▲ 삼성카드가 지난해 도입한 스마트폰 앱카드 보안에 구멍이 뚫려 심각한 고객 피해를 양산한 것으로 나타났다.보안 시스템을 제대로 갖추지 않은 상태에서 새로운 결제수단 도입을 서두르다 이 같은 결과를 초래했다는 지적이다. (자료사진)

삼성카드가 지난해 도입한 스마트폰 앱카드 보안에 구멍이 뚫려 심각한 고객 피해를 양산한 것으로 나타났다. 보안 시스템을 제대로 갖추지 않은 상태에서 새로운 결제수단 도입을 서두르다 이 같은 결과를 초래했다는 지적이다.

특히 앱카드 관련사고는 첫 사례이며, 현재 앱카드를 도입한 카드사들도 모두 같은 구조의 시스템과 보안 방식을 사용함에 따라 해킹 위험에 노출됐다는 점에서 추가 피해도 우려되고 있는 상황이다.

올 초 대규모 고객정보 유출 사고에 이어 이 같은 금융사고도 막지 못한 카드사들의 허술한 보안 시스템에 국민적 분노와 실망감은 더욱 높아지고 있다.

12일 금융권에 따르면 삼성카드는 최근 자사 앱카드를 이용하는 고객 53명이 금전 피해를 봤다는 신고 300건이 접수돼 이 사실을 경찰과 금융당국에 자진신고했다. 명의도용 사고로 현재까지 파악된 피해액수는 6000만원에 달한다.

삼성카드는 자체 조사결과 이번 명의도용 사고는 기본적으로 인터넷주소가 포함된 문자메시지를 누를 경우 휴대전화에 악성코드가 설치되는 스마트폰 스미싱(문자메시지와 피싱의 합성어)에 의한 것으로 파악하고 있다.

악성코드가 깔리면 앱카드를 사용하기 위해 거쳐야 하는 인증 단계에서 범인들이 인증번호를 탈취할 수 있게 된다.

스미싱 일당은 이렇게 몰래 내려받은 앱카드로 환금성 게임사이트에서 수백 차례 결제한 것으로 알려진다.

삼성카드 관계자는 "지난달 중순쯤 부정사용방지시스템(FDS)을 통해 특정 게임사이트에서 소액결제가 다수 일어나는 사실이 포착돼 확인한 결과 부정 매출로 밝혀졌다”고 설명했다.

특히 범행에 아이폰이 쓰인 것으로 확인됐다. 이에 삼성카드는 앱카드를 이용할 때 아이폰 이용자의 인증방식을 보완하고, 11개 게임사이트에 대한 인증제한 조치를 취해 결제 시 두 가지 이상의 방식으로 인증을 거치도록 했다.

올해 초 고객정보 유출 사태로 곤욕을 치른 카드 업계는 차세대 결제방식으로 야심 차게 준비해 온 앱카드마저 보안에 취약성을 드러내면서 또다시 비상이 걸렸다.

현재 앱카드를 도입한 카드사는 삼성카드를 비롯해 신한, 현대, KB, 롯데, 농협 등 6곳이다. 이들은 공동으로 앱카드 표준모델을 개발했으며, 지난해 4월 신한카드를 시작으로 9월에는 나머지 5곳에서 앱카드를 출시했다.

앱카드는 휴대전화 유심(USIM) 내에 카드 정보를 저장하는 종전 모바일카드와 달리 별도의 발급 절차 없이 기존의 신용ㆍ체크ㆍ기명식선불카드를 스마트폰 앱에 등록해 온ㆍ오프라인 가맹점에서 사용하는 신개념 카드다.

출범 1년이 안됐지만 사용자와 결제금액은 폭발적으로 늘고 있다. 한국은행에 따르면 지난해 모바일 신용ㆍ체크카드 이용금액은 하루 평균 26억원, 발급장수는 총 450만장에 이른다. 전체 지급카드에서 차지하는 액수는 0.16%지만, 발급장수는 2.15%를 차지한다.

이 중 앱카드는 출시 초기인 9월 기준으로 하루 평균 16억원 수준이던 이용금액이 지난 2월 113억원으로 100억원을 넘어섰고, 37만장에 그쳤던 발급매수도 2월 470만장으로 10배 이상 늘었다.

처음 앱카드를 선보인 신한카드는 4월말 229만장을 발급했고 올 들어 누적금액만 4,067억원을 돌파했다. 삼성카드는 지난 3월 기준으로 51만장을 발급했고 KB국민카드는 216만장, 현대카드는 28만장을 발급했다. 롯데카드 역시 7개월간 61만장의 앱카드를 발급, 이용금액은 1,600억원을 넘어섰다.

그러나 보안 안전성은 의문이다. 이번 삼성카드 앱카드는 아이폰에서만 복제가 된 것으로 알려졌는데 양대 스마트폰 운영체계를 모두 아우르는 철저한 보안시스템이 갖춰지지 않은 것 아니냐는 지적이 나오고 있다.

일부 개인정보가 유출됐다는 이유로 다른 복제폰에서 앱카드가 마음대로 설치돼 사용되면 앱카드는 결제 수단으로서 매우 취약한 구조를 갖고 있는 것으로 밖에 볼 수 없다.

6개 카드사가 공동 개발한 앱카드는 △스마트폰에 카드정보를 포함한 개인정보를 저장하지 않고 사용할 때마다 서버에서 호출 △다른 단말기에서 복제앱이 접속할 경우 접속 차단 △오프라인 거래 시 3분간 유효한 일회용 가상카드 번호 사용 △보안키 패드와 전문 암호화, 백신, 루팅폰 차단, 난독화 솔루션 사용 등의 보안 시스템을 갖추고 있다.

전문가들은 앱카드의 경우 해당 고객의 스마트폰인지 확인이 된 상태에서 설치되게 되어 있는데 앱카드가 도용을 당했다면 스마트폰 본인 확인 보안 기술 부분에서 문제가 생긴 것으로 보인다는 분석이다.

이에 따라 금감원은 다른 카드사 앱카드에도 같은 피해사례가 있을 가능성이 있다고 보고 앱카드를 도입한 모든 카드사들에게 부정거래탐지시스템(FDS)을 점검하라고 지시함과 동시에 긴급조사에 착수했으나, 유사 피해 사실은 확인되지 않았다고 밝혔다.

다만 이날 카드업계 임원들을 소집해 이번 사건에 대한 원인을 분석해 볼 계획이다.

이에 대해 삼성카드 관계자는 "보안 시스템이 허술해서 생긴 문제라기 보단 명의도용 이라고 보는게 맞다"며 "앞으로 재발하지 않도록 아이폰에서 공인인증방식으로 가입하는 것을 차단하고, 회원들에 대해선 대금청구 차단과 함께 스미싱 주의 안내도 했다"고 말했다.

한편, 삼성카드는 최근 삼성SDS 과천 전산센터 화재로 일부 카드 결제서비스가 한때 중단되는 등 홍역을 치른 이후 또다시 사고에 휘말려 기업 이미지에 대한 타격이 불가피할 전망이다.