앱 카드 공인인증서 결국 폐지

스마트폰 결제 편하지만 해킹에 속수무책
삼성카드 이어 신한카드도 20명 명의도용

[아시아경제 이현주 기자] 삼성카드에 이어 신한카드에서도 비슷한 시기, 명의를 도용해 앱카드 불법결제가 이뤄졌던 것으로 확인되면서 앱카드를 운영하는 카드사들이 본인인증과정 중 공인인증서를 사용하는 방법을 결국 폐지했다.

17일 서울지방경찰청 사이버수사대는 삼성카드 앱카드에서 명의도용을 저지른 사용자 아이피(IP) 주소를 추적한 결과 신한카드 앱카드에서도 20명의 명의가 도용돼 50여건의 결제승인이 이뤄졌음을 확인했다고 밝혔다. 경찰청 관계자는 "삼성카드 앱카드 해킹 관련 수사를 할 때 파악한 것으로 향후 피해가 더 확대될 것으로 보고 수사를 계속 이어나갈 방침"이라고 말했다.

앱카드는 스마트폰 애플리케이션을 통해 결제하는 카드다. 최초 본인인증을 거치면 인증 과정에서 설정하는 비밀번호만으로 거래가 가능하다. 국내에서는 신한ㆍ삼성카드를 비롯해 KB국민ㆍ현대ㆍ롯데카드가 앱카드 방식을 사용하고 있다. 앱카드 본인인증 방법은 실물카드에 있는 카드번호와 CVC값(카드 뒷면에 적힌 세자리 숫자의 유효성검사코드)을 입력하거나 공인인증서를 통하면 된다.

문제는 공인인증서에서 불거졌다. 앱카드 명의도용을 한 사용자는 카드 사용자의 공인인증서 번호와 비밀번호 등을 알아내 실물카드가 없음에도 본인인증에 성공한 후 이를 앱카드 결제에 이용했다. 한 번만 본인인증을 하면 다음부터는 비밀번호만으로 결제가 가능하다는 점을 악용했다. 이번 사건으로 인해 앱카드가 편리하기는 하지만 보안상으로는 허술했음을 증명한 것이어서 공인인증서를 통한 본인인증 방법을 폐지하게 된 것이다.

카드사들은 온라인 부정사용을 방지하는 것이 오프라인보다 어렵다고 설명한다. 오프라인의 경우 부정사용방지시스템(FDS)을 통해 현장에서 잡아낼 수 있지만 온라인에서는 카드사들이 IP를 추적할 수 있는 권한이 없다보니 기술적인 한계에 부딪힌다는 것이다. 이럴 경우 추후 사고가 난 다음 대응할 수밖에 없어 피해 상황이 반복된다. 또한 앱카드 결제 외에도 안심클릭 등 다양한 방식의 온라인 및 모바일 결제가 이뤄지고 있어 이에 대한 부정사용 방지 대책도 시급하다.

카드업계 관계자는 "기본적으로 카드사가 전자기기 고유식별번호인 맥주소나 IP주소 등을 파악할 수 있어야 온라인과 모바일 관련 사고의 징후도 파악할 수 있는데 현재로썬 개인정보 문제 때문에 수집하기 힘든 실정"이라며 "앱카드의 편리함 때문에 빠른 속도로 성장하다보니 보안 시스템이 이를 따라가지 못하는 면도 있다"고 말했다.

이현주 기자 ecolhj@asiae.co.kr