"야밤에 본인 모르게 25만원씩 결제가…." 지난 11월 4~5일 밤 10시부터 새벽 3시 사이, 회당 25만원 정도의 금액이 게임사이트에서 결제됐다. 피해자는 BC카드와 KB국민카드의 고객 190명으로 집계됐다. 피해액은 BC카드와 KB국민카드가 각각 9000만원, 8000만원에 이른다.

안전결제(ISP)시스템과 관련한 보안사고가 발생하면서 온라인 카드결제시스템에 대한 우려가 증폭되고 있다.

경찰청 사이버테러 대응센터는 지난 11월 초 BC카드와 KB국민카드의 ISP시스템을 사용하는 고객들에게 피해가 발생해 수사에 착수했다고 밝혔다.
 


ISP시스템은 온라인상에서 30만원 미만의 소액결제 시 사용되는 시스템을 말한다. 국내 카드사 중에서는 KB국민카드와 BC카드 2곳이 사용하고 있다. 결제과정에서 카드번호 등을 직접 입력해야 하는 안심결제와 달리 ISP는 파일 형태의 인증서를 발급받은 뒤 결제를 할 때 비밀번호만 입력하면 되는 방식이다. 보안성 측면에서는 ISP가 더 안전한 것으로 평가받았지만 이번 해킹을 통해 허점이 드러났다.

다만 이번 사건은  ISP시스템 자체가 해킹됐을 가능성은 적은 것으로 파악됐다. 악성코드 등으로 소비자 개인의 이메일에 저장된 인증서가 해킹 당했거나 PC가 해킹돼 PC안에 저장된 인증서가 유출됐을 가능성이 큰 것으로 추정된다.

ISP 운영을 대행하는 브이피(VP) 관계자는 "자체 및 외부 보안전문기관의 조사결과 ISP 서버의 해킹사실은 전혀 없었던 것으로 확인됐다"고 밝혔다. 시스템 해킹이라면 ISP 회원 전체가 잠재적인 피해자로, 2·3차 추가피해가 확산될 수 있다.

이와 관련 최기의 KB국민카드 사장은 직접 신속한 진화에 나섰다. 4일 페이스북을 통해 "ISP시스템 문제가 아니라 고객 개인 PC해킹으로 인해 부정 결제가 발생한 것으로 파악한다"며 "안심클릭 결제방식보다 ISP결제방식이 더 안전한 온라인 결제시스템"이라고 덧붙였다.

피해자에 대한 구제방안도 내놓았다. KB국민카드와 BC카드는 "이번에 해킹 피해를 입은 고객들이 본인이 사용하지 않은 결제금액에 대해서는 피해가 없도록 조치할 것"이라고 밝혔다.

보안도 더욱 강화했다. KB국민카드와 BC카드는 7일부터 게임사이트에서 ISP를 이용해 결제할 때 결제금액에 관계없이 모든 건에 대해 공인인증서 사용을 의무화하도록 했다. 사용한도도 제한했다. BC카드와 KB국민카드는 게임사이트에서 결제금액을 각각 1회 5만원, 10만원으로 제한했다.

금융당국도 온라인결제 사고가 발생하면서 금융소비자들의 우려가 커지자 '온라인결제 보안강화 합동대응팀'을 구성해 운영하겠다고 밝혔다. ISP·안심클릭 등 온라인결제 전반의 운영실태를 비롯해 인터넷·모바일 금융거래에 사용되는 공인인증시스템의 안전성을 점검키로 했다.
 
금융당국은 내년 1분기 중 온라인결제 방식에 대한 실태점검 종합 및 보안 강화대책을 마련하고 내년 중 법 개정 및 제도개선 등 필요한 조치를 시행한다는 계획이다.
 
☞ 본 기사는 <머니위크>(www.moneyweek.co.kr) 제259호에 실린 기사입니다.