편리하지만...위험 도사리는 '간편결제 앱'

카카오페이, 정보 나눠서 보관

합쳐질 때 암호 풀릴 가능성

금감원 "이용자ㆍ카드사만 정보 아는

엔드 투 엔드 결제 방식이 더 안전"

공인인증서에 가로 막혀 인터넷 주문이 어렵다는 ‘천송이 코트’파동 후 스마트폰을 이용한 간편 결제 소프트웨어(앱)가 속속 등장하고 있다. 금융업계는 물론이고 통신업체, 메신저업체까지 내놓은 간편결제 앱은 액티브X나 공인인증서 필요 없이 신용카드 정보를 앱에 저장해 놓고 QR코드나 바코드 인식 등으로 간단하게 결제가 가능하다. 하지만 보안업계에서는 보안관리가 허술한 일부 간편 결제 앱에 심각한 위험이 도사리고 있다고 우려했다.

10일 보안업계에 따르면 일부 간편 결제 앱이 개인의 결제 정보를 노출할 수 있다는 우려가 제기됐다. 대표적인 경우가 다음카카오에서 9월부터 제공하는 결제대행 앱 ‘카카오페이’다. 현재 130만명 이상이 이용하는 카카오페이는 다음카카오가 결제대행 서비스 업체인 LG CNS와 손잡고 제공하고 있다.

카카오페이는 결제 방식이 독특하다. 이용자 스마트폰에 신용카드번호 등 개인 결제 정보 일부를 암호화해서 저장하고 나머지는 서울 상암동 LG CNS 데이터센터 서버에 역시 암호화해 보관된다. 이렇게 나뉜 정보가 결제를 할 때 하나로 합쳐져 신용카드사에 전송된다. LG CNS 관계자는 “스마트폰을 분실해도 카드번호 일부만 저장되기 때문에 전체 유출 우려가 적다”고 말했다.

하지만 보안업계에서는 이 방식에 허점이 있다는 지적이다. LG CNS의 서버에서 두 가지 정보가 하나로 합쳐질 때 암호가 풀려 문제가 될 수 있다는 것이다. 보안전문가 정 모씨는 “이 과정에서 해커가 악성코드 등으로 서버를 해킹할 경우 수 많은 사람들의 결제 정보를 손쉽게 가져갈 수 있다”며 “내부 관리자도 마음만 먹으면 암호화되지 않은 결제 정보를 손쉽게 취득해 빼돌릴 수도 있다”고 경고했다.

이에 대해 LG CNS 관계자는 철저한 관리로 해킹 위험이 낮다고 해명했다. LG CNS 관계자는 “서버에서 암호가 풀려 처리하는 과정이 짧고 이 정보에 접근할 수 있는 내부 관리자도 이원화해 혼자 정보를 빼낼 수 없으며 신용카드사까지 전용망으로 연결돼 해킹 위험도 낮다”고 반박했다.

하지만 금융감독원은 모바일이나 인터넷 결제 시 암호화된 결제 정보를 중간에서 대행업체가 저장하거나 풀어보는 과정 없이 이용자와 신용카드사만 취급하도록 ‘엔드 투 엔드’(e to e) 방식을 권장하고 있다. 개인 결제정보는 이용자와 신용카드사만 알 수 있도록 하라는 뜻이다.

더욱 심각한 것은 KG이니시스의 ‘K-페이’, LG유플러스의 ‘페이나우’ 등 일부 간편결제 앱들은 결제와 무관한 개인정보들을 스마트폰에서 취득하고 있다. 특히 이니시스의 K페이는 이용자 위치, 카메라와 마이크 제어, 사진 및 오디오, 동영상 파일 정보까지 접근한다. 페이나우는 이용자 전화번호부 등을 열람할 수 있는 기능이 있다.

물론 이 앱들은 설치 과정에서 ‘액세스 대상’이라는 항목을 통해 이용자에게 통보하지만, 대부분의 이용자들이 이를 꼼꼼히 살펴보지 않기 때문에 무심코 넘어간다. KG이니시스 관계자는 “시험판이어서 기본적인 여러 정보를 취득하는 것으로 표시됐는데 불필요한 오해를 불러 일으켜 최근 앱스토어에서 K-페이 앱을 삭제했다”며 “이달 중 나오는 정식판에서는 접근 정보가 많이 줄어들 것”이라고 설명했다.

보안전문가들은 또 해커가 구글 안드로이드의 표준 명령어 함수를 이용해 이 같은 앱들이 접근하는 정보를 취득할 수 있다고 주장한다. 해커출신 보안전문가 최 모씨는 “해커가 앱의 소스코드를 확보해 분석한 뒤 복사, 녹음 등 구글의 명령어 함수를 이용하면 해당 앱이 갖고 있는 정보를 가져갈 수 있다”며 “도청 등 사생활 탐지를 목적으로 한 스파이 앱들이 이미 이 같은 명령어 함수를 이용해 스마트폰에서 개인 정보를 빼돌리고 있다”고 말했다.

여기에 일부 보안전문가들은 구글의 최신 스마트폰용 운용체제(OS)인 안드로이드 롤리팝의 보안 방식도 문제가 있다고 짚었다. 정 씨는 “롤리팝의 앱 보안 수준이 앱 암호화에서 난독화 방식으로 한 단계 낮아졌다”며 “난독화는 시간이 걸리긴 하지만 암호화 만큼 해독이 힘들 지 않다”고 주장했다. 보안업계에 따르면 암호화는 복잡한 암호화 체계와 이를 해독할 수 있는 열쇠가 필요하기 때문에 해킹이 어렵고 오래 걸리는 반면, 난독화는 암호화가 이뤄지지 않았으나 들여다 보기 어렵게 데이터 체계를 만든 것을 의미한다.

결국 간편결제 앱을 통한 정보유출 사고를 방지하려면 정부 당국에서 충분한 사전 조치를 취할 필요가 있다는 지적이다. 보안업체 대표 김 모씨는 “관련 당국에서 철저한 암호화 조치와 재해복구센터를 갖추지 못한 업체에 대해서는 간편결제 앱의 승인을 해주지 말아야 한다”며 “특히 간편결제 앱들이 과도하게 개인정보를 가져가는 것을 규제할 필요가 있다”고 강조했다.

최연진기자 wolfpack@hk.co.kr