이번에는 앱카드(앱형 모바일카드)가 뚫렸다. 차세대 결제수단으로 각광받던 앱카드 관련 금융사기가 처음 발생한 것이다.
11일 카드업계에 따르면 삼성카드 앱카드 이용자 300여명의 명의를 도용해 온라인 사이트에서 불법으로 6,000만원을 결제한 신종 금융사기가 발생해 금융당국이 긴급조사에 착수했다.
삼성카드는 자체조사를 벌여 해커들이 앱카드 이용자의 스마트폰으로 스미싱(문자 사기)을 보내 개인정보를 빼낸 후 이를 앱카드 결제에 사용한 것으로 추정했다. 문자메시지를 받은 고객이 메시지에 있는 인터넷 주소를 누르면 악성코드가 설치돼 스마트폰에 내장된 공인인증서가 해킹되는 것이다.
해커들은 빼낸 공인인증서를 다른 스마트폰에서 앱카드 이용 인증에 악용했다. 특히 이중 보안(유심칩+공인인증)이 되는 다른 스마트폰과 달리 공인인증서만으로 본인 인증이 되는 아이폰의 보안 허점을 노렸다. 해커들은 본인 인증을 통해 1회용 카드번호와 비밀번호를 제공받은 뒤 10만원 미만으로 수 차례에 걸쳐 11개 게임 사이트에서 6,000만원 가량을 결제했다.
삼성카드 관계자는 “4월 초 환급성 게임사이트에서 이상결제 징후가 포착되고 관련 신고가 들어와 경찰과 금융당국에 자진 신고했고, 해당 가맹점의 카드 이용을 중지시킨 뒤 고객들에게 예방 통보를 했다”고 말했다.
지난해 4월 카드사들이 출시한 앱카드는 별도의 발급 절차 없이 가지고 있던 신용카드를 스마트폰 앱에 등록해 온ㆍ오프라인 매장에서 계산이 가능하도록 한 모바일 카드다. 스마트폰으로 본인인증을 받은 후 앱을 실행시키면 1회용 가상 카드번호와 비밀번호가 제공된다. 가상 카드번호와 비밀번호를 게임사이트 등 온라인 결제사이트에 입력하면 결제가 이뤄진다.
금융당국은 다른 카드사 앱카드에서도 비슷한 피해 사례가 발생했을 가능성이 있다고 보고, 이번 주 카드사 정보보안 임원을 불러 실태를 조사할 방침이다. 금융당국 관계자는 “보안이 취약한 아이폰 등의 허점을 노린 신종 해킹수법으로 보인다”고 말했다.
현재 삼성카드를 비롯해 신한, 현대, KB국민, NH농협카드, 하나SK카드 등이 앱카드를 출시했고, 이용금액은 일일 평균 95억원에 달한다.
강지원기자 stylo@hk.co.kr
기사 URL이 복사되었습니다.
댓글0