Overhaul online financial security

A common notice we find on local credit card company Web sites is an assurance of online security. They boast that their Internet payment system is accredited by the Financial Supervisory Service with firewalls and other protections against hackers. Many users make payments of less than 300,000 won ($275) through online settlement systems with absolute faith in their so-called impenetrable security systems. But such trust has been shaken by a series of cyberattacks on these operations. Hundreds of customers using the online payment systems of KB Kookmin Card and BC Card have been hacked more than 800 times.

The investigation is still underway, but according to police findings so far, the suspect hacked into a customer’s computer network and stole money. He may have used the new hacking method of “pharming,” where a hacker redirects the traffic of Web site, for example the National Tax Service site, to another bogus site in order to collect users’ financial information like credit card and national identification numbers. The identity theft and security breach has not happened due to server defects in the online payment systems. It instead highlights the vulnerability of online financial transactions in general. The industry as well as the financial authorities should not take this incident lightly.

This is certainly not the first time the security of online payment systems has come into question. Similar cyberattacks have occurred twice before, but credit card companies have not taken sufficient action against sophisticated criminal threats using techniques like pharming.

They must warn clients that its online payment systems cannot protect them fully against hacking while simultaneously enhancing security procedures. Police and financial authorities also should take more concrete and aggressive measures to raise awareness of new types of deceptive social engineering crimes in cyberspace.

The two credit card companies learned that their online payment systems had been violated early last month. But they only recently informed the police and victims of the trouble and failed to warn the rest of their customers of potential security breaches. Both said they did not want to “cause unnecessary anxiety.”

However, if they were genuinely concerned about their clients, they should have notified the public of the incident and warned all clients of the potential dangers, including what measures to take if they fall prey to hackers. The authorities meanwhile need to re-examine security systems of the financial Web sites.

‘개인신용정보유출, 타인에 의한 도용 등을 방지할 수 있도록 만든 안전한 결제시스템입니다. 금융감독원이 지정한 서비스로, 해킹이나 도용 등의 위험을 완전히 차단했습니다.’ 한 카드사가 자사 홈페이지에 띄워놓은 안전결제(ISP) 홍보문이다. 이대로라면 안전결제는 어떤 경우에도 뚫리지 않는 ‘절대보안’의 결제방식이 된다. 수많은 소비자가 카드사들의 약속을 믿고 이 방식에 따라 30만원 이하의 소액결제를 하고 있다. 이런 신용 사회의 뿌리를 흔드는 범죄가 발생했다. KB국민카드와 BC카드의 안전결제 시스템을 사용하는 수백명의 고객들이 800차례 넘게 해킹을 당한 것이다.
수사 초기여서 전모가 드러나지는 않았지만, 범인이 고객 PC를 해킹해 돈을 빼낸 것으로 경찰은 보고 있다. 가짜 국세청웹사이트를 차려놓고 전자메일을 보내, 고객이 이를 클릭하면 카드정보를 빼내는 ‘파밍(pharming)’이라는 신종수법을 동원했을 가능성이 크다는 것이다. 카드사의 안전결제시스템 서버 자체가 뚫리지 않은 것은 천만다행이지만 카드사·금융당국이 이번 사건을 ‘고객 개인의 부주의’로 인해 생긴 사소한 사안쯤으로 보고 슬쩍 넘겨선 곤란하다.
안전결제의 절대보안 신화가 무너진 것은 이번이 처음이 아니었다. 지금까지 두 차례 유사한 범죄가 발생했음에도 카드사들은 적극적인 대책을 강구하지 않았다. 안전결제도 해킹·도용 위험을 완전히 차단할 수 없음을 고객들에게 알리고, 결제과정에서 입력정보를 더 요구하는 등의 보안대책을 검토했어야 했다. 경찰과 금융당국도 신종 사이버범죄인 ‘파밍’ 유형을 철저히 파악해 일반 국민에게 그 심각성을 친절하게 알렸어야 했다.
두 카드사는 지난달 초순 안전결제가 해킹 당했다는 사실을 알고도 경찰과 피해고객에만 이를 알렸을 뿐, 일반 고객에게는 전파하지 않았다. 한 달 간 쉬쉬한 데 대해, 두 카드사는 “공연히 불안감만 부추길 수 있어서”라고 해명했다. 하지만 유사한 피해를 막고 경각심을 주기 위해 일반 고객에게도 해킹내용 및 대응요령을 신속히 알렸어야 했다. 금융감독원은 이번 사건을 계기로 국민이 안심하고 인터넷결제를 할 수 있도록 보안시스템 전반을 재점검해야 한다.