영국의 테스코뱅크 4만 개 계좌 해킹당하다

절반인 2만 여개 계좌에서는 실제 금전 피해 발생
테스코뱅크는 전액 보상해줄 계획…고객은 여전히 불만

[보안뉴스 문가용 기자] 영국의 가장 큰 슈퍼마켓 체인인 테스코(Tesco)가 소유한 은행, 테스코뱅크(Tesco Bank)에서 해킹 사건이 발생했다. 테스코뱅크에 따르면 일부 고객들의 계정에서 온라인 범죄 행위가 발생했고, 현금이 인출되는 경우도 있었다고 한다. 아직 더 자세한 내용은 공개되지 않은 상태지만 여러 매체들의 보도에 따르면 2만 명 정도의 고객들이 금전적인 피해를 입은 것으로 보인다.

테스코뱅크의 은행장인 베니 히긴스(Benny Higgins)도 약 4만 개의 계좌에서 수상한 행동 및 거래가 발견되었고, 그 중 절반 정도에서 돈이 빠져나갔다고 설명했다. 현재 테스코뱅크 측은 모든 온라인 거래를 중단한 상태지만 테스코뱅크에서 발급해준 카드를 사용해 현금을 인출하거나 구매를 하는 건 가능하다. 테스코뱅크는 약 8백만 명의 고객을 보유하고 있으며 100억 달러의 현금을 보유하고 있는 것으로 알려졌다. 은행 계좌 수는 약 13만 6천 여개이므로 1/3에 가까운 계좌가 털린 것.

아직 도난 당한 총 액수가 밝혀진 것은 아니다. 하지만 히긴스 행장은 개개인의 피해액은 그리 크지 않을 것이라고 보고 있다. 범인들이 은행의 탐지 경보가 발생하지 않게 하기 위해서 적은 금액을 뺄 수밖에 없는 상황이었기 때문이다. 은행이 거래를 금지시키기 전에 총 4만 여개의 계좌에서 사기 거래 시도를 하고, 2만 여개에서 성공적으로 현금 인출을 하기 위해서는 빨리 움직여야 했다. “공격자들은 은행 근무자들이 제일 적은 주말 시간대를 주로 노렸습니다.”

공식 발표가 나지 않았지만 테스코뱅크의 고객이라고 주장하는 사람들이 SNS 등을 통해 600~700 파운드를 도난 당했다고 밝히고 있다. 한 SNS 사용자는 2400 파운드를 잃었다고 주장하며 “테스코뱅크는 전화도 받지 않고 있다”고 비판했다. 테스코뱅크 측은 이에 대해 “문의 전화가 폭주해서 못 받는 경우가 생겼다”며 “은행은 모든 손실 금액에 대해 보상을 완료할 것”이라고 설명했다. “이번 범죄에 휘말린 고객들에게 금전적인 위기마저 허락하지는 않을 것입니다. 은행이 부담해야 하는 금액이 적지 않긴 하나, 그다지 치명적인 것도 아닐 것으로 봅니다.”

그러나 은행 고객들은 전혀 만족하지 못하겠다는 분위기다. 가장 큰 불만은 “은행이 빠른 조치를 취하려고 하는 건 알겠지만, 나라는 개인이 입은 피해 금액이 얼마며, 어떤 식으로 얼만큼이나 보상 받을 수 있는지 알아낼 수 있는 채널이 없다”는 것이다. 지금 고객들은 전체적인 계획만이 아니라 자기 자신에게 일어날 개인적인 일들이 더 궁금한 상태다.

이에 히긴스 행장은 BBC 라디오에 출연해 “국가 범죄 수사국(NCA)이 수사를 진행 중에 있으며, 현재는 내부 보안 시스템에 허술한 부분이 있었는지를 조사하고 있다”고 설명했다. 영국에서는 얼마전 토크토크(TalkTalk)라는 방송국에서 발생한 해킹 사건에 대한 수사 결과로 ‘허술한 보안 관리 시스템’에 대한 책임을 토크토크에게 지게 한 바 있다. 토크토크는 4십만 파운드라는 벌금을 냈다.

보안 전문가들은 대부분 내부자의 협조가 있었던지, 내부 구조의 허술함이 크게 작용했을 가능성을 높게 사고 있다. “은행의 보안 시스템이란, 은행마다, 심지어 지점마다 독특하고 고유하게 구성되어 있습니다. 내부자의 지식과 안내가 없이는 해킹이 매우 어렵다는 뜻이죠.” 보안 전문업체인 하이테크 브리지(High-Tech Bridge)의 CEO인 일리아 콜로첸코(Ilia Kolochenko)의 설명이다. 센서넷(CensorNet)의 CEO인 에드 맥네어(Ed Macnair)도 비슷한 의견이지만 ‘실수’에 기인했을 가능성도 크고 점치고 있다.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)