스마트폰 앱카드(앱형 모바일카드)가 금융사기에 악용되면서 허술한 보안시스템이 논란이 되고 있다. 카드사와 금융당국이 간편하다는 이점만 내세워 정작 보안시스템 검증은 제대로 하지 않은 것 아니냐는 지적이다. 특히 최근 앱카드 이용자가 급증하는 추세여서 유사피해 가능성도 높다.
12일 금융감독원은 앱카드를 공동으로 개발한 삼성카드 등 6개 카드사(신한 현대 KB국민 롯데 NH농협)의 정보기술(IT) 보안 실무자를 불러 긴급 회의를 개최했다. 삼성카드에서 지난달 중순께 앱카드 고객 53명의 명의가 도용돼 6,000만원이 게임 사이트에서 결제되는 사고가 발생(본보 12일자 18면)한 데 따른 것 . 금감원 관계자는 “이번 사고로 앱카드 보안에 문제가 있다는 점이 발견된 만큼 유사사례가 있는지 여부를 확인하고, 추가 인증수단을 마련하라고 각 사에 지시했다”고 밝혔다.
이번 사고는 공인인증서 등 개인정보를 빼낸 해커가 이를 이용해 다른 스마트폰에서 앱카드를 깔고 결제까지 한 신종 금융사기다. 삼성카드 측은 “해커들이 피해자의 공인인증서를 유출해 앱카드 본인인증 방식에 악용한 것으로 조사됐다”고 밝혔다. 해커들은 불특정 다수에게 스미싱(문자사기) 메시지를 스마트폰으로 보내 악성코드를 설치하고 공인인증서를 복제하는 수법으로 인증서를 빼냈다.
삼성카드에서 앱카드로 결제하려면 휴대폰 앱 설치(본인인증 필요)→카드 등록→결제 정보인증(비밀번호, 공인인증서)→결제 완료 순으로 진행된다. 해커가 카드번호나 유효기간 등을 몰라도 공인인증서만으로도 다른 사람 명의의 앱카드를 설치할 수 있다는 얘기다. 설치 후에는 자동으로 해당 고객이 보유한 카드가 앱에 뜨고, 결제할 때는 결제 비밀번호나 공인인증서 중 하나로 재인증만 거치면 결제가 끝난다. 금융보안연구원 관계자는 “앱카드는 결제가 간편하지만 그만큼 보안성이 취약한 구조”라면서 “2차 인증 등 절차를 강화하고 스마트폰 보안에도 신경 써야 한다”고 말했다.
카드사들은 이에 따라 자동응답(ARS)이나 일회용 비밀번호(OTP) 인증 등을 도입해 인증절차를 늘리는 방법을 검토 중이다. 문제는 삼성카드도 앱을 설치할 때 휴대폰 인증을 받도록 이중 장치를 해놨지만 소용이 없었다는 점이다. 삼성카드는 앱을 깔 때 문자를 통해 공인인증서와 휴대폰가입자 정보가 동일한 지 여부를 체크한다. 하지만 휴대폰 가입자정보가 안 나오는 아이폰에서는 인증번호를 다른 휴대폰으로 받을 수 있어 해커들이 다른 휴대폰으로 인증번호를 받아 입력해 앱 설치에 성공했다. 한국인터넷진흥원 관계자는 “인증절차를 강화하면 확률적으로 해킹이 줄어들 수는 있겠지만 원천적인 차단은 어렵다”며 “카드사 부정사용방지시스템(FDS) 등 보안감시시스템을 강화해야 한다”고 말했다.
공인인증서를 악용한 금융사기가 빈번해지면서 이르면 이달 말부터 도입되는 전자상거래 시 공인인증서 의무사용 폐지도 탄력을 받을 것으로 예상된다. 하지만 카드업계 관계자는 “공인인증서 자체 문제라기보다는 보안이 문제다”라며 “인증서를 폐지하고 다른 인증방식을 도입한다고 해도 유출위험은 항상 있다”고 말했다.
강지원기자 stylo@hk.co.kr
기사 URL이 복사되었습니다.
댓글0