[당신의 돈은 안녕하십니까]철통이라던 안전결제, 이렇게 쉽게 무너지다니…

입력 2012-12-12 10:44

  • 작게보기

  • 기본크기

  • 크게보기

구멍 뚫린 ISP시스템

당신이 모르는 사이 당신의 PC를 통해 인터넷 결제가 이루어졌다면.

이같이 황당한 일이 인터넷 결제시스템인‘안심결제(Internet Secure Payment, ISP)’를 사용하는 금융소비자에게 일어났다. 지난 4일 경찰청 사이버테러대응센터는 KB국민카드와 BC카드의 인터넷결제시스템인 안심결제를 사용하는 금융소비자 190여명이 해킹을 당해 수사에 나섰다고 밝혔다.

온라인 결제 거래액은 지난해 기준 29조1000억원까지 늘어나는 등 최근 10년간 연 24%씩 가파른 성장세를 보이고 있다. 때문에 유사사고 재발시 소비자 피해 급증이 우려된다.

하지만 대책 마련이 부실한 탓에 최근 일부 금융회사에서는 결제 사고가 빈번히 발생하고 있어 소비자들의 불안감을 증폭시키고 있다. 금융당국도 뒤늦게 대책 마련에 나섰다.

◇ 안심결제 시스템 해킹 vs PC 해킹인가 = 보안업계에서는 최근 발생한 KB국민카드와 BC카드의‘안심결제’시스템 해킹과 관련해 스피어 피싱, 파밍 등의 수법이 사용됐을 것으로 추정했다. 현재까지 ISP결제정보가 도용된 횟수는 830건, 피해금액은 1억8000만원에 달하는 것으로 집계됐다.

카드사의 ISP시스템이 해킹됐다면 문제는 심각해진다. 안심결제를 이용하는 대부분 고객의 정보이용이 위협을 받고 있기 때문이다. 하지만 경찰과 카드업계는 카드사의 ISP시스템이 해킹됐을 가능성보다 사용자 이메일에 저장된 인증서가 해킹당했거나, PC에 저장된 인증서를 탈취해 악용했을 가능성이 높을 것으로 보고 있다.

경찰청 사이버테러대응센터 관계자는 “시스템 자체가 해킹 당했을 가능성보다 PC가 해킹 당했을 가능성에 무게를 두고 있다”면서 “지난 2008년 발생한 PG사 ISP해킹 사례와 유사한 것으로 예상된다”고 했다. 보안업계에서도 경찰의 수사방향과 맥을 함께 한다. 피해자의 수가 많지 않고, 특정인을 대상으로 한 공격의 특징이 나타났기 때문이다.

특정 사용자층을 노린 스피어 피싱에 의한 해킹 가능성도 제기됐다. 전문가들은 게임 사이트에서 피해가 발생한 만큼 특정 사용자층을 노린 공격이란 점에 주목해야 한다고 지적했다. 과거 은행사이트로 위장한 해킹시도처럼 사용자들에게 악성코드를 배포하고, 특정 행위(ISP 결제 등)가 있을 경우 스니핑으로 키 로그와 인증서를 탈취, 악용했을 것이라는 추측이다.

◇ 금융당국·카드업계 적극 대처 = 카드사들은 사고발생 직후 부정사용 피해 추정회원 추출, 전화안내 후 부정사용된 고객 및 해킹의심 ISP를 폐기하는 등 발빠른 조치에 들어갔다.

KB국민카드와 BC카드는 추가적인 부정매출 발생 여부를 확인하는 한편, 고객이 사용하지 않은 부정매출에 대해서는 적극 조치할 예정이라며 고객 안심에 주력하고 있다.

카드사들은 보안을 더욱 강화하기 위해 전자상거래내 유사 사례 재발 방지를 위한 모니터링을 강화하고, 게임사이트에 대해서는 ISP인증에 추가로 공인인증서 사용을 의무화하기로 했다. KB국민카드와 BC카드 등 ISP를 사용하는 카드사들은 지난 7일부터 게임 사이트에 대해 1일 4회, 1회 5만~10만원 한도로 승인금액과 횟수를 제한하며 ISP인증 뿐만 아니라 추가로 공인인증서 사용을 의무화하고 있다.

사실 지난 2010년에도 소액결제용 안심클릭 정보가 해킹돼 2200여건의 비정상적인 결제로 1억8000여만원의 피해가 발생한 바 있다. 고객들의 신용카드 정보가 새나간 카드사는 모두 4곳. 신한과 삼성, 현대, 롯데 카드로 모두 안심클릭 시스템을 사용하는 곳이었다.

해킹으로 유출된 고객 신용카드 정보는 주로 소액 결제에서 사용됐다. 인터넷에서 30만원 이하 소액 결제를 할 때는 공인 인증서가 필요 없기 때문이다. 해커들은 빼낸 고객들의 신용카드 정보로 주로 온라인 게임 사이트에서 현금으로 바꿀 수 있는 아이템이나 게임머니를 구입하고 있는 것으로 전해졌다.

카드사들은 몇 초만에 수십 건씩, 동일인의 신용카드로 소액결제하는 부정사용 사례가 급증한 바 있다. 이후 삼성카드 등 일부 카드사는 동일인의 신용카드로 5회 이상 안심결제를 할 경우에는 지난주부터 공인인증서 사용을 의무화했다.

이같은 안심결제 해킹 이후 더 안전한 결제 시스템으로 등장한 것이 바로 안전결제 시스템이다. 하지만 이마저도 보안에 구멍이 뚫린 것. 금융감독원 역시 이를 심각히 여기고 해킹사건과 관련, 해당 카드사를 대상으로 점검에 나서는 한편 금융당국 차원에서 온라인 결제 보안강화를 위해 합동대응팀을 구성하기로 했다. 대응팀은 금융위 사무처장을 팀장으로 행안부·지경부·방통위 등 관계부처, 민간 IT전문가, 유관기관 및 업계 등이 포함됐다.

  • 좋아요0
  • 화나요0
  • 슬퍼요0
  • 추가취재 원해요0
주요뉴스
댓글
0 / 300
e스튜디오
많이 본 뉴스
뉴스발전소