카드사들이 도입한 앱카드(앱형 모바일카드)에 대한 명의 도용으로 수백명의 고객이 피해를 입은 것으로 드러나면서, 차세대 결제수단에 대한 보안 취약성 우려가 현실이 됐다. 금융당국은 앱카드 관계자를 소집하며 긴급점검에 나섰지만, 악성코드를 원천 차단하고 금융보안 전문가를 키워야 한다는 지적이다.
12일, 금융감독원은 삼성카드에서 스미싱으로 인한 앱카드 명의도용 사건이 발생함에 따라 카드사 관계자들을 불러 앱카드 시스템을 긴급 점검했다. 이날 회의에는 삼성·KB국민·롯데·농협·신한·현대카드 등 앱카드를 이용하고 있는 6개 카드사의 실무자와 프로그래머 등이 참석했다.
금감원과 카드사는 각 사에서 사용하는 앱카드 결제 방식 등을 상호 비교해가며 시스템의 취약점 등을 공유한 자리에서 아이폰의 공인인증 시스템의 허점을 이용한 가능성이 크다고 보고있다.
이후 금감원은 아이폰 사용자는 당분간 앱카드를 등록할 때 공인인증서를 통해 인증을 받을 수 없도록 카드사에 지시했다. 이는 앞서 삼성카드에서 발생한 6000만원 규모의 앱카드 명의도용 사고에 대한 후속대책이다.
현재까지 앱카드 도용에 따른 추가 피해는 발견되지 않았지만 이달 중순부터 고객들에게 카드 고지서가 발부되는 점을 고려하면 조만간 추가 피해가 발견될 수 있다고 당국은 보고있다.
이번 사고에 대해 당국과 업계의 뒷북 조치라는 지적이 나온다. 기존 카드의 발급비용을 절약해 매출을 높이기 위해 업계가 앱카드 같은 차세대 신종 결제수단에 적극 나서지만, 무엇보다 보안체계를 구축해야 한다는 것이다.
이번에 문제가 된 앱카드의 경우 카드사들이 최초 보안설계를 할 때 스마트폰에 카드정보를 포함한 개인정보를 저장하지 않고 사용할 때마다 서버에서 호출하며, 오프라인 거래시 3분간 유효한 일회용 카드번호를 사용하게 하는 등 '가상 카드번호' 방식을 도입했지만 막상 개인정보가 유출돼 다른 스마트폰에 앱카드가 깔리고 보니 이 같은 보안체계는 아무 의미 없는 것이 되고 말았다.
이같은 해킹과 IT 금융사고의 위험에서 벗어나기 위해서는 통신사와 금융사가 협력을 통해 근본적인 대책을 마련해야 한다는게 전문가들의 의견이다. 이번에 아이폰 운영체제에서 스미싱에 대한 취약성이 드러난 데다, 안드로이드 운영체제 또한 악성 프로그램을 걸러내지 않고 받아들여 개인정보 유출이 잇따르기 때문이다.
이처럼 차세대 신종 결제수단의 보안성 문제가 드러나는 가운데 시중은행 공인인증서들이 해킹으로 유출 된후 일괄 폐기된 사실도 나와 금융 범죄에 악용됬을 가능성에 대한 우려가 커지고 있다. 한국인터넷진흥원은 최근 피싱·파밍 사이트 모니터링 중 악성코드로 수집된 공인인증서 유출 목록 6,900건을 발견하고 금융결제원 등 5개 인증기관에 통보해 모두 없앴다고 밝혔다.
#앱카드