차세대 모바일 결제수단으로 각광받던 '앱카드'가 명의도용이라는 암초에 부딪히며 카드업계의 애물단지로 전락했다. '앱카드'는 출시 당시 본격적인 스마트폰 시대에 걸맞는 금융서비스를 고객에게 제공함으로써 편의를 한단계 더 높여준다는 평가를 이끌어냈다.

고객은 신용카드 대신 스마트폰을 들었고 서비스 개시 1년도 채 안돼 사용자가 600만명을 넘었다. 지난해 9월 출시된 앱카드는 하루 평균 결제액이 10억원에서 3개월 뒤 95억원으로 급상승했다.

그러나 삼성카드에 이어 신한카드에서도 앱카드 명의도용 피해가 발생하며 앱카드의 성장세에 찬물을 끼얹었다. 앱카드의 보안문제에 불안감을 느낀 고객은 다시 신용카드를 꺼내들었다.

카드업계는 정보유출 사고로 된서리를 맞은 지 불과 몇개월도 지나지 않은 시점에서 모바일서비스까지 뚫려 망연자실한 모습이다.

◆ 삼성카드 이어 신한카드까지… 앱카드 '구멍'

앱카드란 기존에 발급받은 플라스틱카드를 스마트폰 앱에 등록하고 결제 시 스마트폰 앱을 실행해 결제하는 모바일카드다. 앱카드 본인인증 방법은 신용카드에 기재된 카드번호와 CVC값을 입력하거나 공인인증서를 통하면 된다.

이번 명의도용 사건은 공인인증서에서 불거졌다. 앱카드를 명의도용 한 해커는 스매싱 문자를 통해 공인인증서와 금융정보를 빼낸 뒤 자신의 스마트폰에 앱카드를 깔고 결제까지 진행했다. 이 같은 사실을 확인한 삼성카드는 지난 4월 앱카드 부정매출 피해가 6000만여원 발생했다며 경찰과 금융당국에 자진 신고했다.

이에 따라 금융당국은 지난 5월11일 유사한 앱카드 인증방식을 사용 중인 카드사를 대상으로 삼성 앱카드 명의도용 사고와 비슷한 피해사례가 있는지 조사 후 보고토록 했다. 당시 신한카드는 앱카드 명의도용으로 인한 사고가 발생하지 않았다고 일축했다.

그러나 경찰청 사이버수사대가 삼성카드의 앱카드 명의도용에 사용된 IP주소를 추적한 결과 신한카드에서도 20여명의 명의가 도용돼 50여건의 결제승인이 이뤄진 것으로 확인됐다. 부정결제 사고 금액은 800만여원이다.
 

◆ 시중카드사들 보안실태 '심각'

모바일 앱카드 명의도용 피해가 불거지면서 카드업계는 다시 한번 나락으로 떨어졌다. 불과 몇달 전에 이미 1억4000만건의 정보유출로 홍역을 앓은 터라 보안에 대한 미흡한 대처에 고객은 더욱 냉담하게 반응하고 있다.

모바일 앱카드 출시 당시 이를 대대적으로 홍보했던 카드사는 보안이 완벽하다고 호언장담했다. 그러나 확인 결과 카드사들은 앱카드 출시 이전부터 보안성 문제에 구멍이 뚫렸음을 알고도 이를 무시한 채 상품출시를 강행했던 것으로 나타났다.

앱카드를 공동 개발한 6개 카드사는 출시 이전에 보안성 심의위원회를 통해 보안성 검사를 받았다. 이 과정에서 앱카드 명의도용 사건이 발생한 아이폰 인증문제 및 스미싱 등 변종 해킹 취약점에 대한 주의사항을 전달받았다.

이에 대한 후속조치로 현대카드와 NH농협카드, 롯데카드는 아이폰 본인인증 과정에 추가 인증절차를 마련해 보안 관련사건 발생확률을 최소화했다. 이들은 아이폰 운영체제에서 카드 이용자와 휴대폰 이용자가 일치하는지 확인할 수 없다는 단점을 커버하기 위해 아이폰 사용자가 앱카드를 이용할 때 카드번호 인증이나 홈페이지 로그인을 통한 추가 본인인증 절차를 거치도록 했다.

그러나 사고가 발생한 신한카드·삼성카드와 KB국민카드는 보안에 대한 조치를 따로 마련하지 않은 채 수수방관하며 앱카드 서비스를 그대로 진행했다.

보안성 심의가 제대로 이뤄졌는지도 의문이 남는 대목이다. 당시 금융감독원이 각 카드사의 모바일 앱카드 보안성 심의를 전부 승인해주는 데까지 걸린 기간은 10일에 불과하다. 때문에 일각에서는 "이번 명의도용 사건은 앱카드 출시 시점부터 이미 예견됐던 일"이라는 의견을 내놓기도 했다.

◆ 앱카드 사고, 추후 방지책은 없나

최근 앱카드를 운영 중인 카드사들은 보안문제를 해결하기 위해 본인인증 과정에서 공인인증서를 사용하는 방법을 폐지하기로 결정했다. 이번 명의도용 사태의 근원이 된 공인인증서를 통한 가입을 원천 차단함으로써 추후 해당 사태의 재발 가능성을 남겨두지 않겠다는 것.

또한 온라인을 기반으로 하는 앱카드의 특성상 부정사용으로 의심되는 행위를 막을 수 있도록 부정사용패턴을 추가해야 한다는 의견도 나온다. 오프라인의 경우 부정사용방지시스템(FDS)을 통해 현장에서 부정사용을 잡아낼 수 있지만 온라인에서는 카드사들이 IP를 추적할 수 있는 권한이 없어 기술적인 한계에 부딪힌 상태다.

이와 더불어 지문인식 등을 추가해 앱카드의 본인인증 과정을 강화하는 방법 등이 대안으로 제시되고 있지만 빠른 시간 안에 적용되기에는 현실적인 어려움이 따를 것으로 보인다.

금융당국은 향후 앱카드를 비롯한 전자금융거래시스템 인증체계에 2채널 인증방식을 도입하는 방안을 검토 중이다. 2채널 인증방식이 도입되면 설사 개인정보가 도용된다 하더라도 이를 활용해 타인의 스마트폰에 앱카드 등을 복제하는 것이 사실상 불가능해진다. 다만 앱 설치과정 등이 복잡해져 소비자의 입장에서는 불편함을 토로할 수 있다.

금융당국 관계자는 "2채널 인증이란 컴퓨터를 통해 전자금융거래를 한다면 스마트폰으로 추가 인증을 받고, 스마트폰으로 거래한다면 유선전화를 통해 인증을 받는 등 서로 다른 경로를 통해 본인을 인증하는 방식"이라며 "현재로서는 2채널 인증이 전자금융 해킹 피해를 막기 위한 가장 효율적인 방법"이라고 설명했다.

☞ 본 기사는 <머니위크>(www.moneyweek.co.kr) 제337호에 실린 기사입니다.