보안대책 없는 간편결제, 원클릭페이 '해킹주의보'

'천송이코트 대책' 이후 내년부터 PG사 카드정보 수집 가능
대형3사 빼면 대부분 영세업체, 부정거래 걸러낼 수 없어
전문가 "외국PG처럼 이상거래탐지시스템 갖춘 곳만 서비스해야"

[아시아경제 이장현 기자] 전자지급결제대행(PG)사가 이르면 내년부터 카드번호 등 결제정보를 수집할 수 있게 됨에도 보안 대책은 여전히 제자리걸음인 것으로 나타났다. 카드사는 PG사에 카드사와 동일한 수준의 이상거래탐지시스템(FDS, Fraud Detection System) 구축을 요구하고 있지만 대형업체를 제외한 대부분의 PG사는 난색을 보이고 있다. 이 사이 '간편결제 서비스' 보안사고에 대한 소비자의 우려도 커지고 있다.

18일 금융권에 따르면 현재 51여개의 국내 PG사 중 FDS를 구축해 운영하고 있는 곳은 한 곳도 없다. 외국의 유명 PG들이 저마다 전문적인 FDS를 운영하고 있는 것과 대조적이다. FDS는 부정사용이 의심되는 거래를 실시간으로 분석해 걸러내는 시스템으로 결제시스템에서 핵심적인 보안 기술이다.

카드업계는 정부의 '전자상거래 간편화방안' 이후 PG업계에 FDS구축을 강력하게 요구한 것으로 알려졌다. 카드업계 관계자는 "PG사도 카드정보 일부를 갖게 되는 만큼 현재 카드사와 비슷한 수준의 FDS구축은 당연한 것"이라고 말했다.

전문가의 의견도 일치한다. 금융보안연구원 관계자는 "정부가 따라잡으려고 하는 페이팔ㆍ알리페이도 수준 높은 FDS를 갖췄다"며 "한국의 PG도 이에 부응하는 보안능력을 갖춘 곳만이 간편결제를 할 수 있도록 해야한다"고 주장했다.

그러나 대부분의 PG사는 FDS구축할 여력이 부족한 게 현실이다. KG이니시스, KCP, LG유플러스 등 시장점유율 80%를 차지하는 대형 3사를 제외하곤 나머지 업체는 자본금 10억대의 영세한 업체다. 이들에게 카드 부정사용을 24시간 상시 감시할 수 있는 체계를 갖추라는 것은 애초부터 무리다.

대형사도 FDS를 카드사 수준으로 안착시키는 데는 오랜 시간이 걸릴 것으로 보인다. FDS는 상당기간 고객의 거래 패턴을 모아 분석한 빅데이터를 기반으로 한다. 지금까지 가맹점과 PG 간 서버 해킹 방어에 주력해온 PG들이 단숨에 고객의 이상거래 데이터를 축적하는 것은 불가능하다. 대형PG사 관계자는 "이상거래 탐지는 이용자의 결제 트렌드 분석을 기초로 하는 만큼 아무 데이터가 없는 초기에는 어설플 수밖에 없다"고 말했다.

외국의 PG는 보안사고 후 적극적인 인수합병(M&A) 등을 통해 속도를 냈다. 한국보다 간편결제 서비스를 먼저 실시했던 미국의 페이팔도 지난 2001년 해킹에 의해 다수의 소액 부정 결제가 발생하며 FDS 구축에 나섰다. 페이팔은 한달에 10억원 꼴로 손실이 지속되자 독자적인 FDS를 만들었고 2008년 이스라엘의 FDS기업 'Fraud Sciences'를 인수해 보안성을 한층 강화했다.

금융당국은 카드정보를 갖게 되는 PG에는 엄격한 보안기준을 요구할 방침이다. 금감원 관계자는 "앞으로 페이팔ㆍ알리페이처럼 독자적인 결제서비스를 하게 될 PG사에는 금감원이 금융사에 요구하는 수준의 FDS를 갖추도록 지도할 것"이라고 말했다.

이장현 기자 inside@asiae.co.kr