스마트폰 앱카드(앱형 모바일카드) 명의도용 사고가 왜 삼성카드에서만 발생했는지를 두고 금융당국에서 원인 분석이 한창이다. 허술한 인증 방식과 부정사용방지시스템(FDS) 관리 소홀 등 보안시스템 부실 요인이 주 원인으로 꼽히는 상황. 이에 따라 KB국민카드나 신한카드 등도 안전하지 않다는 지적이 나온다.
13일 금융당국과 카드업계에 따르면 앱카드를 공동 개발한 6개 카드사 중 현대와 롯데, 농협카드는 아이폰 사용자의 경우 공인인증서 인증 대신 카드번호 인증이나 홈페이지 아이디와 비밀번호, 주민번호 인증으로 앱카드를 깔도록 하고 있다. 아이폰은 다른 스마트폰과 달리 가입자 정보를 카드사에 전송하지 못하도록 막아놓아 앱카드 고객과 아이폰 사용자 일치 여부가 확인이 안 되기 때문이다.
하지만 이번에 사고가 발생한 삼성을 비롯해 신한, KB국민카드는 아이폰에서 공인인증서 본인인증을 허용하고 있다. 이 때문에 이번 사고처럼 아이폰에서 다른 사람 명의의 공인인증서로 앱카드를 등록해 사용할 수 있다. 업계 관계자는 “지난해 앱카드 도입 이후부터 공인인증서 유출 시 아이폰으로 결제 사고가 발생할 수 있다는 우려가 나오면서 일부 카드사들은 공인인증서 인증을 막았지만, 삼성카드 등은 그대로 허용해줬다”고 말했다. 금융당국은 이에 따라 아이폰의 공인인증서 인증을 허용한 신한과 KB국민카드도 유사 피해가 일어났을 가능성이 높다고 보고 집중적으로 들여다 보고 있다. 이들 카드사도 부랴부랴 아이폰을 비롯한 스마트폰에서의 공인인증서 인증방식을 모두 중단했다.
삼성카드의 경우 앱카드 전용 부정사용방지시스템(E-FDS)을 구축하지 않아서 피해를 키웠다는 지적도 나온다. 신한, 현대, 롯데카드는 앱카드에서 결제요청을 하면 승인을 해주기 전에 미리 E-FDS에서 부정 결제인지 아닌지 확인 후에 결제승인을 내린다. 부정결제로 간주되면 사전 차단이 가능하다. 하지만 삼성, 국민, 농협카드는 이 시스템이 없다. 일단 결제 승인을 해주고 난 뒤 부정결제로 확인이 되면 그제서야 결제를 차단한다. 업계에서는 삼성카드가 지난달 14일 부정결제를 처음 확인하고도 결제를 차단하지 않아 추가 결제가 이뤄졌을 가능성이 높다고 보고 있다. 삼성카드는 경찰에 지난달 21일 앱카드 명의도용 신고를 했고, 이달 8일 금융당국에 보고했다. 삼성카드의 경우 지난달 20일 삼성SDS 전산센터에서 발생한 화재와 연관이 있을 수 있다는 관측도 있다. 금융당국 관계자는 “화재로 인한 서버복구가 지연돼 보고가 늦어졌다는 점까지 감안해 총체적인 점검을 하고 있다”고 말했다.
강지원기자 stylo@hk.co.kr
기사 URL이 복사되었습니다.
댓글0