금융회사들이 앞다퉈 스마트폰을 활용한 신종 결제수단을 도입하고 있는 와중에 삼성카드의 앱카드가 도용당하는 신종 금융사고가 발생하면서 각종 차세대 결제수단들의 보안성이 제대로 갖춰졌느냐는 의구심이 커지고 있다.
금융당국과 업계는 새로운 지급결제수단을 내놓을 때마다 이중 삼중의 최첨단 보안체계를 갖췄다고 자랑하고 있지만 이번 삼성카드 앱카드 도용사고에서 보듯 사기범들의 범죄수법은 날로 진화하고 있고 당국과 업계는 늘 뒷북만 치는 모습을 보이고 있다.
특히 스미싱(문자메시지와 피싱의 합성)을 통한 악성코드 노출과 개인정보 유출에 매우 취약한 현재의 스마트폰 보안 구조를 완전히 바꾸지 않는 이상 유사 금융사고는 언제든지 일어날 수 있다는 것이 금융계와 보안업계의 공통된 지적이다.
금융사들이 신종 결제수단 도입을 통한 매출증대 효과만 노릴 것이 아니라 보다 전향적인 보안체계를 구축해야 한다는 것이다.
금융감독원도 최근 IT금융정보보호단을 신설하는 등 IT 금융 범죄 대응에 적극적으로 나섰지만 아직까지 제 역할을 해내지 못하고 있다.
◇폭발적으로 늘어나는 신종 결제수단=현재 상용화됐거나 상용 단계에 접어든 신종결제수단은 앱카드를 비롯해 현금IC카드와 유심(USIM)카드, 한국은행이 개발한 마이크로SD카드 등 4가지 정도다. 이번에 보안 구멍이 드러난 앱카드는 바코드나 QR코드, 근거리무선통신(NFC) 등 다양한 방법을 이용해 결제할 수 있다.
업계가 신종결제수단에 뛰어드는 이유는 기존 카드의 발급비용을 절약해 매출을 높일 수 있어서다. 고객 입장에서는 여러 장의 카드를 가지고 다닐 필요 없이 스마트폰만 가지고 있으면 돼 편의성이 높아진다.
모바일에서 앱을 다운로드해 기존 카드를 등록하는 앱카드를 제외하면 나머지는 칩이나 메모리카드 등 하드웨어를 이용한 결제 수단이다. 앱카드가 기존 카드 이용자가 카드를 다양한 방식으로 사용할 수 있도록 모바일로 옮겨놓은 것이라면 나머지는 하드웨어 형식의 새로운 카드를 발급 받는 형태다.
최근에 유심카드 등 하드웨어를 설치해야 하는 방식보다 앱카드가 더 짧은 시간에 폭발적으로 이용금액이 증가한 원인은 바로 카드 발급 비용이 없고 심지어 은행을 들를 필요조차 없다는 편의성 때문이다.
◇하드웨어 방식과 앱 방식 모두 취약점 가져=하지만 하드웨어 방식이나 앱 방식의 신종 결제수단 모두 해킹의 위험에 노출돼 있는 것은 분명한 사실이다.
문제가 된 앱카드의 경우 카드사들이 최초 보안설계를 할 때 △스마트폰에 카드정보를 포함한 개인정보를 저장하지 않고 사용할 때마다 서버에서 호출하며 △오프라인 거래시 3분간 유효한 일회용 카드번호를 사용하게 하는 등 '가상 카드번호' 방식을 도입했지만 막상 개인정보가 유출돼 다른 스마트폰에 앱카드가 깔리고 보니 이 같은 보안체계는 아무 의미 없는 것이 되고 말았다.
반면 유심카드와 같은 하드웨어 기반의 신종 결제수단의 경우 하드웨어 자체가 필요하기 때문에 앱카드처럼 개인정보가 해킹이 된 후 다른 스마트폰에 깔려 사용될 위험은 적은 편이다. 하지만 카드번호가 고정돼 있다는 점은 취약한 부분이다. 사용할 때마다 카드번호나 바코드 문양을 바꾸는 앱카드와 달리 하드웨어에는 고유한 카드번호가 저장돼 있는데 이 카드번호 자체가 해킹될 경우 문제가 될 소지가 있는 것이다. 금융보안업계의 한 관계자는 "통신기술을 기반으로 한 유심카드의 경우 통신사와 카드사가 사용자 정보를 공유한다는 특성이 있다"며 "결국 여러 단계를 거치는 중에 고객의 정보가 유출될 가능성이 상존해 있다"고 말했다.
이 같은 문제를 해결하기 위해 한국은행이 최근 개발한 마이크로SD카드의 경우 메모리카드의 일종인 SD카드를 은행에서 직접 발급 받아 스마트폰에 끼워서 사용하는 형식이다. 금융연구원 관계자는 "SD카드는 결제를 할 때 하드웨어와 개인정보가 모두 필요하기 때문에 해킹의 위험성이 보다 적다"고 설명했다. 하지만 SD카드에 저장된 카드번호 역시 유출될 경우 카드번호와 비밀번호만을 요구하는 결제 시스템에서는 도용될 여지가 남아 있다.
◇악성코드 원천 차단하고 당국 전문성 높여야=해킹과 IT 금융사고의 위험에서 벗어나기 위해서는 통신사와 금융사가 협력을 통해 근본적인 대책을 마련해야 한다. 성재모 금융보안연구원 정보보안본부장은 "모바일 금융사기 대부분은 스미싱인데 개인 스스로 스미싱을 조심하고 사기 결제된 이상 징후를 금융사에서 계속 솎아내는 것으로는 한계가 분명하다"며 "특히 안드로이드 운영체제에서 개인정보 유출 사고가 자꾸 발생하는 이유는 악성 프로그램을 걸러내지 않고 받아들이기 때문"이라고 지적했다.
IT 금융사고 예방에 있어 당국이 뒷북 치기에 그치고 있다는 지적도 나온다. 금융감독원은 최근 IT 금융사고를 전담하기 위해 IT금융정보보호단을 신설하고 외부에서 책임자도 영입했지만 막상 실무영역의 전문가들은 크게 부족하다. 당국의 한 관계자는 "책임자 한 명 영입한다고 당국의 IT 금융 전문성이 높아지기를 기대하는 것은 무리"라며 "당국의 전문성 강화를 위한 근본 대책이 마련돼야 한다"고 말했다.