"택배 주소 수정" 문자 눌렀다가…평생 모은 3.8억 다 날렸다

▶ 실물 OTP 경우는 OTP 제조회사에서

임의번호(랜덤) 생성 알고리즘이 적용된 마스터키가 존재하는데...

 

딱한번 VASCO社 던가를 제외하면 유출된 적이 없던가 그래서,

비교적 안전하다고 평가를 받긴 하지만...

 

신한은행, 하나은행 경우처럼

등록된 실물 OTP 가 있어도 간편인증이 등록된 경우는

OTP 없이 간편인증번호 또는 무인증 송금이 가능합니다.

 

문제는 위에 거론된 예시 은행들 경우...

 

자동 로그인 상시적용 옵션도 존재하고

 

고액송금 및 잦은 분할 송금시에도

확인 작업이 없이 간편송금이 되는 특성탓에...

 

'간편' 과 '보안' 은 반비례 한다는 점을 고려해보면,

역으로 털리기 좋다는 단점도 있죠.

 

▶ 그리고, 사업자 및 법인...

 

개인이더라도 다중 인증 활용성이 가장 높은

『범용 공동인증서』 활용도가 높으신 분들이라면...

 

클라우드 방식인 금융인증서와 달리

 

┌ 공통 저장소 (안드로이드 10 이하던가만 해당)

└ 개별 저장소 (범 iOS 및 안드로이드 11 이상)

 

차이는 있지만, 일단 스마트폰 저장소 내에서

인식하는 부분이 있기 때문에...

 

(일부 인증서 요구 및 활용 앱들의 경우

OTG 및 SD카드에 있는 인증서도

인식 활용이 가능한 경우도 있습니다.)

 

털리면 역시 문제 소지가 발생하기 쉽죠.

 

▶ 또, 일반 오프라인 영업점이 존재하는 모든 금융사들은...

 

토큰형/카드형 OTP 기준

1회 : 1억 / 1일 5억 기준의 이체한도를 가지는데...

 

이 한도를 지정하려면 아직도 평균적으론 영업점 방문이 필수입니다.

 

하지만, 오프라인 영업점망이 없는 인터넷전문은행 및

금융브랜드 (예:SBI 저축은행 - 사이다뱅크) 경우나

 

간편업무 일환으로 앱에서 쉽게 변경이 가능한 곳들의 경우는

최대 한도 지정이 가능한데...

 

이 경우도 한도 변경이 쉽다는게 맹점이 되기도 합니다.

 

▶ 악용하기에 따라선 증권사가 제일 문제가 크지만...

 

증권사들은 평균적으로 투자거래 때문에 한번에 거래되는

액수가 어마어마 하다보니...

 

CMA 및 일반 리테일금융에 중점을 두는 회사를 제외하면

자사 ↔ 자사 끼리의 이체시에도 은행/상호금융과 달리

 

일일히 개별 보안인증을 요구하는 경우가 많습니다.

(SMS 또는 ARS 번호 인증)

 

단, 구멍이 아예 없는게 아닌게...

 

은행에서 개설한 증권계좌 경우에는

이체한도가 기본적으로 항상 최대로 잡혀있는 경우가 많고,

 

증권회사의 이체한도 제도와는 또 별개인 경우도 있어서

은행의 모계좌가 비주류 계좌가 아닌 주력 계좌이면

이 또한 털리기 좋게 됩니다.

저는 이것이 불가능해 보입니다.

그러나 조심은 해야죠,

택배회사 사칭, 대표적인 Smishing(SMS+Phishing, 해킹문자) 공격의 사례입니다.

해킹의 시작점은 사회공학적 해킹메일과 해킹문자에 의한 방법이 대다수입니다.

고도화된 공격일수록 수신자가 열어보지 않을 수가 없는데 이메일과 문자메시지에 포함된 악성링크 및 첨부된 비실행파일은 항상 조심해야 합니다.

실물 OTP 탈취 가능하다 봅니다.

 

요즘 OTP는 하나의 OTP 만으로 

여러 은행에 등록해 사용할 수 있습니다.

며칠전 모 은행 사이트에서 OTP분실로 인해

다른 은행 OTP를 등록하는데 

공인인증서와 전화 ARS 인증만 요구하더군요.

 

폰이 털린 상황이라면

보이스 피싱범들이 자신들이 가진 OTP를 이용해

피해자 OTP와 바꿔치기 가능하다 봅니다.

 

이렇게 되면 걷잡을 수 없는 거죠.

적어도 제 경험상으로는 그렇습니다.

저거 아무리 봐도 말이 안되는 것 같습니다.

 

스미싱 주소 눌렀다고 모든게 털린다?