 악성코드 감염으로 거래단계에서 PC에 장애를 일으킨 뒤 OTP 번호를 탈취했으며 메모리해킹 방식으로 계좌 이체 허점을 악용한 것으로 보인다"고 분석했다.
이 전문가는 "특히 법인 계좌의 경우 수시로 거액을 거래하기도 하고 급여 지급 등을 위해 다수의 서로 다른 계좌로 동시에 돈을 송금하는 등 '다계좌 인출'을 하는 경우도 잦아 은행 FDS가 이상거래라고 판단하기 어려운 거래 패턴을 가졌다"면서 "해커는 이 점을 노려 미리 치밀하게 법인계좌 관리자를 노린 다계층, 복합 사기를 자행한 것으로 보인다"고 덧붙였다.
즉 해커는 법인계좌 관리자를 노려 PC를 감염시키는 악성코드를 뿌리고 공인인증서나 보안카드 번호를 빼 내는 피싱, 파밍 공격을 사전에 먼저 진행한 후, 한꺼번에 돈을 빼내는 '본 공격'을 감행했다는 것이다.
심희원 금융보안연구원 인증기술팀장은 "해당 피해는 '다계좌 인출'의 허점을 해커가 악용해, OTP 번호를 가로챈 후 한꺼번에 돈을 빼낸 것이 아닌가 추측된다"면서 "OTP는 그 특성상 한번 거래할 때마다 새로운 비밀번호가 생성되며 이 비밀번호는 난수배열을 통한 무작위 번호를 표출하기 때문에 해커가 추측, 해독하기 대단히 어렵다"고 설명했다.
그는 이어 "OTP가 안전하기는 하지만 해커가 악성코드에 감염된 PC를 통해 OTP 번호를 중간에 가로채는 '후킹 공격'을 하기도 한다"면서 "100% 안전한 보안이라는 것은 없다는 점을 이용자가 인지하고 항상 주의를 기울여야 한다"고 강조했다.
![[기획] 오로지 표… 정치가 ‘좀비경제’ 키운다](https://wimg.dt.co.kr/news/cms/2025/11/12/news-p.v1.20251112.f1ec347e703e433eabcac2f91e9c2792_R.jpg)
![[기획] ‘머리’ 빠진 주택정책…국토차관, LH·HUG 사장 동시 공석](https://wimg.dt.co.kr/news/cms/2025/11/12/news-p.v1.20251112.87abe859bccb4e41b61e44d9a239384c_R.jpg)
